Allgemeine Geschäftsbedingungen

 

Präambel

Die FUNDINGPORT GmbH (nachfolgend „FUNDINGPORT“) vermittelt über eine unter https://app.fundingport.com/re betriebene Plattform (nachfolgend die„Plattform“) Finanzierungen in Form von nicht partiarischen und nichtqualifiziert nachrangigen Darlehen, Vermögensanlagen i.S.v. § 1Absatz 2 VermAnlG und sonstige Finanzierungsverträge für gewerblicheZwecke (nachfolgend jeweils das „Vertragsprodukt“)im Bereich Erneuerbare Energien und Gewerbeimmobilien.

Die Plattform richtet sich an jeweils auf der Plattform registrierte, von Unternehmen, Projektgesellschaften(i.e.S. Special Purpose Vehicles) und Investoren (nachfolgend „Kunden“) bevollmächtigte und auf derPlattform registrierte Berater (nachfolgend „Untervermittler") sowie an jeweils auf der Plattformregistrierte Banken, Debt Fonds, Versicherungsgesellschaften, Factoring- oder Leasinganbieter und andere Kapitalgeber (nachfolgend „Anbieter“) und gegebenenfalls von diesen beauftragte, auf derPlattform registrierte weitere Vermittler von Vertragsprodukten (nachfolgend „Vertriebskoordinatoren“); FUNDINGPORT, Anbieter, und Untervermittler und Vertriebskoordinatoren nachfolgend gemeinsam auch die „Parteien“; Anbieter, undUntervermittler und Vertriebskoordinatoren nachfolgend auch „Plattformnutzer“).

Auf der Plattform können Untervermittler Finanzierungsanfragen für Kunden einstellen. Die Anfragen leitet FUNDINGPORT an ausgewählte, auf der Plattformregistrierte Anbieter oder gegebenenfalls deren Vertriebskoordinatoren weiter.Die Anbieter haben dann die Möglichkeit, unverbindliche Angebote (nachfolgend „Term Sheets“) abzugeben. DerUntervermittler kann die Term Sheets auf der Plattform einsehen, miteinander vergleichen und einen Vertragsabschluss des Kunden mit ausgewählten Anbietern über die Plattform initiieren. FUNDINGPORT agiert insoweit als Bote der jeweils beteiligten Untervermittler und Anbieter.

§ 1    Allgemeines

(1)    DieseAllgemeinen Geschäftsbedingungen (einschließlich dem Auftragsverarbeitungsvertrag in Anhang A nachfolgend „Bedingungen“)regeln Rechte und Pflichten der Parteien in Bezug auf die Nutzung derPlattform.

(2)    Andere allgemeine Geschäftsbedingungen gelten nur dann, wenn die jeweiligen Parteien dies ausdrücklich schriftlich oder in Textform vereinbart haben.

(3)    NurUnternehmen (Unternehmer nach § 14 BGB) dürfen sich als Plattformnutzer auf derPlattform registrieren. Anderen Personen, insbesondere Verbrauchern (nach § 13BGB), ist die Nutzung nicht gestattet.

§ 2    Leistungsumfang und Vergütung

(1)   FUNDINGPORT stellt unter der URL https://app.fundingport.com/re(nachfolgend „Plattform-Website")die Plattform zur Verfügung, auf der Kunden über bevollmächtigteUntervermittler Finanzierungen für ihre jeweiligen gewerblichen Zwecke in Form von Vertragsprodukten anfragen können.

(2)   Mit der Anfrage fordert der Untervermittler die Anbieter dazu auf, unverbindliche Term Sheets abzugeben. Nur vollständige Anfragen (allePflichtfelder sind ausgefüllt) können bearbeitet werden. FUNDINGPORT präsentiert den Untervermittlern eine Auswahl von für ihre Anfrage passendeAnbieter. Die Präsentation der Auswahl nimmt FUNDINGPORT nach denAusschreibungskriterien vor, die FUNDINGPORT zuvor von dem oder den Anbietern und Vertriebskoordinatoren ermittelt hat. Hierbei legen die Anbieter undVertriebskoordinatoren z.B. fest, zu welchen Arten von Vertragsprodukten, von welchen Kundengruppen oder in Höhe welches Investitionsvolumens sie ausschließlich Anfragen erhalten möchten. Die Untervermittler wählen die Anbieter und Vertriebskoordinatoren aus der von FUNDINGPORT präsentierten Auswahl selbst aus, an die ihre Anfrage weitergeleitet werden soll.

(3)   Die vom Untervermittler ausgewählten Anbieter erhalten dann die Möglichkeit, innerhalb eines vom Untervermittler festgelegtenZeitraums für die Anfrage passende Term Sheets abzugeben. Gegebenenfalls beauftragte Vertriebskoordinatoren leiten die Aufforderung zur Abgabe eines passenden Term Sheets an ihre Auftraggeber (Anbieter) weiter.

(4)   FUNDINGPORT wählt in freiem Ermessen abgegebene TermSheets zur Weiterleitung an den Untervermittler aus. Dem Untervermittler werden die ausgewählten Term Sheets in einem persönlichen Login-Bereich auf derPlattform unmittelbar und fortlaufend angezeigt. In Einzelfällen erhält der Untervermittler die Term Sheets über FUNDINGPORT auf separatem Weg, etwa per E-Mail. Möchte derUntervermittler mit einem Anbieter oder Vertriebskoordinator in Kontakt treten, hat der. Untervermittler hierzu die entsprechende Funktion der Plattform zu nutzen. Darüber hinaus übermittelt FUNDINGPORT dem Anbieter oderVertriebskoordinator bei Bedarf die vom Untervermittler mitgeteiltenKontaktdaten.

(5)   Die Term Sheets der Anbieter sind unverbindlich.Die Angebotsbedingungen und -konditionen können sich daher noch verändern. DasErgebnis einer Due Diligence des Anbieters kann zu geänderten Bedingungen oder ggf. auch zur Ablehnung eines Angebots führen.

