Digitaler Marktplatz für gebrauchte Software

Datenschutz

Datenschutzerklärung

Die li-x GmbH („li-x“) freut sich über Ihren Besuch auf unserer Website und Ihr Interesse an unserem Unternehmen. Wir nehmen den Schutz Ihrer privaten Daten ernst und möchten, dass Sie sich beim Besuch unserer Internetseiten sicher fühlen.
In unserer Datenschutzerklärung möchten wir Sie darüber informieren, welche Informationen wir bei der li-x GmbH während Ihres Besuches auf unseren Webseiten erfassen und wie diese genutzt werden.

 

Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters:

li-x GmbH
Barmbeker Straße 2
22303 Hamburg
Telefon:+49 (0) 40 – 609 44 09 – 55
Telefax: +49 (0) 40 – 609 44 09 – 11
E-Mail: [email protected]
Web: https://www.li-x.com


Geschäftsführer: Dipl. Kfm. Boris Vöge
Amtsgericht Hamburg HRB 130997

 

Kontaktdaten des Datenschutzbeauftragten:

[email protected]

 

Zwecke, für die personenbezogenen Daten verarbeitet werden sollen:

Wir erheben, speichern und verarbeiten personenbezogene Daten, wenn Sie uns diese im Rahmen Ihrer Bestellung oder bei einer Kontaktaufnahme freiwillig mitteilen, für folgende Zwecke:

  • den Zweck der Vertragsabwicklung
  • eigene Marketingzwecke.
  • für unsere Statistik

 

Rechtsgrundlage für die Verarbeitung

Die Verarbeitung Ihrer Daten geschieht auf der folgenden Rechtsgrundlage:

  • Ihrer Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO
  • Zur Durchführung eines Vertrags mit Ihnen, Art. 6 Abs. 1 lit. b) DSGVO
  • Berechtigte Interessen, Art. 6 Abs. 1 lit. f) DSGVO (siehe unten)

 

Berechtigte Interessen:

Bei der Verarbeitung Ihrer Daten verfolgen wir die folgenden berechtigten Interessen:

  • Verbesserung unseres Angebots, Marketing
  • Schutz vor Missbrauch
  • Statistik

 

Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Bei der Verarbeitung Ihrer Daten arbeiten wir mit den folgenden Dienstleistern zusammen, die Zugriff auf Ihre Daten haben:

  • Anbieter von Webanalyse-Tools
  • Lieferanten

 

Dauer, für die die personenbezogenen Daten gespeichert werden:

Wir speichern Ihre Daten,

  • wenn Sie in die Verarbeitung eingewilligt haben höchstens solange, bis Sie Ihre Einwilligung widerrufen
  • wenn wir die Daten zur Durchführung eines Vertrags benötigen höchstens solange, wie das Vertragsverhältnis mit Ihnen besteht oder gesetzliche Aufbewahrungsfristen laufen
  • wenn wir die Daten auf der Grundlage eines berechtigten Interesses verwenden höchstens solange, wie Ihr Interesse an einer Löschung oder Anonymisierung nicht überwiegt

 

Datenquellen

Wir erhalten die Daten von Ihnen (einschließlich über die von Ihnen verwendeten Geräte).

 

Datenübertragung in Drittländer

Es findet eine Datenübertragung in Drittländer außerhalb der Europäischen Union statt. Dies erfolgt auf der Grundlage gesetzlich vorgesehener vertraglicher Regelungen, die einen angemessenen Schutz Ihrer Daten sicherstellen sollen und die Sie auf Anfrage einsehen können.

 

Rechts auf Auskunft sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit:

Sie haben – teilweise unter bestimmten Voraussetzungen – das Recht,

  • Auskunft über die Verarbeitung Ihrer Daten zu verlangen,
  • Ihre Daten zu berichtigen,
  • Ihre Daten löschen oder sperren zu lassen,
  • die Verarbeitung einschränken zu lassen,
  • der Verarbeitung Ihrer Daten zu widersprechen,
  • Ihre Daten in einem übertragbaren Format zu erhalten und einem Dritten zu übermitteln,
  • Ihre Einwilligung zur Verarbeitung Ihrer Daten für die Zukunft zu widerrufen und
  • sich bei der zuständigen Aufsichtsbehörde über eine unzulässige Datenverarbeitung zu beschweren. Die zuständige Aufsichtsbehörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).

