⚖️ Audits für die betriebliche Praxis
Zur Startseite

Allgemeine Geschäftsbedingungen, Auftragsverarbeitung und TOM

Rechtlich notwendige Angaben für die Nutzung der Selbst-Audits und Web Based Trainings (WBT) auf selbstaudit.online.

1. Allgemeine Geschäftsbedingungen (AGB)

§ 1 Geltungsbereich und Anbieter

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) regeln das Vertragsverhältnis zwischen der Silvio Kahl – Die SAP-SchulungsExperten, Gniebendorfer Straße 8, 06688 Weißenfels, sk@die-schulungsexperten.de (nachfolgend „Anbieter“) und den Kunden der Plattform selbstaudit.online.

(2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB sowie an juristische Personen des öffentlichen Rechts (Behörden). Ein Vertragsschluss mit Verbrauchern im Sinne des § 13 BGB ist ausgeschlossen.

(3) Abweichende Bedingungen des Kunden werden nicht anerkannt, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu.

§ 2 Vertragsgegenstand: Audits und WBTs

(1) Der Anbieter stellt dem Kunden den Zugang zu digitalen Selbstaudits (z. B. NIS2, Datenschutz) sowie zu webbasierten Trainings (WBTs) zur Erfüllung betrieblicher Pflichten zur Verfügung.

(2) Die Leistungen werden als Software-as-a-Service (SaaS) erbracht. Ein Anspruch auf Überlassung der Software-Quellcodes besteht nicht.

(3) Der Funktionsumfang ergibt sich aus der jeweiligen Produktbeschreibung auf der Webseite.

§ 3 Ausschluss juristischer Beratung (Wichtiger Hinweis)

(1) Die bereitgestellten Inhalte (Fragenkataloge, Auswertungen, Schulungsinhalte) dienen ausschließlich der Information und Unterstützung bei der betrieblichen Compliance.

(2) Die Angebote des Anbieters stellen keine Rechtsberatung dar. Die Nutzung der Tools ersetzt nicht die Prüfung des Einzelfalls durch einen qualifizierten Rechtsanwalt oder Fachberater.

(3) Der Anbieter übernimmt keine Gewähr für die Vollständigkeit oder die juristische Unangreifbarkeit der durch das Tool generierten Ergebnisse.

§ 4 Verantwortlichkeit des Nutzers

(1) Für die inhaltliche Richtigkeit der im Rahmen der Audits gemachten Angaben ist ausschließlich der Kunde verantwortlich.

(2) Für die weitere Verwendung der Auditauswertungen sowie die Umsetzung der darin enthaltenen Handlungsempfehlungen ist ausschließlich der Benutzer verantwortlich.

(3) Der Kunde trägt die Verantwortung dafür, dass die durchgeführten Schulungen (WBTs) den spezifischen gesetzlichen Anforderungen seines Betriebes oder seiner Behörde genügen.

§ 5 Vertragsschluss und Zahlung

(1) Die Darstellung der Produkte auf der Webseite stellt kein rechtlich bindendes Angebot dar. Durch die Bestellung (z. B. Klick auf „Zahlungspflichtig bestellen“) gibt der Kunde ein bindendes Angebot ab.

(2) Die Freischaltung der Inhalte erfolgt in der Regel unmittelbar nach Bestellung (Vorschussvertrauen).

(3) Die Zahlung erfolgt gegen Rechnung. Der Rechnungsbetrag ist innerhalb von 14 Tagen ohne Abzug fällig, sofern nicht anders vereinbart.

§ 6 Nutzungsrechte

(1) Der Kunde erhält ein einfaches, nicht übertragbares Recht, die erworbenen Audits und WBTs für den eigenen internen betrieblichen Gebrauch zu nutzen.

(2) Eine Weitergabe der Inhalte an Dritte oder eine kommerzielle Weiterverwertung ist ohne ausdrückliche schriftliche Zustimmung des Anbieters untersagt.

§ 7 Haftungsbeschränkung

(1) Der Anbieter haftet unbeschränkt bei Vorsatz oder grober Fahrlässigkeit.

(2) Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). In diesem Fall ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.

(3) Der Anbieter haftet nicht für wirtschaftliche Folgen, die daraus resultieren, dass Behörden oder Gerichte die durch das Tool erstellte Compliance-Dokumentation als nicht ausreichend anerkennen.

§ 8 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Sitz des Anbieters, sofern der Kunde Kaufmann oder eine juristische Person des öffentlichen Rechts ist.

2. Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 Abs. 3 DSGVO

1. Gegenstand und Dauer der Vereinbarung

Der Auftragnehmer (selbstaudit.online) erbringt für den Auftraggeber (Kunde/Behörde) Leistungen im Bereich digitaler Audits und webbasierter Trainings (WBT). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten, die er ausschließlich im Auftrag und nach Weisung des Auftraggebers verarbeitet. Die Laufzeit entspricht der Dauer des Hauptvertrages.

2. Art und Zweck der Verarbeitung, Art der Daten

  • Zweck: Bereitstellung einer Online-Plattform zur Durchführung von Compliance-Audits und Mitarbeiterschulungen inklusive Zertifikatserstellung.
  • Art der Daten: Stammdaten (Name, Vorname, E-Mail), Qualifikationsdaten (Testergebnisse, Schulungsfortschritte, Zertifikatsstatus), Protokolldaten (IP-Adresse, Zeitstempel der Nutzung).
  • Kategorien betroffener Personen: Beschäftigte (Mitarbeiter/Beamte) des Auftraggebers, ggf. Kunden oder Ansprechpartner des Auftraggebers.

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers.

(2) Er stellt sicher, dass die zur Verarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet wurden.

(3) Der Auftragnehmer setzt technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO um, um ein angemessenes Schutzniveau zu gewährleisten (siehe Anlage).

(4) Er unterstützt den Auftraggeber bei Anfragen betroffener Personen und bei der Einhaltung der Pflichten nach Art. 33 bis 36 DSGVO.

(5) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

4. Unterauftragsverhältnisse

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen (z. B. Hosting-Anbieter, E-Mail-Versanddienste).

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.

(3) Aktuelle Unterauftragnehmer sind: STRATO AG, Pascalstraße 10, 10587 Berlin.

5. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überprüfen (z. B. durch Auskunftsersuchen oder Begehungen nach angemessener Voranmeldung).

6. Haftung

Es gelten die Haftungsregelungen des Hauptvertrages (AGB), soweit nicht Art. 82 DSGVO unmittelbar eine abweichende Haftung vorschreibt.

3. Technische und organisatorische Maßnahmen (TOM)

Anlage gemäß Art. 32 DSGVO für selbstaudit.online

Die folgenden Maßnahmen beschreiben das Sicherheitsniveau für die Verarbeitung von Daten im Rahmen der Online-Audits und WBT-Plattform.

1. Vertraulichkeit (Schutz vor unbefugter Preisgabe)

  • Zutrittskontrolle: Hosting erfolgt in einem zertifizierten Rechenzentrum (z. B. ISO 27001). Physische Absicherung durch Sicherheitsdienst, Videoüberwachung und elektronisches Zutrittssystem.
  • Zugangskontrolle: Verwendung von starken Passwörtern und (optional/geplant) Mehrfaktor-Authentifizierung für Administratoren. Verschlüsselte Übertragung aller Daten über das Internet (HTTPS/TLS 1.2 oder höher).
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem: Mitarbeiter des Anbieters greifen nur zu Supportzwecken und nach Weisung auf Kundendaten zu. Protokollierung von Datenzugriffen und Änderungen.
  • Trennungskontrolle: Logische Trennung der Datenbestände verschiedener Kunden durch Datenbank-Mandantensysteme oder isolierte Instanzen.

2. Integrität (Schutz vor unbefugter Änderung)

  • Weitergabekontrolle: Datenübermittlung erfolgt ausschließlich verschlüsselt. Verwendung von VPN-Tunnels für administrative Fernwartung.
  • Eingabekontrolle: Nachvollziehbarkeit, welcher Nutzer wann welche Daten im Audit oder Schulungssystem eingegeben oder geändert hat.

3. Verfügbarkeit und Belastbarkeit (Schutz vor Verlust/Zerstörung)

  • Verfügbarkeitskontrolle: Regelmäßige Datensicherung (Backups), Speicherung an einem geografisch getrennten Zweitstandort (innerhalb Deutschlands). Einsatz von Firewalls und Schutzsystemen gegen DDoS-Angriffe.
  • Wiederherstellbarkeit: Etablierter Prozess zur schnellen Wiederherstellung der Systeme im Katastrophenfall (Disaster Recovery).