(6)   Der Anbieter oder gegebenenfalls der von diesem beauftragte Vertriebskoordinator stellt dem Untervermittler nach erfolgreicher Due Diligence Vertragsdokumente zur Verfügung. Der Vertragsabschluss zwischenAnbieter und Kunden im Datenraum der Plattform statt. Die bloße Auswahl eines Anbieters durch einen Untervermittler führt noch nicht zu einem Vertragsabschluss.

(7)   FUNDINGPORT prüft Finanzierungsanfragen aufVollständigkeit. Im Übrigen ist FUNDINGPORT nicht verpflichtet, die vom Untervermittler auf der Plattform angegebenen Daten, insbesondere zum Unternehmen und/oder zumProjekt bzw. Finanzierungsvorhaben, zu prüfen. FUNDINGPORT ist nichtverpflichtet, die von den Anbietern abgegebenen Term Sheets zu prüfen, nimmt jedoch eine fallbezogene Überprüfung der Konditionen auf Marktüblichkeit vor. FUNDINGPORT übernimmt keine Haftung für den Inhalt der Term Sheets, Vertragsdokumente und sämtlicher weiterer Informationen des Untervermittlers, Kunden, Anbieters oderVertriebskoordinators.

(8)    FUNDINGPORT stellt einen Datenraum auf der Plattform bereit, über den die Parteien für denAbschluss der Finanzierung erforderliche oder nützliche Dokumente bereitstellen sowie auf solche Dokumente der jeweils betreffenden Partei zugreifen können und eine Fragen- und Antwortfunktion (Q&A) nutzen können. Welche Daten die Plattformnutzer hochladen oder löschen und welche dieser Daten lediglich zur Einsichtnahme oder aber auch zum Download zur Verfügung gestellt werden, entscheiden diese eigenverantwortlich. Soweit in diesem Datenraum personenbezogene Datenverarbeitet bzw. hochgeladen werden, wird FUNDINGPORT mit der Bereitstellung der technischen Infrastruktur des Datenraumes als Auftragsverarbeiter des dieDaten hochladenden Plattformnutzers tätig. Die personenbezogenen Daten werden durch FUNDINGPORT nur nach Weisung des jeweiligen Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag in Anhang A zu diesen Bedingungen wird mit Zustimmung des jeweiligen Plattformnutzers zu diesen Bedingungen Teil dieses Vertrages. Sofern ein auf der Plattform registrierterVertriebskoordinator den Datenraum auf der Plattform für einen Anbieter nutzt, wird FUNDINGPORT als Auftragsverarbeiter für den Vertriebskoordinator tätig.

(9)   FUNDINGPORT übernimmt keine Gewähr für die jederzeitige Verfügbarkeit der Plattform-Website. Wartungsarbeiten,Software-Updates sowie Ereignisse außerhalb des Herrschaftsbereichs von FUNDINGPORT (z.B. bei höherer Gewalt, Verschulden Dritter) können zu einer vorübergehenden Nichterreichbarkeit der Plattform-Website führen. Wenn FUNDINGPORT absehen kann, dass Ausfallzeiten für Wartung und Software-Updates länger als 12 Stunden dauern werden, wird FUNDINGPORT, unter angemessenerAbwägung aller wechselseitigen, auch wirtschaftlichen Belange, per E-Mail hierüber informieren.

(10)  Vergütung

Die Nutzung der Plattform ist für die Plattformnutzer kostenfrei.

Die Vergütung von FUNDINGPORT erfolgt im Falle eines Vertragsschlusses zwischen Anbieter und Kunden durch denAnbieter und gegebenenfalls durch dessen Vertriebskoordinator mittels Zahlung einer Provision. Die vom Anbieter an FUNDINGPORT gezahlte Provision kannteilweise oder vollständig in den Angebotskonditionen der Anbieter enthalten sein. Näheres ist im Anbietervertrag zwischen FUNDINGPORT, Anbieter  dessen Vertriebskoordinator vereinbart.

§ 3    Registrierung

(1)    DieNutzung der Plattform und der hiermit verbundenen Leistungen von FUNDINGPORT setzt eine Registrierung durch den jeweiligen Plattformnutzer voraus. Dabei sind sowohl die relevanten gewerblichen Daten der Kunden und Plattformnutzer als auch die Kontaktdaten der natürlichen Personen zu erfassen, welche dieRegistrierung für den Plattformnutzer durchführen (nachfolgend „User"). Alle relevanten Daten sind vollständig und wahrheitsgemäß anzugeben. Die Pflichtangaben sind für dieRegistrierung zwingend auszufüllen. Der User teilt zur Registrierung seinegeschäftliche E‑Mail-Adresse mit und wählt ein Passwort aus. Nach Bestätigung des ausgewählten Passwortes und Anklicken des Kontrollkästchens zur Zustimmung zu diesen Bedingungen schließt der Plattformnutzer die Registrierung durchBetätigung der Schaltfläche „Register" ab. Während und nach derRegistrierung können aus Sicherheitsgründen weitere Authentifizierungsmaßnahmen durchzuführen sein.

(2)   Die Registrierung als Plattformnutzer ist juristischen Personen oder Personengesellschaften im Rahmen ihrer gewerblichenTätigkeit erlaubt. Als User ist jeder unbeschränkt geschäftsfähigen natürlichenPerson die Durchführung einer Registrierung erlaubt, die vom jeweiligen Plattformnutzer hierzu berechtigt ist. FUNDINGPORT darf jederzeit Nachweise über die Berechtigung des Users verlangen. Eine diesbezügliche Prüfungspflicht von FUNDINGPORT besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten, nicht. Weiter darf FUNDINGPORT im Zusammenhang mit dem Betrieb der Plattform jederzeit Kontakt mit einem User aufnehmen. Eine Kontaktaufnahme erfolgt per E-Mail, telefonisch oderpostalisch. Es ist unzulässig, mehrere Registrierungen für denselben Plattformnutzer anzulegen.

