Allgemeine Geschäfts-bedingungen „zolar FLOW“ („Nutzungsbedingungen“)

Version 1.2, Stand 30. Juli 2025  
Vorbemerkungen Die ZOLAR GmbH, Oranienstraße 185, 10999 Berlin, Deutschland („ZOLAR“) hat die SaaS-Lösung “zolar Flow“ („zolar Flow“ oder „Software“ genannt) entwickelt, über Handwerksbetriebe wie insbesondere Installateure von Photovoltaikanlagen ihre Projekte steuern können. Für die zwischen ZOLAR und dem jeweiligen im Vertrag genannten Kunden („Kunde“) geschlossene Verträge über die Nutzung von zolar Flow gelten ergänzend die folgenden allgemeinen Geschäftsbedingungen  („Nutzungsbedingungen“):  
1.       Gegenstand
1.1     „zolar Flow“ bezeichnet das von ZOLAR entwickelte End-to-End Plattform zur Projektsteuerung von Photovoltaikprojekten in Deutschland (z.B. Errichtung, Serviceeinsätze etc.) einschließlich des zolar Smart Assistent, welche von ZOLAR als Cloud-Service (Software as a Service) zur Verfügung gestellt wird. Unter "Software" ist die Software zu verstehen, die dem Nutzer ganz oder teilweise gemäß dem Inhalt eines Vertrages mit der ZOLAR zur Verfügung gestellt wird (z. B. nur bestimmte Funktionalitäten, Komponenten, Module oder Dienste), sowie die neuen Versionen derselben, die im Rahmen der Wartung-/Supportdienste geliefert werden, jedoch unter Ausschluss der Produkte von Dritten. Es besteht die Möglichkeit, dass Produkte von Dritten in zolar Flow integriert werden. Als „Produkte von Dritten“ verstehen die Parteien jedes Produkt, jede Software, Anwendung, jedes Merkmal, jede Funktionalität, jede Komponente oder jeder Dienst von Dritten, auf die (z. B. durch APIs, Links oder Integrationen) zugegriffen werden kann und die von der Software aus genutzt werden können und für die dem Kunden die Nutzungsrechte von diesen Dritten direkt und nicht vom Dienstleister gemäß den Lizenz- oder Dienstleistungsbedingungen der Dritten gewährt werden, einschließlich derjenigen, die in einem Angebot oder in der Produkt- und Leistungsbeschreibung angegeben sind.
1.2     Die Angebote der zolar richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB, also natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbstständigen beruflichen Tätigkeit handeln. Verbrauchern im Sinne des § 13 BGB ist der Erwerb dieser Leistungen nicht gestattet. Mit Abgabe einer Bestellung bestätigt der Kunde, Unternehmer im Sinne dieser Vorschrift zu sein.
1.3     Diese Nutzungsbedingungen gelten ausschließlich. Abweichende, entgegenstehende oder ergänzende allgemeine Geschäfts-, Liefer- oder Auftragsbedingungen des Kunden werden nur dann und insoweit Vertragsbestandteil, als ZOLAR ihrer Geltung ausdrücklich schriftlich zugestimmt hat. Im Einzelfall ausdrücklich getroffene, individuelle Vereinbarungen mit dem Kunden (einschließlich Nebenabreden, Ergänzungen und Änderungen) haben in jedem Fall Vorrang vor diesen Nutzungsbedingungen.  
2.       Leistungsumfang; Nutzungsrechte
2.1        ZOLAR stellt dem Kunden zolar Flow und die damit verbundenen Dienstleistungen (z. B. Updates, Wartung, Support) gemäß dem jeweils gültigen Leistungsumfang zur Verfügung.
2.2        Der Kunde ist berechtigt, die Software sowie die damit in Zusammenhang stehenden Services der zolar Installer Services („zolar Installer Services“) in dem zur Verfügung stehenden Umfang („as-is“) nach den in dieser Vereinbarung niedergelegten Bestimmungen zu nutzen.
2.3        Für einzelne in den zolar Installer Services angebotene Leistungen (z.B. dem zolar Marketplace) gelten gesonderte Nutzungsbedingungen und Preise, die von dem Kunden vor Nutzung akzeptiert werden müssen.
2.4        ZOLAR stellt dem Kunden eine nicht-exklusive, nicht übertragbare, widerrufliche Lizenz zur Verfügung, um die Software, zolar Flow, während der Laufzeit des Vertrages zu nutzen.
2.5        Der Kunde wird die Software unter normalen Betriebsbedingungen nutzen und Feedback zu Fehlern, Verbesserungsvorschläge und Rückmeldungen zur allgemeinen Benutzerfreundlichkeit an ZOLAR geben. Der Kunde verpflichtet sich dabei, etwaige Fehler unverzüglich der ZOLAR zu melden.
2.6        ZOLAR gewährleistet, dass die Software mit der vereinbarten Verfügbarkeit, Funktionalität und Performance zur Verfügung gestellt wird. Der Leistungsumfang kann in einer gesondertem Leistungsbeschreibung zusätzlich detailliert geregelt werden. Einzelheiten zu Verfügbarkeit und Service-Level können in einem gesonderten Service Level Agreement („SLA“) geregelt werden.
2.7        ZOLAR behält sich vor, die Software jederzeit weiterzuentwickeln oder zu ändern, sofern dies den Betrieb der Software bzw. der Services nicht erheblich beeinträchtigt.
2.8        ZOLAR hat organisatorische und technische Sicherheitsmaßnahmen und -verfahren einzuführen und aufrechtzuerhalten, die darauf ausgelegt sind, die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung, die Offenlegung oder den unberechtigten Zugriff auf Kundendaten zu minimieren. ZOLAR bewertet diese Maßnahmen und Verfahren von Zeit zu Zeit und kann die Software und/oder Sicherheitsmaßnahmen und -verfahren jederzeit aktualisieren, sofern das Schutzniveau nicht verringert wird. Sicherheitsmaßnahmen und Schutzvorkehrungen können naturgemäß umgangen werden, und ZOLAR kann nicht garantieren, dass Unbefugte, die in der Lage sind, diese Maßnahmen zu überwinden, keinen Zugriff auf die Software, die Server von ZOLAR und die darin enthaltenen Kundendaten haben. In solchen Fällen ist ZOLAR berechtigt, den Zugang zu der Software zu sperren.