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz-Management: Regelmäßige Überprüfung der technischen Infrastruktur auf Sicherheitslücken (Patch-Management). Verwendung von „Privacy by Design“ bei der Entwicklung neuer Funktionen (z. B. Datensparsamkeit im Audit).
  • Auftragskontrolle: Sorgfältige Auswahl von Unterauftragnehmern (z. B. Hoster) unter besonderer Berücksichtigung des Datenschutzniveaus.

Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO des Unterauftragnehmers Strato

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle – Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind.

  • Festlegung von Sicherheitsbereichen
  • Realisierung eines wirksamen Zutrittsschutzes
  • Protokollierung des Zutritts
  • Festlegung Zutrittsberechtigter Personen
  • Verwaltung von personengebundenen Zutrittsberechtigungen
  • Begleitung von Fremdpersonal
  • Überwachung der Räume

1.2 Zugangskontrolle – Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

  • Festlegung des Schutzbedarfs, Zugangsschutz
  • Umsetzung sicherer Zugangsverfahren, starke Authentisierung
  • Umsetzung einfacher Authentisierung per Username/Passwort
  • Protokollierung des Zugangs, Monitoring bei kritischen IT-Systemen
  • Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
  • Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
  • Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
  • Festlegung befugter Personen, Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
  • Automatische Zugangssperre und manuelle Zugangssperre

1.3 Zugriffskontrolle – Es kann nur auf die Daten zugegriffen werden, für die eine Zugriffsberechtigung besteht.

  • Erstellen eines Berechtigungskonzepts
  • Umsetzung von Zugriffsbeschränkungen, Vergabe minimaler Berechtigungen
  • Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
  • Vermeidung der Konzentration von Funktionen

1.4 Verwendungszweckkontrolle – Zu unterschiedlichen Zwecken erhobene Daten können getrennt verarbeitet werden.

  • Datensparsamkeit im Umgang mit personenbezogenen Daten
  • Getrennte Verarbeitung verschiedener Datensätze
  • Regelmäßige Verwendungszweckkontrolle und Löschung
  • Trennung von Test- und Entwicklungsumgebung

1.5 Datenschutzfreundliche Voreinstellungen – Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Festlegung empfangs-/weitergabeberechtigter Instanzen/Personen
  • Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
  • Protokollierung von Übermittlungen, sichere Datenübertragung zwischen Server und Client
  • Sicherung der Übertragung im Backend, sichere Übertragung zu externen Systemen
  • Risikominimierung durch Netzseparierung, Sicherheitsgateways an den Netzübergabepunkten
  • Härtung der Backendsysteme, Beschreibung der Schnittstellen
  • Umsetzung einer Maschine-Maschine-Authentisierung
  • Sichere Ablage von Daten inkl. Backups, gesicherte Speicherung auf mobilen Datenträgern
  • Prozess zur Datenträgerverwaltung, Sammlung und Entsorgung
  • Datenschutzgerechte Lösch- und Zerstörungsverfahren, Führung von Löschprotokollen

2.2 Eingabekontrolle – Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.

  • Protokollierung der Eingaben
  • Dokumentation der Eingabeberechtigungen

3. Verfügbarkeit, Belastbarkeit, Desaster Recovery

3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Brandschutz, Redundanz der Primärtechnik, Redundanz der Stromversorgung, Redundanz der Kommunikationsverbindungen
  • Monitoring, Ressourcenplanung und Bereitstellung
  • Abwehr von systembelastendem Missbrauch
  • Datensicherungskonzepte und Umsetzung, regelmäßige Prüfung der Notfalleinrichtungen

3.2 Desaster Recovery (Art. 32 Abs. 1 lit. c DSGVO)

  • Notfallplan
  • Datensicherungskonzepte und Umsetzung

4. Datenschutzorganisation

  • Festlegung von Verantwortlichkeiten
  • Umsetzung und Kontrolle geeigneter Prozesse
  • Melde- und Freigabeprozess
  • Umsetzung von Schulungsmaßnahmen, Verpflichtung auf Vertraulichkeit
  • Regelungen zur internen Aufgabenverteilung
  • Beachtung von Funktionstrennung und -zuordnung
  • Einführung einer geeigneten Vertreterregelung

5. Auftragskontrolle

5.1 Weitergabekontrolle – Personenbezogene Daten, die im Auftrag verarbeitet werden, werden nur entsprechend den Weisungen des Auftraggebers verarbeitet.

  • Auswahl weiterer Auftragnehmer nach geeigneten Garantien
  • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
  • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Informationssicherheitsmanagement nach ISO 27001
  • Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
  • Prozess Sicherheitsvorfall-Management
  • Durchführung von technischen Überprüfungen
Zur Startseite