(3)    EinAnspruch auf Registrierung besteht nicht. FUNDINGPORT ist berechtigt, eineRegistrierung ohne Angabe von Gründen abzulehnen. FUNDINGPORT ist auch berechtigt, das Konto eines Plattformnutzers oder die Anmeldung eines Users nicht freizuschalten oder nachträglich zu sperren, wenn erforderliche Nachweise fehlen. Darüber hinaus darf FUNDINGPORT bei Anhaltspunkten für eine Nutzung derPlattform, die den berechtigten Interessen der übrigen Plattformnutzer zuwiderläuft, die Bearbeitung einer Finanzierungsanfrage ohne Nennung vonGründen jederzeit ablehnen oder abbrechen und die Anfrage löschen. Bei falschenAngaben oder sonstigen Unstimmigkeiten hat FUNDINGPORT das Recht, den betreffendenPlattformnutzer von der Nutzung der Plattform dauerhaft auszuschließen und Anfragen(auch nachträglich) abzubrechen und zu löschen.

§ 4    Nutzung der Plattform durch Untervermittler

(1)    EinUntervermittler darf Finanzierungsanfragen für Kunden auf der Plattform einstellen, wenn und soweit er hierzu gegenüber dem betreffenden Kunden berechtigt ist. Eine Verknüpfung zwischen dem Kunden und dem Untervermittler erfolgt spätestens dann, wenn der Untervermittler eine Finanzierungsanfrage für den Kunden auf der Plattform erstellt.

(2)    DerUntervermittler sichert FUNDINGPORT mit Einstellung der Finanzierungsanfrage für einen Kunden zu, dass er von diesem hierzu bevollmächtigt worden ist. Der Untervermittler hat FUNDINGPORT auf Verlangen das Bestehen einer hinreichenden Bevollmächtigung durch den Kunden nachzuweisen. Eine diesbezügliche Prüfungspflicht von FUNDINGPORT besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten, nicht. DerUntervermittler stellt FUNDINGPORT von sämtlichen Ansprüchen, insbesondere des Kundenfrei, die aufgrund des Nichtbestehens oder der Überschreitung einerBevollmächtigung gegenüber FUNDINGPORT geltend gemacht werden.

(3)    Es ist Untervermittlern untersagt Finanzierungsanfragen für Personen undVereinigungen von Personen, soweit sie sanktionierte Parteien sind, auf derPlattform zu veröffentlichen.  Als sanktionierte Parteien im Sinne dieserRegelung gelten insbesondere:  

   a.          Natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, die in einem Staat oder in einer Region ihren Wohnsitz haben bzw. die dort ansässig sind, gegen die die USA, dieEuropäische Union oder die Bundesrepublik Deutschland Maßnahmen erlassen haben, die als umfassende Sanktionen („comprehensive sanctions“) gelten;  

     b.        Natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, gegen die die USA, die Europäische Union oder die Bundesrepublik Deutschland wirtschaftliche Sanktionsmaßnahmen verhängt haben.

     c.        Personen oder Vereinigungen von Personen, an denen eine in a.) oder b.) genannte sanktionierte Partei wenigstens 50% der Anteile oder der Stimmrechte hält; bei denen eine in a.) oder b.)genannte sanktionierte Partei berechtigt ist, die Mehrheit der Mitglieder derGeschäftsführung, des Vorstands oder eines vergleichbaren Leitungsgremiums zu bestimmen; oder die sonst unter der Kontrolle einer in a.) oder b.) genanntenPartei steht.  

(4)   Aus geschäftspolitischen Gründen und zumSchutz der allgemeinen Reputation der Plattform sind darüber hinaus Personen und Vereinigungen von Personen, die ihren Sitz in einem Hochrisikoland haben, von der Nutzung der Plattform ausgeschlossen. Aus denselben Gründen dürfenKredite nicht an Personen und Vereinigungen von Personen vermittelt werden, soweit diese ihren Sitz in einem Hochrisikoland haben. Als Hochrisikoland in diesem Sinne gelten alle Drittländer mit hohem Risiko, die die Kommission indem jeweils gültigen delegierten Rechtsakt gemäß Art. 9 der Richtlinie (EU) 2015/849(oder einer entsprechenden Nachfolgeregelung) ermittelt hat, sowie die folgenden Länder: Demokratische Republik Korea (Nordkorea), Iran, Krim, Kuba, Sudan/Südsudan, Syrien, Libanon, Syrien, Weißrussland

§ 5    Pflichtendes Untervermittlers und des Anbieters / Befreiung vom Bankgeheimnis / Freistellungsanspruch

(1)    DerUntervermittler und Anbieter trägt die alleinige Verantwortung für dieRichtigkeit und Vollständigkeit sämtlicher Informationen, Inhalte (z. B.Unterlagen, Dateien), Verlinkungen und sonstiger Daten, die er der Plattform übermittelt, hochlädt bzw. durch einen Vertriebskoordinator übermitteln lässt (nachfolgend jeweils die „Daten").

(2)    Plattformnutzer gewährleisten insbesondere, dass sie berechtigt sind, die Daten an FUNDINGPORT weiterzugeben und dass FUNDINGPORT berechtigt ist, die Daten an die jeweiligen übrigen Plattformnutzer weiterzugeben.

(3)    Plattformnutzer sind zudem verpflichtet, ihre Daten so zu gestalten, dass sie nicht gegengesetzliche oder behördliche Bestimmungen oder gegen die guten Sitten verstoßen.

(4)    Plattformnutzer tragen dafür Sorge, dass sie alle gespeicherten Daten vor jeder neuen Finanzierungsanfrage auf die Einhaltung der Vorgaben der Absätze 1 bis 3 prüfen und, soweit erforderlich, berichtigen bzw. erneut gemäß diesen Bedingungen bereitstellen oder über einen Vertriebskoordinator bereitstellen lassen.