2.9        Vorbehaltlich der Einhaltung der Vertragsbedingungen durch den Kunden gewährt ZOLAR dem Kunden für die vereinbarte Laufzeit des Vertrags das nicht ausschließliche und nicht übertragbare Recht/Lizenz, auf die Software zuzugreifen und sie für die vom Kunden für seine Nutzer erworbene Anzahl von Lizenzen zu nutzen, und zwar ausschließlich für die internen Geschäftszwecke des Kunden und/oder seiner verbundenen Unternehmen (verbundene Unternehmen i.S.d. §§ 15 ff. AktG). Der Kunde kann den Zugriff auf die Software und deren Nutzung durch ein mit dem Kunden verbundenes Unternehmen und/oder einen autorisierten unabhängigen Auftragnehmer des Kunden oder eines verbundenen Unternehmens gestatten, vorausgesetzt, dass ein solcher Zugriff und eine solche Nutzung (i) für die internen Geschäftszwecke des Kunden oder des mit dem Kunden verbundenen Unternehmens und (ii) in strikter Übereinstimmung mit allen im Vertrag festgelegten Bedingungen erfolgt. Der Kunde ist dafür verantwortlich, dass alle verbundenen Unternehmen und/oder einen autorisierten unabhängigen Auftragnehmer (und deren Benutzer) die Bedingungen des Vertrags einhalten, und der Kunde ist dafür verantwortlich und haftbar, dass alle verbundenen Unternehmen und/oder einen autorisierten unabhängigen Auftragnehmer des Kunden (und deren Benutzer) die Bedingungen des Vertrags vollständig einhalten), so dass jede Verletzung der Bedingungen dieser Vereinbarung durch eine verbundenes Unternehmen oder einen autorisierten unabhängigen Auftragnehmer (oder ihre Benutzer) als eine Verletzung durch den Kunden gilt. Der Kunde, seine verbundenen Unternehmen, autorisierten unabhängigen Auftragnehmer und Benutzer müssen direkt alle zusätzlichen Vereinbarungen und Verträge miteinander abschließen, die erforderlich sind, um die Einhaltung dieses Abschnitts und der rechtlichen Verpflichtungen des Kunden im Zusammenhang mit dieser Vereinbarung zu gewährleisten (z. B. zur Weitergabe von Kundendaten).Nicht produktive Zugänge und Umgebungen (Vorproduktion, Test, Abnahme usw.) dürfen nur für die vorgesehenen Zwecke verwendet werden, und der Kunde darf sie nicht im Echtbetrieb einsetzen.
2.10     Der Kunde erklärt sich damit einverstanden, den Quellcode der Software nicht zu dekompilieren, zurückzuentwickeln, zu disassemblieren, zu entschlüsseln oder anderweitig zu versuchen, diesen abzuleiten (es sei denn, die vorgenannten Einschränkungen sind durch geltendes Recht untersagt oder durch die Lizenzbedingungen für die Verwendung von Open-Source-Komponenten, die in der Software enthalten sind, erlaubt). Der Kunde bestätigt, dass die Software nur zu eigenen Zwecken verwendet wird und nicht vermietet, verkauft, verleast, unterlizenziert, abgetreten, verteilt oder anderweitig übertragen wird.
2.11     Der Kunde erkennt an, dass alle Eigentumsrechte an der Software bei ZOLAR verbleiben. Der Kunde verpflichtet sich und stellt sicher, dass die Nutzer, es sei denn, dies ist in diesem Vertrag ausdrücklich gestattet, nicht: (i) ohne vorherige schriftliche Zustimmung der ZOLAR die Software zurückentwickeln, disassemblieren, dekompilieren oder auf andere Weise versuchen, einen Aspekt oder eine Komponente eines Teils der Software zu extrahieren oder abzuleiten (oder anderweitig in eine für den Menschen lesbare Form zu bringen), es sei denn, dies ist gesetzlich zulässig und kann nicht durch eine Vereinbarung zwischen den Parteien ausgeschlossen werden. ZOLAR stellt dem Kunden auf schriftliche Anfrage die Informationen zur Verfügung, die für die Interoperabilität der Software mit dem Informationssystem des Kunden erforderlich sind und der Kunde garantiert, dass die im Rahmen dieser Tätigkeiten erhaltenen Informationen Vertrauliche Informationen sind und nur zum Zweck der Herstellung der Interoperabilität verwendet werden und nicht dazu dienen, eine konkurrierende Software zu erstellen oder auf andere Weise zu versuchen, den Quellcode der Software abzuleiten oder sich Zugang dazu zu verschaffen; (ii) die Hinweise auf geistige Eigentumsrechte, Vertraulichkeit oder andere ähnliche Beschriftungen oder Hinweise, die auf oder in der Software erscheinen, entfernen, löschen, maskieren oder verändern; (iii) die Software unter Verletzung von Vorschriften oder Gesetzen oder für illegale Aktivitäten nutzen, und der Kunde darf keine Inhalte speichern oder hochladen und/oder speichern, die illegal, obszön, verleumderisch sind, die Rechte Dritter oder den Jugendschutz verletzen oder; Viren oder ähnliche Vorrichtungen enthalten; (iv) die Rechten einer natürlichen oder juristischen Person am jeweiligen geistigen Eigentum zu verletzen; (v) sofern nicht anderweitig vereinbart, Leistungsinformationen oder -analysen aus jeglicher Quelle in Bezug auf die Software offenlegen; (vi) Benutzerauthentifizierungen oder von Sicherheitsfunktionen der Software oder eines damit verbundenen Hosts, Netzwerks oder Kontos umgehen; (vii) Zugriff auf zolar Flow, um ein Konkurrenzprodukt/einen Konkurrenz-Service zu schaffen bzw. die Funktionen oder die Benutzungsoberfläche der Software zu kopieren; oder (viii) Zugriffs auf zolar Flow durch einen direkten Wettbewerber von ZOLAR gewähren. Jegliche Modifikationen, Rückmeldungen oder Vorschläge, die vom Kunden gemacht werden, gehen in das geistige Eigentum der ZOLAR über bzw. ZOLAR erwirbt die exklusiven Nutzungsrechte an diesen, ohne dass der Kunde Anspruch auf zusätzliche Entschädigung hat.