 

Erfordernis oder Verpflichtung zur Bereitstellung von Daten

Soweit dies bei der Erhebung nicht ausdrücklich angegeben ist, ist die Bereitstellung von Daten nicht erforderlich oder verpflichtend.

 

Auftragsdatenverarbeitung

Für den Fall, dass li-x im Auftrage des jeweiligen Kunden die Daten des Kunden verarbeitet, schließen die Parteien gleichzeitig den anliegend beigefügten Auftragsverarbeitungsvertrag ab.

 

Weitere Informationen zum Datenschutz
Automatische Speicherung von Zugriffsdaten

Bei jedem Zugriff auf unsere Internet-Seiten werden Nutzungsdaten durch den jeweiligen Internetbrowser übermittelt und in Protokolldateien, den sogenannten Server-Logfiles, gespeichert. Die dabei gespeicherten Datensätze enthalten die folgenden Daten: Domain, von der aus der Nutzer Zugriff auf die Webseite nimmt, Datum und Uhrzeit des Abrufs IP-Adresse des zugreifenden Rechners Webseite(n), die der Nutzer im Rahmen des Angebots besucht, übertragene Datenmenge, Browsertyp und -version, verwendetes Betriebssystem, Name des Internet-Service-Providers, Meldung, ob der Abruf erfolgreich war. Diese Logfile-Datensätze werden in anonymisierter Form ausgewertet, um das Angebot zu verbessern und nutzerfreundlicher zu gestalten, Fehler zu finden und zu beheben und die Auslastung von Servern zu steuern.

 

Kontaktformular

Das Kontaktformular auf unserer Website ist eine einfache Möglichkeit schnell mit uns in Kontakt zu treten. Damit die Kontaktaufnahme möglich ist, sind einige Felder als Pflichtfelder gekennzeichnet. Wenn Sie die Felder ausfüllen und „Senden“ wählen, stimmen Sie zu, dass Ihre Daten mit der Nachricht per E-Mail an uns übermittelt werden. Die Daten werden nicht auf dem Webserver gespeichert.

 

E-Mail-Newsletter

Wenn Sie sich zu unserem Newsletter anmelden, verwenden wir die hierfür erforderlichen oder gesondert von Ihnen mitgeteilten Daten, um Ihnen regelmäßig unseren E-Mail-Newsletter zuzusenden. Die Abmeldung vom Newsletter ist jederzeit möglich und kann entweder durch eine Nachricht an die oben beschriebene Kontaktmöglichkeit oder über den dafür vorgesehenen Abmeldelink im Newsletter erfolgen.

 

Cookies

Diese Website verwendet darüber hinaus sog. Cookies. Ein Cookie ist eine Textdatei mit einer Identifikationsnummer, die bei der Nutzung der Website zusammen mit den anderen, eigentlich angeforderten Daten an den Computer des Nutzers übermittelt und dort hinterlegt wird. Die Datei wird dort für einen späteren Zugriff bereitgehalten und dient zur Authentifizierung des Nutzers.

Da Cookies nur einfache Dateien und keine ausführbaren Programme sind, geht von ihnen keine Gefahr für den Computer aus. Cookies enthalten keine personenbezogenen Daten, so dass der Schutz der Privatsphäre gewährleistet ist. Je nach gewählter Einstellung des Internetbrowsers durch den Nutzer akzeptiert dieser Cookies automatisch. Diese Einstellung kann aber geändert und die Speicherung von Cookies deaktiviert oder dergestalt eingestellt werden, dass der Nutzer benachrichtigt wird, sobald ein Cookie gesetzt wird. Im Falle einer Deaktivierung der Cookienutzung stehen allerdings ggf. einige Funktionen der Webseite nicht oder nur eingeschränkt zur Verfügung.

Die Website von li-x verwendet temporäre (sog. „Session–“) Cookies, also solche, die nur für den Zeitraum einer sog. „Sitzung“ gültig sind und bei Beendigung des Browsers automatisch gelöscht werden. li-x verlinkt ggf. auf andere Websites, wo möglicherweise ebenfalls Cookies genutzt werden.