(5)    FUNDINGPORTist berechtigt, Nachweise über die angegebenen Daten anzufordern.

(6)    Plattformnutzer sind verpflichtet, die Zugangsdaten zur Plattform (insbesondere das Passwort)geheim zu halten und vor dem Zugriff Dritter zu schützen. Sie tragen dafürSorge, dass die Zugangsdaten bei Eingabe nicht von Dritten ausgespäht werden können.Ist ihnen bekannt oder besteht der Verdacht, dass ein Dritter von denZugangsdaten Kenntnis erlangt hat, so ist der jeweilige Plattformnutzer verpflichtet, seine Zugangsdaten unverzüglich zu ändern. Ist dies nicht möglich, istFUNDINGPORT unverzüglich zu unterrichten und das weitere Vorgehen mit FUNDINGPORT abzustimmen.

(7)   Mitteilungspflichten des Anbieters gegenüber FUNDINGPORT sind im Dienstleistungsvertrag zwischen FUNDINGPORT und Anbieter geregelt.

(8)   FUNDINGPORT wird die nach Absätzen (6) und (7) mitgeteilten Vertragsdaten ausschließlich für die Rechnungsstellung gegenüber dem Anbieter verwenden.

(9)   Der Kunde ermächtigt den Anbieter, FUNDINGPORT bzw. dem Vertriebskoordinator zur Weiterleitung an FUNDINGPORT im Falle einesVertragsabschlusses über ein Vertragsprodukt bzw. der Prolongation oder Refinanzierung eines bestehenden Vertragsprodukts den Abschluss, das Volumen und den Zeitpunkt der Bereitstellung und/oder ersten Teilauszahlung mitzuteilen sowie im Falle des Unterbleibens eines Vertragsabschlusses auch dies mitzuteilen. Er befreit den Anbieter insoweit vom Bankgeheimnis. Als Erklärungsbote des Kunden teilt der Untervermittler dies durch Einstellung der jeweiligenFinanzierungsanfrage auf der Plattform mit und sichert zu, vom Kunden zur Überbringung einer entsprechenden Erklärung ermächtigt worden zu sein.

(10)  FUNDINGPORT ist jederzeit berechtigt, für Rückfragen zum Vertragsstatus Kontakt zum Plattformnutzer aufzunehmen.

(11)  Plattformnutzer stellen FUNDINGPORT von sämtlichen Ansprüchen Dritter und/oder anderer Parteien frei, die wegen unrichtiger, unvollständiger und/oder unrechtmäßiger Daten und/oder unbefugter Datenweitergabe des jeweiligen Plattformnutzers gegenüber FUNDINGPORT geltend gemacht werden.

§ 6    Sicherheit/ Kommunikation / Plattform-Website

(1)    Vorbehaltlich der Regelungen zur Haftung in § 7stellt FUNDINGPORT mit eigenüblicher Sorgfalt sicher, dass sämtliche Daten auf der Plattform und die Kommunikation über die Plattform vor unberechtigten ZugriffenDritter geschützt werden.

(2)    FUNDINGPORT verpflichtet sich, alle FUNDIGPORT betreffenden datenschutzrechtlichen Bestimmungen in ihrer jeweils geltenden Fassung zu beachten. FUNDINGPORT wird bei der Verarbeitung personenbezogener Daten ausschließlich Personal bzw.Dritte einsetzen, die auf Vertraulichkeit im Umgang mit personenbezogenen Datenverpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. FUNDINGPORT verpflichtet sich, bei EinschaltungDritter auch diese zur Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu verpflichten.

(3)    FUNDINGPORT verarbeitet vom Plattformnutzer zur Verfügung gestellte Daten nach den gesetzlichen Vorgaben sowie dem Auftragsverarbeitungsvertrag in Anhang A.Unabhängig davon sind Plattformnutzer dazu verpflichtet, die von ihnen jeweils zur Verfügung gestellten Daten außerhalb der Plattform in geeigneter Form zu sichern.

(4)    FUNDINGPORT behält sich vor, die Plattform-Website zu ändern. Hierbei wird FUNDINGPORT die berechtigten Belange der Plattformnutzer berücksichtigen und diese frühzeitig von einer bevorstehenden Änderung informieren, wenn und soweit die Änderung erkennbar deren berechtigte Belange beeinträchtigen kann.

§ 7   Haftung / Verjährung

(1)    FUNDINGPORT haftet bei einfacher Fahrlässigkeit nur bei Verletzung wesentlicher Vertragspflichten.Wesentliche Vertragspflichten sind alle Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung ein Plattformnutzer regelmäßig vertrauen darf. Im Übrigen ist die vorvertragliche, vertragliche und außervertragliche Haftung von FUNDINGPORT auf Vorsatz und grobe Fahrlässigkeit beschränkt. Diese Haftungsbegrenzung gilt auch bei Verschulden eines Erfüllungsgehilfen von FUNDINGPORT.

(2)    Erfolgt die Verletzung einer vertragswesentlichen Pflicht nicht grob fahrlässig odervorsätzlich, so ist die Haftung von FUNDINGPORT auf solche typischen Schäden oder einen solchen typischen Schadensumfang begrenzt, die bzw. der zumZeitpunkt des Vertragsabschlusses vernünftigerweise voraussehbar war.

(3)    Die Haftungsausschlüsse/-beschränkungen nach den Absätzen 1 und 2 gelten nicht für die Haftung wegen einer Verletzung des Lebens, Körpers oder der Gesundheit, für die Haftung aus der Übernahme von Garantien oder für die Haftung nach dem Produkthaftungsgesetz.