2.12     Optional kann der Kunde über die standardmäßige Einführung ein personalisiertes Onboarding beauftragen. In diesem Fall erstellt ZOLAR ein Angebot über eine kundenindividuelle Unterstützung für den erfolgreichen Einsatz der Software. 2.13     Optional ist ein regelmäßiger Feedbackloop: Der Kunde erhält die Möglichkeit nach Bedarf direkt mit dem Produktmanagement von ZOLAR zu sprechen und sich zu Problemen und neuen Funktionalitäten auszutauschen. 2.14     Optional liefert ZOLAR Unterstützung bei der Datenmigration: Sofern vom Kunden gewünscht erstellt ZOLAR ein Angebot für die Unterstützung bei der Umstellung auf die Software und / oder ein Datenimport/-export.  
3.       Zugriffsrechte und Einschränkungen
3.1     Gemäß den Bedingungen dieser Nutzungsbedingungen unternimmt ZOLAR alle vertretbaren Anstrengungen, dem Kunden zolar Flow gemäß und für die Laufzeit der zwischen ZOLAR und dem Kunden geschlossenen Vertrages zum Zugriff über das Internet verfügbar zu machen, um den Kunden bzw. seinen Nutzern zu ermöglichen, remote auf zolar Flow zuzugreifen und diese ausschließlich zu den vertraglich vorgesehen Zwecken zu verwenden („Erlaubte Nutzung“). ZOLAR kann dabei im Rahmen des datenschutzrechtlich Zulässigen eigene IT-Systeme und IT-Systeme Dritter einsetzen. Mit Ausnahme der hierin ausdrücklich eingeräumten eingeschränkten Rechte werden im Rahmen der Vereinbarung keine Rechte oder Rechtsansprüche an der Software übertragen. Sämtliche Eigentums- und Nutzungsrechte, die dem Kunden im Rahmen der Vereinbarung nicht ausdrücklich erteilt werden, bleiben ZOLAR vorbehalten. ZOLAR ist Inhaber aller Rechte, Titel und Ansprüche an allen Urheberrechten, Markenrechten, Patentrechten und sonstigen Rechten an geistigem Eigentum oder sonstigen Rechten an der Software.
3.2     Dem Kunden ist es untersagt, zolar Flow an Dritte weiter zu lizenzieren, zu verkaufen, zu verleasen, zu vermieten oder anderweitig Dritten zur Verfügung zu stellen, außer dieses ist explizit in dem Vertrag bzw. nach diesen Nutzungsbedingungen gestattet.
3.3     Außer der Bereitstellung des Zugriffs auf zolar Flow, wie in dem Vertrag und diesen Nutzungsbedingungen festgelegt, übernimmt ZOLAR keinerlei Verantwortung in Bezug auf Transaktionen oder Interaktionen, die über zolar Flow- zwischen dem Kunden und anderen Verwendern von zolar Flow stattfinden.
3.4     Der Kunde verpflichtet sich, alle anwendbaren Gesetze und Vorschriften einzuhalten, einschließlich aller anwendbaren Datenschutzgesetze und -vorschriften in Bezug auf die Nutzung oder Erfassung von personenbezogenen Daten und Informationen durch die Nutzung der Software. Der Kunde sichert zu, dass er autorisierte Nutzer ausreichend über die Bedingungen dieses Vertrages informiert und alle erforderlichen Rechte und Zustimmungen der autorisierten Nutzer für die Nutzung, die direkte und zufällige Erhebung von Daten der autorisierten Nutzer, die sich ergeben können, einholt.
3.5     ZOLAR ist zur sofortigen Sperre des Zugangs berechtigt, wenn der begründete Verdacht besteht, dass die vom Kunden gespeicherten Daten rechtswidrig sind und/oder Rechte Dritter verletzen. Ein begründeter Verdacht für eine Rechtswidrigkeit und/oder eine Rechtsverletzung liegt insbesondere dann vor, wenn Gerichte, Behörden und/oder sonstige Dritte ZOLAR davon in Kenntnis setzen. ZOLAR hat den Kunden von der Sperre und dem Grund hierfür unverzüglich zu verständigen. Die Sperre ist aufzuheben, sobald der Verdacht entkräftet ist.  
4.       Lizenzgebühren und Abrechnung
4.1        Die monatliche Lizenzgebühr für die Software beträgt, sofern nichts anderweitiges vereinbart ist, EUR 39,99 pro Benutzerlizenz („Seat“) pro Monat.
4.2        Die Abrechnung erfolgt monatlich.
4.3        Alle Preise verstehen sich zzgl. der jeweils geltenden gesetzlichen Umsatzsteuer.
4.4        Klargestellt wird, dass von den vorgenannten Lizenzkosten nicht Transaktionskosten und Drittanbieterleistungen sowie Vergütungen für andere Produkte und Services von zolar Installer Services (bspw. erworbene Leads) umfasst sind. Für diese gelten die jeweils angegebenen Preise und Konditionen.  
5.          Vertraulichkeit; Datenschutz
5.1        Die Parteien verpflichten sich zum vertraulichen Umgang mit vertraulichen Informationen (wie nachfolgend definiert) des jeweils anderen. Vertrauliche Informationen“ sind insbesondere (i) zolar Flow einschließlich der Daten, die Verwender im Rahmen der Nutzung von zolar Flow hinterlegt haben; (ii) die Software (sowohl Objekt- als auch Quellcode); (iii) in zolar Flow verkörperte oder auf diese bezogene Techniken, Konzepte, Methoden, Prozesse, Designs und Programmierschnittstellen; (iv) alle auf zolar Flow bezogenen Systemsicherheits- und Systemarchitekturkonzepte; (v) Informationen, die explizit als vertraulich bezeichnet worden sind; und (vi)  Informationen, die gemäß der Art der Informationen und den Umständen der Weitergabe vernünftigerweise als vertraulich zu betrachten sind.