Weitere Informationen was Cookies sind und wie Sie sie löschen können, erhalten Sie auch hier:
http://www.meine-cookies.org/

 

Verwendung des Analysetools „Google Analytics“
Wir nutzen den Dienst Google Analytics der Google Inc. Dieser Dienst ermöglicht eine Analyse der Benutzung unserer Internetseiten und verwendet dazu Cookies. Zu diesem Zweck werden die durch das Cookie erzeugten Informationen wie Ihre anonymisierte IP-Adresse in unserem Auftrag an einen Server von Google Inc. in den USA übertragen, dort gespeichert und ausgewertet. Denn auf dieser Webseite wurde Google Analytics um den Code „gat._anonymizeIp();“ erweitert. Hierdurch ist eine anonymisierte Erfassung von IP-Adressen sichergestellt. Die Anonymisierung Ihrer IP-Adresse erfolgt in der Regel durch Kürzung Ihrer IP-Adresse durch Google Inc. innerhalb der Europäischen Union oder in anderen Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR). In Ausnahmefällen wird Ihre IP-Adresse an einen Server der Google Inc. in den USA übertragen und erst dort anonymisiert. Ihre hierbei übermittelte IP-Adresse wird nicht mit anderen Daten von Google Inc. zusammengeführt. Im Rahmen der Google Analytics-Werbefunktion werden das Remarketing und die Berichte zur Leistung nach demografischen Merkmalen und Interessen genutzt. Diese Verfahren haben den Zweck, mit Hilfe der Informationen über das Nutzerverhalten die Werbemaßnahmen stärker an den Interessen der jeweiligen Nutzer auszurichten. Im Rahmen des Remarketings können auf Basis des Surfverhaltens des Users auf der Webseite von li-x personalisierte Werbemaßnahmen auf anderen Internetseiten geschaltet werden. Dabei können die Werbemittel Produkte enthalten, die sich der User zuvor auf der Webseite von li-x angeschaut hat. Sofern Sie zugestimmt haben, dass ihr Web- und App-Browserverlauf von Google mit ihrem Google-Konto verknüpft wird und Informationen aus ihrem Google-Konto zum Personalisieren von Anzeigen verwendet werden, verwendet Google diese Daten für ein geräteübergreifendes Remarketing. Jegliche Produkte, die einen Rückschluss auf den Gesundheitszustand des Users zulassen, werden seitens li-x von diesem Verfahren ausgeschlossen. Der Erfassung Ihrer Daten durch Google Analytics können Sie jederzeit widersprechen. Dazu stehen Ihnen folgende Möglichkeiten zur Verfügung:

Die meisten Browser akzeptieren Cookies automatisch. Sie können die Verwendung von Cookies jedoch durch Einstellung Ihres Browsers verhindern; in diesem Fall können aber ggf. nicht sämtliche Funktionen der Internetseite genutzt werden. Die Einstellungen müssen Sie für jeden Browser, den Sie nutzen, gesondert vornehmen.

Sie können darüber hinaus die Erfassung sowie die Verarbeitung dieser Daten durch Google Inc. verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Ad-On herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de

Alternativ dazu oder innerhalb von Browsern auf mobilen Geräten klicken Sie bitte auf folgenden Link: Google Analytics deaktivieren. Dabei wird ein Opt-Out-Cookie auf Ihrem Gerät für unsere Internetseiten mit Wirkung für Ihren derzeit verwendeten Browser abgelegt. Löschen Sie Ihre Cookies in diesem Browser, müssen Sie erneut auf diesen Link klicken.

Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies.