§ 8    Aufrechnung

Plattformnutzer können gegen Ansprüche von FUNDINGPORT nur mit Gegenansprüchen aufrechnen, die rechtskräftig festgestellt, unbestritten oder von FUNDINGPORT anerkannt sind. Zurückbehaltungsrechte können durch Plattformnutzer nur geltend gemacht werden, soweit sie rechtskräftig festgestellt, unbestritten oder von FUNDINGPORT anerkannt sind.

§ 9    Vertraulichkeitsvereinbarung

(1)    Untervermittler haben bereitgestellte vertrauliche Informationen der Anbieter bzw. der von diesen beauftragten Vertriebskoordinatoren, Anbieter bzw. von diesen beauftragte Vertriebskoordinatoren die durch den Untervermittler bereitgestellten vertraulichen Informationen vertraulich zu behandeln. FUNDINGPORT wird die bereitgestellten vertraulichen Informationen derPlattformnutzer vertraulich behandeln.

Als „vertrauliche Informationen“gelten unabhängig von dem Medium, in dem sie enthalten sind, insbesondere alle finanziellen, technischen, technologischen, wirtschaftlichen, strategischen, rechtlichen, steuerlichen, die Geschäftstätigkeit und die Geschäftsabläufe betreffenden oder sonstigen Informationen (einschließlich Produkte,Herstellungsprozesse, Know-how, Geschäftsgeheimnisse, geschäftliche Beziehungen,Geschäftsstrategien, Businesspläne, Finanzplanung, Personalangelegenheiten),welche sich auf Kunden, Untervermittler oder Anbieter oder mit ihnen verbundeneUnternehmen i.S.v. §§ 15 ff. AktG beziehen. Hierzu gehören auch sonstige Informationen im Sinne des § 2 GeschGehG, die weder allgemein bekannt noch ohne Weiteres zugänglich sind, von wirtschaftlichem Wert und Gegenstand von Geheimhaltungsmaßnahmen sind.

(2)    Die Parteien bleiben jeweils Inhaber(im Sinne des § 2 Nr. 2 GeschGehG) der vertraulichen Informationen, die im Rahmen der Nutzung der Plattform zwischen ihnen ausgetauscht werden und behalten (vorbehaltlich anderer Abreden) jeweils alle Rechte zur Nutzung undVerwertung dieser vertraulichen Informationen.

(3)    Die Parteien werden die über die Plattform erhaltenen vertraulichen Informationen des jeweils anderen nicht an unberechtigte Dritte weiterleiten oder diesen zugänglich machen und treffen jeweils angemessene Geheimhaltungsmaßnahmen zumSchutz der vertraulichen Informationen vor dem Zugriff Dritter.

§ 10 Anwendbares Recht

Diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland.

§ 11 Salvatorische Klausel / Änderungen / Ergänzungen

(1)    Sollte eine der Bestimmungen dieser Bedingungen ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, soll die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt werden. Die Parteien verpflichten sich vielmehr, an einer Vereinbarung mitzuwirken, die in wirtschaftlicher Hinsicht dem ursprünglichen Parteiwillen so weit wie möglich entspricht. Entsprechendes gilt für Regelungslücken.

(2)    Änderungen dieser Bedingungen können durch ein Angebot von FUNDINGPORT über diePlattform-Website und die Annahme Plattformnutzers durch Aktivierung einer entsprechenden Schaltfläche oder Ankreuzoption auf der Plattform-Website beimLogin erfolgen. Darüber hinaus können Änderungen dieser Bedingungen auch dadurch vereinbart werden, dass FUNDINGPORT den Plattformnutzern die geändertenBedingungen spätestens sechs Wochen vor dem vorgeschlagenen Zeitpunkt ihresWirksamwerdens in Textform anbietet; die Zustimmung eines Plattformnutzers gilt dann als erteilt, wenn er seine Ablehnung nicht vor dem vorgeschlagenenZeitpunkt des Wirksamwerdens der Änderungen angezeigt hat. Auf dieseGenehmigungswirkung wird FUNDINGPORT im Angebot besonders hinweisen.

 

 

Anhang A: Auftragsverarbeitungsvertrag

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen

dem Plattformnutzer im Sinne der Bedingungen

nachstehend jeweils „Verantwortlicher“

und

der FUNDINGPORT GmbH

Millerntorplatz 1

20359 Hamburg, Deutschland

nachstehend „Auftragsverarbeiter

Präambel

Zwischen demVerantwortlichen und dem Auftragsverarbeiter besteht ein Auftragsverhältnis imSinne des Art. 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 desEuropäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicherPersonen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“).

Dieser Auftragsverarbeitungsvertrag einschließlich aller Anlagen (nachfolgend gemeinsam als „Vereinbarung“bezeichnet) konkretisiert die datenschutzrechtlichen Verpflichtungen derParteien aus den Bedingungen, insbesondere nach § 2 Abs. (8) derBedingungen (nachfolgend als „Hauptvertrag“bezeichnet). Sofern Bezug auf die Regelungen des Bundesdatenschutzgesetzes (nachfolgend „BDSG“)genommen wird, so ist damit das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 in der zum Zeitpunkt ab dem 25. Mai 2018 geltenden Fassung gemeint.  

DerAuftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgendenBestimmungen:

§ 1   Anwendungsbereich und Begriffsbestimmungen

(1) Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen derAuftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt. 

(2) Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ vonDaten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenenDaten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie dasErheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, dieAnpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, dieOffenlegung durch Übermittlung, Verbreitung oder eine andere Form derBereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, dasLöschen oder die Vernichtung. 

(3) Auf die weiterenBegriffsbestimmungen in Art. 4 DSGVO wird verwiesen.

§ 2 Gegenstand und Dauer der Datenverarbeitung

(1)  Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

(2) Gegenstand des Auftrags ist die Bereitstellung der technischen Infrastruktur einesDatenraumes auf der Plattform durch den Auftragsverarbeiter zur Nutzung durch den Verantwortlichen, insbesondere durch die Bereitstellung oder Löschung vonDokumenten, den Zugriff auf Dokumente der jeweils betreffenden übrigen Verantwortlichen und die Nutzung der Fragen- undAntwortfunktion (Q&A) im Rahmen des Hauptvertrags.