5.2        Die Parteien verpflichten sich, sämtliche ihr von dem jeweils anderen während der Laufzeit dieser Vereinbarung übermittelten vertraulichen Informationen und Kenntnisse, streng vertraulich zu behandeln und ausschließlich in Zusammenhang mit der Durchführung des Zwecks zu verwenden. Jede Partei verpflichtet sich, die vertraulichen Informationen ihren Mitarbeitern sowie Subunternehmern oder externen Beratern nur dann und nur in dem Umfange bekannt zu machen, wie dies für den Zweck erforderlich ist. Jede Partei verpflichtet sich, denjenigen Mitarbeitern sowie Subunternehmern oder externen Beratern, denen die vertraulichen Informationen aufgrund ihrer Tätigkeit bekannt werden, eine den Bestimmungen dieser Vereinbarung entsprechende Geheimhaltungspflicht aufzuerlegen. Jede Partei wird die vertraulichen Informationen mit der gleichen Sorgfalt schützen, mit der sie eigene Geschäfts- und Betriebsgeheimnisse schützt, mindestens jedoch mit der Sorgfalt eines ordentlichen Kaufmanns.
5.3        Die Geheimhaltungspflichten nach dieser Klausel bestehen nicht, wenn und soweit die betreffenden Informationen nachweislich (i) dem Empfänger vor ihrer Übermittlung bereits rechtmäßig bekannt waren; (ii) ohne Zutun des Empfängers öffentlich bekannt sind oder werden; (iii) dem Empfänger von einem Dritten ohne Geheimhaltungsverpflichtung offenbart werden; (iv) von dem Empfänger unabhängig und ohne Rückgriff auf vertrauliche Informationen des anderen entwickelt worden sind;  (v) durch den jeweils anderen ausdrücklich schriftlich zur Benutzung und Weitergabe freigegeben wurden;  (vi) aufgrund einer bindenden behördlichen oder richterlichen Anordnung oder zwingender rechtlicher Vorschriften zu offenbaren sind. Sofern sich eine Partei auf das Vorliegen einer der vorgenannten Ausnahmen beruft, hat sie deren Voraussetzungen in geeigneter Form nachzuweisen.
5.4        Der Kunde verpflichtet sich, nach Beendigung der Zusammenarbeit sämtliche übermittelten Informationen, wie Unterlagen, Skizzen o. ä. unverzüglich herauszugeben oder nach deren Wahl zu vernichten. Eigene Aufzeichnungen, Zusammenstellungen und Auswertungen, die vertrauliche Informationen enthalten, sind auf Anforderung von ZOLAR zu zerstören. Elektronisch übermittelte und/ oder gespeicherte Informationen sind entsprechend zu löschen. Die vorgenannten Grundsätze gelten mit Ausnahme von Kopien, die die der Vertragspartner zu Zwecken des Nachweises von Inhalt und Ablauf der Zusammenarbeit oder auf Grundlage etwaiger gesetzlicher Aufbewahrungspflichten aufbewahrt; klargestellt wird, dass die Geheimhaltungspflichten für solche Informationen entsprechend dieser Vereinbarung fortbestehen.
5.5        Diese Verpflichtung gilt auch nach Beendigung dieses Vertrages.  
6.       Kundendaten; Datenschutz
6.1        Als „Kundendaten“ i.S.d. Nutzungsbedingungen verstehen die Parteien alle Kundeninformationen, Daten oder Inhalte, die über die Software bereitgestellt, hochgeladen, importiert oder verarbeitet werden oder ZOLAR vom Kunden im Rahmen der Erbringung der Leistungen zur Verfügung gestellt werden. Zu den Kundendaten können personenbezogene Daten gehören, die den zusätzlichen Bedingungen der Auftragsverarbeitungsvereinbarung unterliegen.
6.2        Jeder Nutzer von zolar Flow behält sämtliche Eigentumsrechte und Rechte an geistigem Eigentum, Rechtstitel und Rechtsansprüche bezüglich seiner vertraulichen Informationen. Vervielfältigungen vertraulicher Informationen der jeweils Anderen bleiben deren Eigentum und müssen alle Vertraulichkeitshinweise und Schutzvermerke enthalten, die im Original enthalten sind.
6.3        Der Kunde ist verpflichtet, technische und organisatorische Maßnahmen einzusetzen, die erforderlich sind, um die jeweiligen Anforderungen nach den geltenden Datenschutzgesetzen einzuhalten und die über in zolar Flow verarbeiteten Kundendaten angemessen vor Missbrauch zu schützen.
6.4        Der Kunde ist für die Inhalte der Daten und die Eingabe dieser Kundendaten in den zolar Flow verantwortlich. Der Nutzer verpflichtet sich, alle geltenden Gesetze, Vorschriften, Statuten, Verfügungen und Regelungen im Hinblick auf die Verwendung der zolar flow-Services einzuhalten.
6.5        Der Kunde sichert zu, dass er alle personenbezogenen Daten, die er in dem zolar flow-Service verarbeitet, in Übereinstimmung mit allen geltenden Datenschutzgesetzen, -regeln und -vorschriften gesammelt hat sowie verarbeiten wird. Der Kunde ist allein dafür verantwortlich zu beurteilen, ob der zolar Flow für die Geschäftstätigkeit des Kunden geeignet ist und er keinen gesetzlichen Bestimmungen unterliegt, die ihm eine Nutzung von zolar Flow untersagen. Der Kunde stellt insbesondere sicher, dass im Falle der Eingabe personenbezogener Daten – sofern erforderlich - alle betroffenen Einzelpersonen zuvor ihr Einverständnis zur möglichen Verarbeitung personenbezogener Daten gegeben haben oder eine sonstige gesetzliche Erlaubnis vorliegt. Der Kunde bleibt in Bezug auf solche personenbezogenen Daten stets die verantwortliche Stelle. Der Kunde stellt ZOLAR von allen Ansprüchen des Betroffenen frei und ersetzt ZOLAR alle Schäden, die ZOLAR durch eine datenschutzrechtswidrige Verarbeitung von personenbezogenen Daten entstehen, es sei denn, der Kunde weist nach, dass er den Verstoß nicht zu vertreten hat. In Ergänzung zu diesen Nutzungsbedingungen gilt die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung i.S.d. Art. 28 DSGVO („AVV“) mit Abschluss eines Vertrages zur Nutzung von zolar Flow als zwischen den Parteien geschlossen. Im Falle von Widersprüchen zwischen diesen Nutzungsbedingungen und der AVV gehen die Bestimmungen der AVV vor.
6.6        ZOLAR verarbeitet die personenbezogenen Daten des Kunden und seiner Nutzer, um (i) zolar Flow für den Kunden einzurichten, zu betreiben, zu überwachen, zu analysieren und bereitzustellen; (ii) andere Verwender dem Vertragszweck entsprechend zu unterstützen; (iii) die Verwendung von zolar Flow auf andere Weise zu verbessern; (iv) die Kontaktaufnahme mit dem Nutzer zu ermöglichen; (v) geltende Rechte, Vorschriften und/oder rechtliche Verfahren einzuhalten.