Einsatz von Matomo
Auf dieser Website werden unter Einsatz der Webanalysedienst-Software Matomo (www.matomo.org), einem Dienst des Anbieters InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland, („Mataomo“) auf Basis unseres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken gemäß Art. 6 Abs. 1 lit. f DSGVO Daten gesammelt und gespeichert. Aus diesen Daten können zum selben Zweck pseudonymisierte Nutzungsprofile erstellt und ausgewertet werden. Hierzu können Cookies eingesetzt werden. Bei Cookies handelt es sich um kleine Textdateien, die lokal im Zwischenspeicher des Internet-Browsers des Seitenbesuchers gespeichert werden. Die Cookies ermöglichen unter anderem die Wiedererkennung des Internet-Browsers. Die mit der Matomo-Technologie erhobenen Daten (einschließlich Ihrer pseudonymisierten IP-Adresse) werden auf unseren Servern verarbeitet. .
Die durch das Cookie erzeugten Informationen im pseudonymen Nutzerprofil werden nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt.
Wenn Sie mit der Speicherung und Auswertung dieser Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie der Speicherung und Nutzung nachfolgend per Mausklick jederzeit widersprechen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Matomo keinerlei Sitzungsdaten erhebt. Bitte beachten Sie, dass die vollständige Löschung Ihrer Cookies zur Folge hat, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Google AdWords
Diese Website nutzt das Online-Werbeprogramm „Google AdWords“ und im Rahmen von Google AdWords das Conversion-Tracking der Google LLC., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA („Google“). Wir nutzen das Angebot von Google Adwords, um mit Hilfe von Werbemitteln (sogenannten Google Adwords) auf externen Webseiten auf unsere attraktiven Angebote aufmerksam zu machen. Wir können in Relation zu den Daten der Werbekampagnen ermitteln, wie erfolgreich die einzelnen Werbemaßnahmen sind. Wir verfolgen damit das Interesse, Ihnen Werbung anzuzeigen, die für Sie von Interesse ist, unsere Website für Sie interessanter zu gestalten und eine faire Berechnung von Werbe-Kosten zu erreichen. Unter der nachstehenden Internetadresse erhalten Sie weitere Informationen über die Datenschutzbestimmungen von Google: http://www.google.de/policies/privacy.

 

Google Remarketing
Mittels der Remarketing Technologie von Google Ireland Limited (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) werden Nutzer, die unsere Website bereits besuchten, durch interessenbasierte Werbung auf den Seiten des Google Partner Netzwerks erneut angesprochen. Die Werbeanzeigen können dabei die Produkte enthalten, die sich der User zuvor auf der Website von li-x angeschaut hat (Remarketing). Zu diesem Zweck sind auf dieser Seite die Google Remarketing Tracking-Pixel integriert, welche das User-Verhalten auf der Website (z. B. angesehene Berater), die technischen Merkmale des Webseiten-Besuchs (z. B. der verwendete Browser, die IP-Adresse) sowie das Kauf-Verhalten (z. B. zuletzt besuchte Berater) ohne Personenbezug erfasst und an Google übermittelt. Für die Zwecke der Wiedererkennung und Zuordnung der User setzt Google Cookies ein. Sofern Nutzer zugestimmt haben, dass ihr Web- und App-Browserverlauf von Google mit ihrem Google-Konto verknüpft wird und Informationen aus dem Google-Konto von uns zum Personalisieren von Anzeigen verwendet werden, die sie im Web sehen, verwendet Google Daten dieser angemeldeten Nutzer zusammen mit eigenen erhoben Daten, um Zielgruppenlisten für geräteübergreifendes Remarketing zu erstellen und zu definieren. Zur Unterstützung dieser Funktion werden von Google Analytics authentifizierte IDs dieser Nutzer erfasst. Diese personenbezogenen Daten von Google werden vorübergehend mit Google Analytics-Daten von uns verknüpft, um Zielgruppen zu bilden.
Mehr Informationen und Möglichkeiten zur Deaktivierung dieser Anzeigenschaltung finden sich unter http://www.google.com/settings/u/0/ads/anonymous?hl=de.

 

Sendinblue
Der Versand der Newsletter erfolgt mittels des Versanddienstleisters SendinBlue, vereinfachte Aktiengesellschaft, eingetragen beim Handelsregister Paris unter der Nummer 498 019 298, mit Geschäftssitz in 55 Rue d’Amsterdam, 75008 Paris. Der Versanddienstleister kann die Daten der Empfänger in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer, zur Optimierung oder Verbesserung der eigenen Services nutzen, z.B. zur technischen Optimierung des Versandes und der Darstellung der Newsletter oder für statistische Zwecke verwenden. Der Versanddienstleister nutzt die Daten unserer Newsletterempfänger jedoch nicht, um diese selbst anzuschreiben oder um die Daten an Dritte weiterzugeben.
Die Newsletter enthalten einen sog. „web-beacon“, d.h. eine pixelgroße Datei, die beim Öffnen des Newsletters von unserem Server, bzw. sofern wir einen Versanddienstleister einsetzen, von dessen Server abgerufen wird. Im Rahmen dieses Abrufs werden zunächst technische Informationen, wie Informationen zum Browser und Ihrem System, als auch Ihre IP-Adresse und Zeitpunkt des Abrufs erhoben. Diese Informationen werden zur technischen Verbesserung der Services anhand der technischen Daten oder der Zielgruppen und ihres Leseverhaltens anhand derer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der Zugriffszeiten genutzt. Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletterempfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch, sofern eingesetzt, das des Versanddienstleisters, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden. Die Datenschutzbestimmungen vom Sendinblue können Sie unter https://de.sendinblue.com/legal/privacypolicyeinsehen.