(3) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

§ 3 Art und Zweck der Datenverarbeitung

 Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeit(en) und Zweck(e):

· DerAuftragsverarbeiter betreibt eine Plattform, über welche Verantwortliche denAbschluss von Finanzierungen anbahnen können und fungiert hierbei als technischer Dienstleister, um die Kommunikation zwischen den betreffenden Verantwortlichen zu vereinfachen.

· Der Auftragsverarbeiter ermöglicht es demVerantwortlichen durch Bereitstellung der technischen Infrastruktur einesDatenraumes auf der Plattform, eigenverantwortlich für den Abschluss der Finanzierung erforderliche oder nützliche Dokumente zur Einsichtnahme oder zum Download für die betreffenden übrigenVerantwortlichen zu erfassen, zu speichern und bereitzustellen, zu löschen und solcheDokumente der jeweils betreffenden übrigenVerantwortlichen abzufragen, zu verwenden und ggf. zu speichern und stellt eine Fragen- und Antwortfunktion (Q&A) für Verantwortliche zur Verfügung.  

§ 4 Kategorien betroffener Personen

Im Rahmen dieser Vereinbarung werden personenbezogene Daten von folgenden Kategorien betroffener Personen verarbeitet:

·       Mitarbeiter einesVerantwortlichen

·       User odersonstige Ansprechpartner eines Verantwortlichen

·       Sonstige natürliche Personen, die einen Bezug zumFinanzierungsvorhaben aufweisen und/oder deren Daten für den Abschluss derFinanzierung erforderlich oder nützlich sind und/oder deren Daten von einemVerantwortlichen bereit gestellt werden

§ 5 Art der personenbezogenen Daten

Von derAuftragsverarbeitung sind folgende Datenarten betroffen:

·       Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)

·       Kontaktdaten(E-Mail-Adresse, Telefonnummer, Anschrift)

·       Vertragsdaten(Vertragsdetails, Leistungen, Kundennummer)

·       Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung,Kreditkarteninformationen)

·       Angaben zurBonität, Scoring-Werte, Einträge in Schuldnerverzeichnisse

·       ElektronischeKommunikationsdaten (IP-Adresse, aufgerufene Internetseiten, Angaben zum verwendeten Endgerät, Betriebssystem und Browser)

·       Sonstige von einemVerantwortlichen bereitgestellte Daten

§ 6 Rechte und Pflichten desVerantwortlichen

(1) Für die Beurteilung derZulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.

(2) DerVerantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren derDatenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen desAuftragsverarbeiters unverzüglich vom Verantwortlichen schriftlich oder inTextform (z.B. per E-Mail) zu bestätigen.

(3) Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigtePersonen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies demAuftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehleroder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogenerDaten durch den Auftragsverarbeiter festgestellt werden.

§ 7 Pflichten des Auftragsverarbeiters

(1)  Datenverarbeitung

DerAuftragsverarbeiter wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen verarbeiten.

(2) Betroffenenrechte

a. DerAuftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte derBetroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung derVerarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Sollte der Auftragsverarbeiter die in § 5dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten und sind diese Daten Gegenstand eines Verlangens aufDatenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter demVerantwortlichen den betreffenden Datensatz innerhalb einer angemessen gesetzten Frist, im Übrigen innerhalb von sieben Arbeitstagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen. 

b. DerAuftragsverarbeiter hat auf Weisung des Verantwortlichen die in § 5 dieserVereinbarung genannten personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. DasGleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oderEinschränkung der Verarbeitung von Daten vorsieht.

c. Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zwecksBerichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieserVereinbarung genannten personenbezogenen Daten wendet, wird derAuftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an denVerantwortlichen weiterleiten. 

(3) Kontrollpflichten

a. DerAuftragsverarbeiter stellt durch geeignete Kontrollen sicher, dass die imAuftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechendenWeisungen verarbeitet werden.

b. DerAuftragsverarbeiter wird sein Unternehmen und seine Betriebsabläufe so gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten KenntnisnahmeDritter geschützt sind.

c. DerAuftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht.Datenschutzbeauftragter des Auftragsverarbeiters ist derzeit:

 ISiCODatenschutz GmbH

AmHamburger Bahnhof 4

10557Berlin

 berlin@isico-datenschutz.de

(4)  Informationspflichten

a. DerAuftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

b. DerAuftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in denArtikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art derVerarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.

(5) Ort der Datenverarbeitung

DieVerarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderenVoraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(6) Löschung der personenbezogenen Daten nach Auftragsbeendigung 

Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichenAufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist zu dokumentieren und gegenüber demVerantwortlichen auf Anforderung zu bestätigen.

§ 8 Kontrollrechte des Verantwortlichen

(1) DerVerantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes desAuftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andereVerantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über denDatenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durchZugriff auf vorhandene branchenübliche Zertifizierungen desAuftragsverarbeiters aktuelle Testate oder Berichte einer unabhängigen Instanz(wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oderexterner Datenschutzauditor) oder Selbstauskünfte durchgeführt werden. DerAuftragsverarbeiter wird die notwendige Unterstützung zur Durchführung derKontrollen anbieten.  

(2) DerAuftragsverarbeiter wird den Verantwortlichen über die Durchführung vonKontrollmaßnahmen der Aufsichtsbehörde informieren, soweit die Maßnahmen oderDatenverarbeitungen betreffen können, die der Auftragsverarbeiter für denVerantwortlichen erbringt.

§ 9 Unterauftragsverhältnisse

(1) DerVerantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zunehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i.S. d. Art. 28 Abs. 2 DSGVO dar.

(2) DerAuftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

(3) DerAuftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird denVerantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf dieHinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte ÄnderungEinspruch erheben.