6.7        Im Übrigen gilt die Datenschutzerklärung der ZOLAR in ihrer jeweils geltenden Fassung (https://www.zolar.com/).  
7.       Einsatz von KI; Nutzung von Kundendaten für KI-Trainingszwecke
7.1     ZOLAR setzt im Rahmen der bereitgestellten Software teilweise automatisierte Systeme ein, die auf Verfahren der Künstlichen Intelligenz („KI“) basieren. Diese KI-gestützten Funktionen dienen insbesondere der automatisierten Texterkennung, Datenanalyse, Prognosemodellen, Personalisierung etc. ZOLAR erklärt, dass die eingesetzten KI-Systeme den Anforderungen der EU-Verordnung über Künstliche Intelligenz („KI-Verordnung“) entsprechen, soweit diese anwendbar sind. Insbesondere werden alle gemäß der Verordnung erforderlichen Transparenzpflichten, Kennzeichnungspflichten und technischen Sicherheitsanforderungen eingehalten.  Der Kunde wird hiermit darüber informiert, dass bestimmte Ausgaben oder Empfehlungen der Software auf der Grundlage statistischer Modelle und maschinellen Lernens erfolgen. Eine eigenständige Entscheidung durch den Kunden bleibt erforderlich; die vom System bereitgestellten Informationen sind als Unterstützung, nicht als bindende Entscheidungen zu verstehen. ZOLAR wird den Kunden über wesentliche Änderungen in Bezug auf die Klassifizierung oder den Funktionsumfang der eingesetzten KI-Systeme rechtzeitig informieren.
7.2     ZOLAR ist berechtigt, Daten, die im Rahmen der Nutzung von zolar Flow durch den Kunden generiert oder übermittelt werden („Nutzungsdaten“), zur Weiterentwicklung, Verbesserung und zum Training eigener Algorithmen und KI-Modelle zu verwenden, sofern diese Daten in anonymisierter und aggregierter Form verarbeitet werden und keine Rückschlüsse auf den Kunden oder einzelne Personen möglich sind.
7.3     Personenbezogene Daten werden ausschließlich in Übereinstimmung mit den geltenden Datenschutzgesetzen (insbesondere der DSGVO) verwendet. Eine Nutzung personenbezogener Daten für Trainingszwecke erfolgt nur, sofern eine datenschutzrechtlich zulässige Rechtsgrundlage vorliegt, insbesondere auf Grundlage einer Vereinbarung zur Auftragsverarbeitung und gegebenenfalls nach vorheriger ausdrücklicher Zustimmung des Kunden.
7.4     Die vertrauliche Behandlung sensibler Unternehmensdaten des Kunden bleibt hiervon unberührt. ZOLAR verpflichtet sich, angemessene technische und organisatorische Maßnahmen zu treffen, um die Sicherheit und Integrität der Daten zu gewährleisten.  
8.       Gewährleistungen und Haftungsausschluss
8.1        Der Kunde erkennt an und erklärt sich damit einverstanden, dass die End-to-End Plattform und die Software (zolar Flow) einschließlich aller Updates und Erweiterungen „wie gesehen“ und „wie verfügbar“ („as is“) ohne jegliche weitere Gewährleistung bereitgestellt wird.
8.2        Für den Fall, dass Leistungen der ZOLAR von unberechtigten Dritten unter Verwendung der Zugangsdaten des Kunden in Anspruch genommen werden, haftet der Kunde für dadurch anfallende Entgelte und Schäden gegenüber ZOLAR im Rahmen der zivilrechtlichen Haftung bis zu der Meldung des Verlusts oder Diebstahls.
8.3        ZOLAR erklärt, dass sie wirtschaftlich vertretbare Anstrengungen unternimmt, um zu gewährleisten, dass die von ihr zur Verfügung gestellten Vertraulichen Informationen frei sind von Viren, Trojanern, Cancelbots, „Zeitbomben“ oder anderer schädlicher Software, die zum Deaktivieren, Löschen oder Beschädigen von Software, Hardware oder Daten entwickelt wurde. Soweit in dieser Nutzungsvereinbarung oder in der Vereinbarung mit dem Nutzer nicht anderweitig festgelegt, erkennt der Nutzer an und erklärt sich damit einverstanden, dass zolar Flow einschließlich aller Updates und Erweiterungen „wie gesehen“ und „wie verfügbar“ ohne jegliche weitere Gewährleistung bereitgestellt wird, und dass alle anderen Gewährleistungen ausgeschlossen sind.
8.4        Der Kunde ist verpflichtet, ihm bekanntwerdende Mängel und Beeinträchtigungen der Software ZOLAR unverzüglich anzuzeigen. Unterlässt er dies, so erlöschen etwaige Minderungs-, Schadensersatz- und Kündigungsrechte des Kunden (§ 536 c Abs. 2 Satz 2 BGB entsprechend).
8.5        Für den Fall, dass Leistungen der ZOLAR von unberechtigten Dritten unter Verwendung der Zugangsdaten des Nutzers in Anspruch genommen werden, haftet der Nutzer für dadurch anfallende Entgelte und Schäden gegenüber ZOLAR im Rahmen der zivilrechtlichen Haftung bis zu der Meldung des Verlusts oder Diebstahls.
8.6        ZOLAR haftet dem Kunden unbeschränkt für Schäden, die aus einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von ZOLAR, ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen resultieren. Bei einfacher Fahrlässigkeit haftet ZOLAR nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). Kardinalpflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf. Dazu gehören insbesondere die Bereitstellung der vertraglich vereinbarten SaaS-Dienste in einer Weise, die deren grundlegende Nutzbarkeit sicherstellt. In diesem Fall ist die Haftung auf den typischen, vorhersehbaren Schaden begrenzt.
8.7        ZOLAR haftet nicht für entgangenen Gewinn, mittelbare Schäden oder Folgeschäden. Die Haftung für Schäden aufgrund von Datenverlusten ist auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien entstanden wäre.