 

Getresponse
Für den Versand des Newsletters haben wir außerdem den Anbieter Getresponse Sp. z o.o. mit eingetragenem Geschäftssitz in Gdansk, Polen, ul. Arkonska 6, A3, 80-387 Gdansk eingesetzt.

Getresponse wird Ihre Daten nur für den Versand des Newsletters und die Auswertung dieses Versandes in unserem Auftrag verwenden. Weiter wird Getresponse Ihre Daten nur zur Verbesserung des eigenen Service nutzen. Getresponse wird die Daten aber nicht verwenden, um Sie selbst anzuschreiben oder Ihre Daten an Dritte weitergeben. Die von Getresponse verwendeten Daten enthalten einen „web-beacon“, der die Öffnung des Newletters und/oder die Betätigung eines darin enthaltenen Links durch Sie an Getresponse sendet. Dabei werden an Getresponse Informationen zu Ihrem Browser, Ihren Standort und Ihre IP-Adresse übermittelt. Diese Informationen werden verwendet, um unsere Ansprache an Sie zu optimieren.

Für den Umgang mit Ihren Daten bei Getresponse verweisen wir auf die Datenschutzerklärung von Getresponse: https://www.getresponse.de/email-marketing/legal/datenschutz.html.

 

Mouseflow
Wir verwenden Mouseflow. Anbieter ist Mouseflow ApS, Flaesketorvet 68, 1711 Kopenhagen, Dänemark. Mouseflow ist ein Analyse-Tool, das Mausklicks- und Bewegungen, Scrollbewegungen und andere Metadaten erfasst. Die Datenverarbeitung erfolgt zum Zweck der Optimierung unseres Internetangebotes. Dieser Dienst erfasst Ihre IP-Adresse in anonymisierter Form, welche unserer Internetseiten Sie besucht haben und ggf. weitere von Mouseflow für die Bereitstellung des Dienstes benötigte Daten. Sie können die Erfassung durch Mouseflow verhindern indem Sie auf den Link https://mouseflow.de/opt-out klicken um ein Opt-Out-Cookie zu beziehen. Dieses Cookie bewirkt, dass zukünftig keine Besucherdaten beim Besuch dieses Internetangebotes durch Mouseflow erhoben und gespeichert werden. Achtung: Wenn Sie Ihre Cookies löschen hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Weitere Informationen zum Datenschutz und zu den eingesetzten Cookies bei Mouseflow finden Sie auf der Website von Mouseflow: https://mouseflow.de/privacy.

 

Salesviewer
Wir verwenden auf unserer Website Auf dieser Webseite Salesviewer. SalesViewer erfasst Daten zu Marketing-, Marktforschungs- und Optimierungszwecken

Aus diesen Daten können unter einem Pseudonym Nutzungsprofile erstellt werden. Hierzu wird ein sog. Tracking-Script eingesetzt, das zur Erhebung unternehmensbezogener Daten dient. Die mit dieser Technologien erhobenen Daten werden ohne die gesondert erteilte Zustimmung des Betroffenen nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt.


Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden, indem Sie bitte diesen Link https://www.salesviewer.com/opt-out anklicken, um die Erfassung durch SalesViewer innerhalb dieser Webseite zukünftig zu verhindern. Dabei wird ein Opt-out-Cookie für diese Webseite auf Ihrem Gerät abgelegt. Löschen Sie Ihre Cookies in diesem Browser, müssen Sie diesen Link erneut klicken.

 

Contactform7
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Für unser Kontaktformular nutzen wir den Service von Contact Form 7. Deren Datenschutzerklärung können Sie unter https://contactform7.com/privacy-policy einsehen.