(4) DerEinspruch gegen die beabsichtigte Änderung ist innerhalb von 2 Wochen nachZugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Auftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung demAuftragsverarbeiter nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter – oder dieAbstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können derVerantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie denHauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.

 (5)  Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen fürsämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.

 

§ 10 Vertraulichkeit

(1)  DerAuftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet. 

(2) DerAuftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nurMitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf dieVertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.

(3) Sofern der Verantwortliche anderweitigen Geheimnisschutz regeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seineMitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.

§ 11 Technische und organisatorische Maßnahmen

(1) Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessen vereinbart.Der Auftragsverarbeiter kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt dass das Schutzniveau durch solche Aktualisierungen und/oderÄnderungen nicht wesentlich herabgesetzt wird. 

(2) DerAuftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art. 32 i.V.m Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit derVerarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen zum Schutz derVertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme undMaßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird der Auftragsverarbeiter die implementierten Maßnahmenregelmäßig evaluieren und ggf. Anpassungen vornehmen.

§ 12 Haftung/Freistellung

(1) DerAuftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichenDatenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen desVerantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.

(2)  DerVerantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieserVereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch denVerantwortlichen gegen den Auftragsverarbeiter geltend gemacht werden.

§ 13 Sonstiges

 (1) Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.

(2) Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung derVertragsparteien voraus unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sich auch fürkünftige Änderungen dieser Vereinbarung ausgeschlossen. 

(3) Diese Vereinbarung unterliegt deutschem Recht.

(4) Sofern der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zurDatenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmeneines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich hierüber zu benachrichtigen.

Anlagenverzeichnis

 Anlage 1 zu Anhang A Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit derDatenverarbeitung

Anlage 2  zu Anhang A Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung 


Anlage 1 zu Anhang A:

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorischeMaßnahmen getroffen zu haben:

A. Maßnahmen zur Pseudonymisierung

Maßnahmen, die den unmittelbarenPersonenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mitHinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

B. Maßnahmen zur Verschlüsselung

Maßnahmen oder Vorgänge, bei denen einklar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens(Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbareZeichenfolge (Geheimtext) umgewandelt wird:

•       256-bit Advanced Encryption Standard (AES-256)

C. Maßnahmen zurSicherung der Vertraulichkeit

1. Zutrittskontrolle

Eine physische Aufbewahrung oderVerarbeitung von Daten durch den Auftragsverarbeiter findet nicht statt.Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen undDatenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden,sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

Beschreibung des Zutrittskontrollsystems:

•       Der physische Zutritt zu Rechenzentren wird protokolliert, überwacht und gespeichert. Die über die logischen und physischen Überwachungssysteme erfassten Informationen werden zusammengefasst, um die Sicherheit bei Bedarf noch zu erhöhen.

•       Überwachung der Rechenzentren überglobales Security Operations Center, das für die Überwachung, Analyse undDurchführung von Sicherheitsprogrammen zuständig ist. Dieses leistet rund um die Uhr weltweit Unterstützung bei der Verwaltung und Überwachung derZugangsaktivitäten zu Rechenzentren und unterstützt lokale und andere Supportteams durch Analyse, Beratung und Beauftragung bei der Reaktion aufSicherheitsverstöße.

•       Physische Zugangspunkte zu Serverräumen werden von CCTV-Kameras mit Aufzeichnungsfunktion überwacht. DieAufnahmen werden gemäß behördlichen und Compliance-Anforderungen aufbewahrt.

•       Der physische Zugang wird durch professionelles Sicherheitspersonal an den Gebäudeeingängen kontrolliert. Dabei werden Überwachung, Meldeanlagen und andere elektronische Vorrichtungen eingesetzt. Autorisiertes Personal erlangt über Multi-Faktor-Authentifizierungsmechanismen Zugang zu den Rechenzentren. Die Eingänge zu den Serverräumen sind mit Geräten abgesichert, die Alarm auslösen, wenn die Tür aufgebrochen oder offen gehalten wird.

 

2. Zugangskontrolle

Maßnahmen, die verhindern, dassUnbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung desZugangskontrollsystems:

•       Nur autorisiertes Personal erhält Zugang zu den physischen Rechenzentren. Alle Mitarbeiter, die Zugang zu einemRechenzentrum benötigen, müssen zunächst einen Antrag auf Zugang stellen und eine gültige geschäftliche Begründung vorlegen. Dieser Antrag wird basierend auf dem Prinzip geringstmöglicher Berechtigungen gewährt, d. h.Mitarbeiter müssen in der Anfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum sie Zugang benötigen. Die Anfrage wird geprüft und von autorisiertem Personal genehmigt. Der Zugang wird nach Ablauf des beantragtenZeitraums wieder entzogen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihre Berechtigungen auf bestimmte Bereiche beschränkt.

•       Der Zugang von Dritten muss von autorisiertenMitarbeitern beantragt werden, die auch eine gültige geschäftliche Begründung für diesen Zugang vorlegen müssen. Dieser Antrag wird basierend auf dem Prinzip geringstmöglicher Berechtigungen gewährt, d. h. Mitarbeiter müssen in derAnfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum sie Zugang benötigen. Diese Anfragen werden von autorisiertem Personalgenehmigt. Der Zugang wird nach Ablauf des beantragten Zeitraums wiederentzogen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihreBerechtigungen auf bestimmte Bereiche beschränkt. Personen mit einemBesucherausweis müssen diesen bei Ankunft am Standort vorlegen und werden von autorisiertem Personal angemeldet und begleitet.

•       Der Zugang zu den Rechenzentren wird regelmäßig geprüft. Der Zugriff wird automatisch aufgehoben, sobald die Akte eines Mitarbeiters aus dem Personalsystem gelöscht wird. Darüber hinaus wird der Zugang von Mitarbeitern oder Zeitarbeitskräften nach Ablauf des genehmigtenZeitraums auch dann widerrufen, wenn sie weiterhin als Mitarbeiter tätig sind.