8.8        Soweit ZOLAR kostenlose Leistungen erbringt, erfolgt dies unter Ausschluss jeglicher Haftung, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt.
8.9        ZOLAR haftet nicht für Leistungsstörungen aufgrund höherer Gewalt, insbesondere Naturkatastrophen, Pandemien, Streiks, behördliche Anordnungen oder Ausfälle von Kommunikationsnetzen, die außerhalb ihres Einflussbereichs liegen.
8.10     Von vorstehenden Beschränkungen unbenommen haftet ZOLAR unbeschränkt für vorsätzlich oder fahrlässig verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit durch ZOLAR, seine gesetzlichen Vertreter oder Erfüllungsgehilfen. Gleichfalls nicht limitiert wird die Haftung aus Garantien und die Haftung nach dem Produkthaftungsgesetz sowie nach zwingenden sonstigen gesetzlichen Bestimmungen.
8.11     Vorstehende Beschränkungen und Begrenzungen gelten gleichermaßen für durch Organe und Erfüllungsgehilfen der ZOLAR begangene Pflichtverletzungen und gleichermaßen für Ansprüche auf Ersatz vergeblicher Aufwendungen.  
9            Laufzeit und Beendigung; Sperrung
9.1        Der Vertrag über die Nutzung von zolar Flow tritt mit Bestellung und Annahme der Bestellung durch ZOLAR in Kraft und hat eine anfängliche Laufzeit von zwölf (12) Monaten ab dem Datum des Vertragsabschlusses. Die Parteien vereinbaren, dass die ersten 4 Wochen als Testphase gelten. Innerhalb der Testphase kann der Kunde den Vertrag mit einer Frist von sieben (7) Tagen zum Monatsende kündigen (Sonderkündigungsrecht Testphase).
9.2        Nach Ablauf der Erstlaufzeit verlängert sich der Vertrag automatisch jeweils um weitere zwölf (12) Monate, sofern er nicht von einer der Parteien mit einer Frist von drei (3) Monaten zum Ende der jeweiligen Laufzeit schriftlich gekündigt wird.
9.3        Unberührt bleibt das Recht zur Kündigung aus wichtigem Grund bzw. in diesem Vertrag vereinbarte Sonderkündigungsrechte.
9.4        Falls der Vertrag zwischen dem Kunden und der ZOLAR beendet wird, erlischt das Recht des Kunden und seiner Nutzer zum Zugriff auf zolar Flow mit sofortiger Wirkung. Mit dem Datum der Beendigung des Vertrages wird der Zugang des Kunden zu zolar Flow beendet. Im Falle der Beendigung ist der Kunde eigenständig dazu verpflichtet, einen Export seiner in der zur Verfügung gestellten Software gespeicherten Daten durchzuführen. Der Kunde ist für die Einhaltung der ihm obliegenden Aufbewahrungspflichten selbst verantwortlich. Bei Bedarf unterstützt ZOLAR den Kunden im Falle einer Einigung über die Konditionen der Unterstützung. Klargestellt wird, dass ZOLAR nach Vertragsbeendigung kein Back-up für die Daten des Kunden vorhalten wird, außer ein Back-up ist für eigene Zwecke von ZOLAR erforderlich.
9.5        Darüber hinaus kann ZOLAR die Zugangsdaten des Kunden deaktivieren und/oder Zugriff auf zolar Flow oder einen Teil davon zeitweilig sperren, wenn ZOLAR feststellt, dass die fortgesetzte Nutzung von zolar Flow zu Schäden für zolar Flow einschließlich der verwendeten Systeme, und zur Verletzung der Rechte an geistigem Eigentum von ZOLAR oder anderer Kunden von ZOLAR oder der Rechte Dritter führen kann. ZOLAR wird dem Nutzer eine derartige Aussetzung oder Beendigung und den entsprechenden Grund mitteilen.
9.6        Jegliche Bestimmungen, die ihrer Natur nach einer Beendigung überdauern sollten (insbesondere die zur Vertraulichkeit, Datenschutz, Haftung, Schlussbestimmungen), überdauern den Ablauf, die Kündigung und den Rücktritt von dieser Nutzungsvereinbarung, und behalten auch nach Beendigung der Nutzungsvereinbarung ihre volle Gültigkeit.  
10.     Wirkung und Leistungen bei Beendigung
10.1   Bei Kündigung oder sonstiger Beendigung des Vertrags :(i) enden alle und Rechte/Lizenzen des Kunden zolar Flow zu nutzen; (ii)) werden die Kundendaten gelöscht (ggf. nach Rückgabe an den Kunden im Rahmen etwaiger Beendigungsleistungen), sofern sie nicht zur Erfüllung einer gesetzlichen Verpflichtung der ZOLAR aufbewahrt werden.
10.2   Der Kunde ist sich bewusst, dass er eigenständig für die Einhaltung bestehender gesetzlicher Aufbewahrungspflichten verantwortlich ist, Es obliegt dem Kunden, bei Vertragsbeendigung in eigener Verantwortung einen Export aufbewahrungspflichtiger Dokumente und sowie sonstiger Informationen, an deren Aufbewahrung er ein Interesse hat, durchzuführen. ZOLAR ist ausdrücklich nicht verpflichtet, Kundendaten zu archivieren. 
10.3   Bei Beendigung des Vertrages wird ZOLAR für den Kunden auf schriftlichen Antrag des Kunden Beendigungsleistungen vorbehaltlich der Einigung auf die Konditionen der Beendigungsleistungen durchführen.  
11.     Anpassung Nutzungsbedingungen
11.1   ZOLAR ist berechtigt, diese Nutzungsbedingungen mit Wirkung für die Zukunft zu ändern, soweit dies für die Anpassung an technische Entwicklungen, Änderungen des Leistungsumfangs der Software, Weiterentwicklungen von zolar Flow, geänderte gesetzliche oder regulatorische Anforderungen oder neue Sicherheitsanforderungen erforderlich ist und die Änderungen den Kunden nicht unangemessen benachteiligen.
11.2   ZOLAR wird den Kunden mindestens sechs (6) Wochen vor dem geplanten Inkrafttreten der geänderten Nutzungsbedingungen in Textform über die Änderungen informieren. Sofern der Kunde den Änderungen nicht innerhalb von vier (4) Wochen nach Zugang der Änderungsmitteilung widerspricht, gelten die Änderungen als angenommen.