 

Zendesk

Wir nutzen für unser Supportsystem die etablierte Software von Zendesk, Zendesk, Inc., 989 Market Street #300, San Francisco, CA 94102, USA. Zendesk ist ein zertifizierter Teilnehmer des Datenschutzabkommens Safe Harbor und erfüllt somit die Mindestvoraussetzungen für eine gesetzeskonforme Verarbeitung von Daten nach europäischem Standard.


Weitere Informationen finden Sie unter https://www.zendesk.de/datenschutzrichtlinie

 

 

Vereinbarung
zur Auftragsdatenverarbeitung

zwischen
li-x User
– Verantwortlicher – nachstehend Auftraggeber genannt –

und der
li-x GmbH, Barmbeker Str. 2, 22303 Hamburg, Germany
– Auftragsverarbeiter – nachstehend Auftragnehmer genannt –

1. Gegenstand und Dauer des Auftrags

  1. Gegenstand

Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

  • Auftragsabwicklung
  • Verwaltung von Softwarelizenzen
  • Verwaltung von Kundenaccounts
  • Kundenservice und -Support
  • Durchführung und Dokumentation von Lizenzübertragungen
  • Bereitstellung von Lizenzinformationen und -dokumenten

(2) Dauer / Kündigung und Ausnahmen

Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von 3 Monaten gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.

Die Speicherung und Verwendung von Informationen zur Dokumentation der Rechtekette von Softwarelizenzen und verbundener Dokumente ist von einer Kündigung explizit ausgenommen. Diese Informationen und Daten können auch nach einer Kündigung vom Auftragnehmer zur Erbringung seiner Leistung für Dritte verwendet werden. Es gelten die AGBs der li-x GmbH.

2. Konkretisierung des Auftragsinhalts

  1. Art und Zweck der vorgesehenen Verarbeitung von Daten

Der Auftragsgegenstandes ist im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers wie folgt beschrieben:

Der Auftraggeber kann die Platform der Auftragnehmers nutzen, um Softwarelizenzen zu kaufen, zu verwalten und z.B. an seine Kunden zu überragen. Hierzu legt der Auftraggeber Kunden in der Platform an und überträgt Lizenzen systematisch an diese.

Der Auftragnehmer speichert diese Adressinformationen der Kunden des Auftraggebers in einer SQL-Datenbank. Die Übertragungsdetails werden dort ebenfalls gespeichert. Transferdokumente, die den Firmennamen und ggf. Ansprechpartner sowie die Transferdetails beinhalten werden vom Auftragnehmer erstellt und gespeichert.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau in einem Drittland wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DS-GVO).

(2) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien

  • Personenstammdaten
  • Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Kaufinformation)
  • Kundenhistorie (Rechtekette)

(3) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Mitarbeiter des Auftraggebers
  • Geschäftspartner,
  • Kunden,
  • Interessenten,
  • Abonnenten,
  • Beschäftigte,
  • Lieferanten,
  • Ansprechpartner.

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer macht die Art und den Umfang der Datenauftragsverarbeitung sowie die erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu im Vorfeld der Auftragsvergabe bekannt dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Dr. Frank Eickmeier, Adresse und Kontaktdatenbestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
  2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
  4. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  5. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  6. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
  7. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
  8. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Die Weitergabe von Aufträgen im Rahmen der im Auftrag vereinbarten Tätigkeiten an Subunternehmer ist zulässig. Der Auftragnehmer wird Subunternehmer nach deren Eignung, insbesondere auf die Anforderungen der DS-GVO, sorgfältig auswählen und regelmäßig prüfen. Des Weiteren wird der Auftragnehmer mit den Subunternehmern eine dieser Vereinbarung entsprechende Vereinbarung zu Auftragsverarbeitung vereinbaren. Der Auftragnehmer informiert den Auftraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben. Erfolgt kein Einspruch innerhalb von 14 Tagen ab Bekanntgabe, gilt die Zustimmung zur Änderung als erteilt.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

(4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
  2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
  3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
  4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
  5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.  Die Speicherung und Verwendung von Informationen zur Dokumentation der Rechtekette von Softwarelizenzen und verbundener Dokumente ist von einer Kündigung explizit ausgenommen. Diese Informationen und Daten können auch nach einer Kündigung vom Auftragnehmer zur Erbringung seiner Leistung für Dritte verwendet werden. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

Anlage – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;
  • Zugangskontrolle
    Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
  • Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

  • Datenschutz-Management;
  • Incident-Response-Management;
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.