•       In der Datenebene sind elektronischeEinbruchmeldesysteme installiert, die sicherheitsrelevante Ereignisse erkennen und automatisch die zuständigen Mitarbeiter alarmieren. Die Ein- und Ausgänge der Serverräume sind durch Geräte gesichert, an denen Personal Multi-Faktor-Authentifizierungsverfahren durchlaufen müssen, bevor sie den Raumbetreten oder verlassen können. Diese Geräte lösen einen Alarm aus, wenn dieTür ohne Autorisierung aufgebrochen oder offen gehalten wird. Die Türalarmsysteme sind so konfiguriert, dass sie erkennen, wenn jemand eineDatenebene ohne Multi-Faktor-Autorisierung betritt oder verlässt. In diesemFall wird umgehend ein Alarm ausgelöst und an die Security Operations Center zur Protokollierung, Analyse und Reaktion gesendet.

•       Kennwortverfahren, d.h. persönlicher und individueller User Log-In bei Anmeldung am System (u.a. Sonderzeichen,Mindestlänge, regelmäßiger Wechsel des Kennwortes)

•       automatische Sperrung (z.B. Kennwort oder Pausenschaltung)

•       Einrichtung eines Benutzerstammsatzes pro User

•       Begrenzung der Zahl der berechtigtenMitarbeiter

•       Abkapselung von sensiblen Systemen durch getrennte Netzbereiche

•       Authentifizierungsverfahren

•       Einrichten von regelmäßigen aktualisierten Antiviren- und Spywarefiltern

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass diez ur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nichtunbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung desZugriffskontrollsystems:

•       Berechtigungskonzepte (Profile,Rollen, etc.) und deren Dokumentation

•       Auswertung/Protokollierungen

•       Archivierungskonzept

•       Protokollierung von Zugriffen und Missbrauchsversuchen

4. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

Beschreibung des Trennungskontrollvorgangs:

•       Nutzer können bestimmen, welche anderen Nutzer auf die eigenen Daten zugreifen können.

•       Personenbezogene Daten werden verschlüsselt gespeichert (256-bit Advanced Encryption Standard (AES-256)

•       Test- und Produktivsysteme teilen keinerlei Daten.

D. Maßnahmen zur Sicherung der Integrität

1. Datenintegrität

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:

Beschreibung der Datenintegrität:

•       Einspielen neuer Releases und Patches mit Release-/Patchmanagement

•       Funktionstest bei Installation undReleases/Patches durch IT-Abteilung

•       Logging

•       Transportprozesse mit individueller Verantwortlichkeit  

2.     Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogeneDaten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zurVerfügung gestellt wurden oder werden können:

Beschreibung der Übertragungskontrolle:

•       Logging

•       Transportprozesse mit individuellerVerantwortlichkeit

•       Prüfsummen

3. Transportkontrolle

Maßnahmen, die gewährleisten, dass beider Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:

Beschreibung der Transportkontrolle:

•       Übermittlung von Daten überverschlüsselte Datennetze oder Tunnelverbindungen (VPN)

•       Transportprozesse mit individuellerVerantwortlichkeit

•       Verschlüsselungsverfahren dieDatenveränderungen während des Transports aufdecken

•       umfassende Protokollierungsverfahren

4. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung des Eingabekontrollvorgangs:

•       Protokollierung sämtlicherSystemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren

•       Protokollauswertungssysteme 

E. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.Daten werden auf der Amazon Cloud (AWS) gelagert. Für Details siehe: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

Beschreibung des Verfügbarkeitskontrollsystems:

•       Datensicherungsverfahren

•       Redundante Serversysteme

•       Unterbrechungsfreie Stromversorgung

•       Brandmeldeanlage

•       Klimaanlage

•       Alarmanlage

•       Notfallpläne

•       keine wasserführenden Leitungen über oder neben Serverräumen

2.  Rasche Widerherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:

•       Datensicherungsverfahren

•       regelmäßige Tests derDatenwiederherstellung

•       Notfallpläne

3. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

Beschreibung der Maßnahmen zurZuverlässigkeit:

•       Automatisches Monitoring

•       Notfallpläne mit Verantwortlichkeiten

•       IT-Notdienst 24/7

•       regelmäßige Tests derDatenwiederherstellung

 F.   Maßnahmen zur regelmäßigenEvaluation der Sicherheit der Datenverarbeitung

1. Überprüfungsverfahren

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

Beschreibung der Überprüfungsverfahren:

•       Datenschutzmanagement

•       regelmäßige Re-Zertifizierung

•       Formalisierte Prozesse für Datenschutzvorfälle

•       Weisungen des Auftraggebers werden dokumentiert

 2. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend denWeisungen des Auftraggebers verarbeitet werden können:

Beschreibung der Maßnahmen zur Auftragskontrolle:

•       Weisungen des Auftraggebers werden dokumentiert

•       formalisiertes Auftragsmanagement

 

Anlage 2 zu Anhang A

Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiterenAuftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt:  

Name/Firma: Amazon Web Services Inc.

Funktion/Tätigkeit: Datenlagerung desAuftragsverarbeiters auf Servern der Amazon Web Services Inc.

Sitz : 410 Terry Avenue North, Seattle, Washington 98109, USA

Name/Firma: A Hotjar GmbH  

Funktion/Tätigkeit: Web-Analyse, um die Bedürfnisse unserer Nutzer besser zu verstehen und unsere Dienstleistungen zu verbessern  

Eingetragener Firmensitz: Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 3155, Malta

Name/Firma: Fundingport Sofia EOOD

Funktion/Tätigkeit: Softwareentwicklung und Hosting der  Plattform

Eingetragener Firmensitz: ul. "Lyuba Velichkova" 7, 1407 Promishlena zona Hladilnika, Sofia, Bulgarien

Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.