11.3   In der Änderungsmitteilung wird ZOLAR den Kunden ausdrücklich auf das Widerspruchsrecht und die Folgen eines unterlassenen Widerspruchs hinweisen.  
12.        Preisanpassung
12.1     ZOLAR ist berechtigt, die vereinbarten Preise für die SaaS-Leistungen jährlich anzupassen, um gestiegenen Kosten für Betrieb, Infrastruktur, Personal, Support oder aufgrund von allgemeinen Preisentwicklungen Rechnung zu tragen.
12.2     Eine Preisanpassung darf frühestens nach Ablauf der anfänglichen Laufzeit bzw. 12 Monate nach der letzten Preisanpassung erfolgen und wird dem Kunden mindestens sechs (6) Wochen vor Inkrafttreten in Textform mitgeteilt.
12.3     Die Preisanpassung darf maximal 5 % pro Jahr betragen, es sei denn, die Anpassung erfolgt aufgrund nachweislich gestiegener Kosten oder auf Grundlage eines öffentlich zugänglichen Index (z. B. Verbraucherpreisindex [VPI] des Statistischen Bundesamtes). 12.4     Im Fall einer Erhöhung von mehr als 5 % jährlich ist der Kunde berechtigt, den Vertrag außerordentlich zum Zeitpunkt des Inkrafttretens der Preisanpassung zu kündigen. Der Anbieter wird den Kunden in der Mitteilung über die Preisanpassung auf dieses Sonderkündigungsrecht ausdrücklich hinweisen.  
13.        Referenznennung und Case Study
13.1     ZOLAR ist berechtigt, aber nicht verpflichtet, den Kunden unter Nennung von Name und / oder Firmenlogo und / oder einer allgemeinen Beschreibung des bereitgestellten Leistungsumfangs (z. B. Branche, Einsatzbereich, Nutzen) als Referenz in Präsentationen, auf der Website und in sonstigen Marketingmaterialien (z. B. Broschüren, Pitchdecks, Whitepapers) zu benennen.
13.2     Die Referenznennung erfolgt ausschließlich sachlich und werblich zurückhaltend. Eine weitergehende werbliche Verwendung, insbesondere die Veröffentlichung von Logos in Kombination mit Zitaten, detaillierten Projektdaten oder Aussagen zum Geschäftserfolg, bedarf der vorherigen schriftlichen Zustimmung des Kunden.
13.3     Sofern beide Parteien zustimmen, kann zusätzlich eine gemeinsame Case Study erstellt und veröffentlicht werden. Die Inhalte, Form und Veröffentlichungswege der Case Study werden zwischen den Parteien einvernehmlich abgestimmt.
13.4     Der Kunde kann der Referenznennung jederzeit mit Wirkung für die Zukunft widersprechen.  
14.        Weitere Bedingungen
14.1     Für die Nutzung der Weboberfläche ist es erforderlich, dass der jeweilige Nutzer die Nutzungsbedingungen in der jeweils aktuellen Form akzeptiert.
14.2     Zur Konkretisierung der Leistungen kann ZOLAR weitere Leistungsbeschreibungen und Service Level Agreements zum Vertragsgegenstand machen. Die Ankündigungsfrist für etwaige Ergänzungen durch ZOLAR beträgt vier Wochen. D.h. ZOLAR ist berechtigt, diesen Vertrag mit Wirkung für die Zukunft durch Ergänzung um Leistungsbeschreibungen und Service Level Agreements zu ändern, soweit dies für die Anpassung an technische Entwicklungen, Änderungen des Leistungsumfangs der Software, Weiterentwicklungen der zolar flow-Plattform, geänderte gesetzliche oder regulatorische Anforderungen oder neue Sicherheitsanforderungen erforderlich ist und die Änderungen den Kunden nicht unangemessen benachteiligen. ZOLAR wird den Kunden mindestens vier (4) Wochen vor dem geplanten Inkrafttreten der Änderung in Textform über die Änderungen informieren. Sofern der Kunde den Änderungen nicht innerhalb dieser vier Wochen nach Zugang der Änderungsmitteilung widerspricht, gelten die Änderungen als angenommen. In der Änderungsmitteilung wird ZOLAR den Kunden ausdrücklich auf das Widerspruchsrecht und die Folgen eines unterlassenen Widerspruchs hinweisen.  
15.     Schlussbestimmungen
15.1   Änderungen und Ergänzungen sowie die Kündigung des Vertragsverhältnisses unterliegen der Schriftform. Das gilt auch für den Verzicht auf das Schriftformerfordernis selbst. Die Schriftform wird gewahrt durch den elektronischen Austausch eingescannter unterschriebener Dokumente. Als Schriftform im Sinne dieses Vertrages ist neben der gesetzlich vorgesehenen eigenhändig unterzeichneten Urkunde auch (i) der elektronische Austausch unterschriebener und eingescannter Dokumente sowie (ii) ein elektronisch signiertes und elektronisch übermitteltes Dokument, bei dem durch ein digitales Protokoll der Dokumenthistorie (Abschlusszertifikat) des Anbieters sichergestellt wird, dass der Unterzeichner identifizierbar und eine nachträgliche Veränderung der Daten erkennbar ist, zulässig.
15.2   Von vorstehender Regelung unberührt behält sich ZOLAR das Recht vor, die Nutzungsbedingungen zu ändern. Änderungen der Nutzungsbedingungen werden dem registrierten Nutzer per E-Mail mitgeteilt. Sie gelten als vom Nutzer akzeptiert, wenn der Nutzer den Änderungen nicht binnen zwei Wochen nach Erhalt widerspricht. Es genügt eine rechtzeitige Absendung des Widerspruchs binnen der genannten Frist.
15.3   Sollte eine Bestimmung dieser Nutzungsbedingungen unwirksam sein oder werden, so berührt dies die Wirksamkeit der Nutzungsbedingungen im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Regelungslücke.
15.4   Ausschließlicher örtlicher Gerichtsstand für alle Streitigkeiten zwischen der ZOLAR und dem Kunden aus oder in Zusammenhang mit dieser Vereinbarung ist Berlin, Deutschland. Die Vereinbarung zwischen den Parteien unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss der Bestimmungen des Übereinkommens der Vereinten Nationen über den Internationalen Warenkauf (CISG).



 Anlage 1: Auftragsverarbeitungsvereinbarung  

In Ergänzung zu dem Vertrag über die Nutzung der zolar Installer Services und die Nutzung der Software zolar Flow als Software as a Service („Hauptvertrag“) wird zwischen den Parteien, wobei der in dem Vertrag genannte Kunde als Auftraggeber agiert und ZOLAR als Auftragsverarbeiter/Auftragnehmer, folgende Auftragsverarbeitungsvereinbarung geschlossen:  

1.  Gegenstand und Dauer des Vertrages

1.1 Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag.

1.2 Die Rechte und Pflichten aus dieser Auftragsverarbeitungsvereinbarung bestehen für die Dauer der Wirksamkeit des Hauptvertrages und überdauern das Vertragsende, insofern die Datenverarbeitung einschließlich der erforderlichen Löschung von Daten bei ZOLAR nach Vertragsende noch nicht beendet sein sollte.

2. Umfang, Art und Zweck sowie Kreis der Betroffenen

2.1 Die nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben der ZOLAR ergibt sich aus dem Hauptvertrag.

2.2 Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende Datenarten/-kategorien:

•    Personalstammdaten

•    Kommunikationsdaten (z.B. Telefon, E-Mail)

•    Adressdaten

•    Auftragsdaten

•    Bankverbindung

2.3 Der Kreis der durch die Auftragsverarbeitungsvereinbarung Betroffenen umfasst: •   Mitarbeiter und potentielle Auftraggeber des Kunden

3. Technische und organisatorische Maßnahmen

3.1 ZOLAR hat dem Kunden vor Auftragserteilung die bei ihm generell für die Leistungen in Erfüllung von Auftragsdatenverarbeitungsaufträgen getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO erörtert bzw. durch eine Anlage technische und organisatorische Maßnahmen nachgewiesen (Anhang 1). Der Kunde hatte keine spezifischen, abweichenden Anforderungen, welche vor Aufnahme der Auftragsverarbeitung bei ZOLAR hätten umgesetzt werden müssen. ZOLAR wird entsprechend der Maßnahmen die Auftragsverarbeitung aufnehmen und deren Einhaltung laufend dokumentieren.

3.2 Der Kunde kann Änderungen an den technischen und organisatorischen Maßnahmen verlangen, sofern sich wegen der Art, dem Umfang, dem Zweck sowie dem Kreis der Betroffenen zusätzliche oder geänderte Anforderungen an die Auftragsverarbeitung ergeben.

3.3 Außerdem vereinbaren die Parteien regelmäßig mindestens einmal jährlich sich zu erforderlichen Anpassungen wegen des technischen Fortschritts sowie der Identifizierung neuer Risiken sowie möglicher Sicherungsmaßnahmen in technischer und organisatorischer Hinsicht abzustimmen.

3.4 ZOLAR kann jederzeit wegen erkannter Lücken und neuen bzw. bislang unbekannten Sicherungsmaßnahmen und -erfordernissen den Anhang 1 anpassen, sofern das vereinbarte Sicherungsniveau nicht unterschritten wird und weiterhin die spezifischen Anforderungen des Kooperationspartners eingehalten werden. ZOLAR wird den Kunden unverzüglich über Änderungen unter Vorlage des angepassten Anhang 1 informieren, um dem Kunden die Prüfung zu ermöglichen. Sofern der Kunde keine weiteren Anforderungen hat, wird der aktualisierte Anhang 1 mit einem entsprechenden Hinweis auf die Version und das Datum der Gültigkeit zum Vertrag genommen.

4. Berichtigung, Sperrung und Löschung von Daten

Der Kunde allein ist berechtigt, die Berichtigung, Sperrung und Löschung von im Auftrag bei ZOLAR verarbeiteten Daten zu veranlassen. ZOLAR hat diesbezügliche Aufforderungen von Betroffenen entgegenzunehmen und diese unverzüglich an den Kunden zur Entscheidung und anschließenden Umsetzung weiterzuleiten.

5. Datenschutzkontrolle und -pflichten des Auftragnehmers

Im Rahmen der Datenschutzkontrolle hat ZOLAR ergänzend zu den hier vereinbarten Pflichten und Maßnahmen folgende Pflichten:

•   Formale Bestellung eines betrieblichen Datenschutzbeauftragten gemäß § 38 BDSG i. V. m. Art. 37 DS-GVO, sofern erforderlich.

•   ZOLAR verpflichtet die Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, nach Art.32 Abs.4 DS-GVO und entsprechend der besonderen Anforderungen dieses Auftragsverhältnisses einschließlich der Weisungsgebundenheit sowie der Zweckbindung der Datenverarbeitung.

6. Subunternehmer/Standort

6.1 Der Kunde stimmt zu, dass ZOLAR Subunternehmer hinzuzieht. Die als Anhang 2 aufgeführten Subunternehmer gelten als genehmigt. Vor Hinzuziehung weiterer oder Ersetzung der Subunternehmer informiert ZOLAR den Kunden. Der Kunde kann der Änderung – innerhalb einer angemessenen Frist von zwei Wochen – aus wichtigem Grund – gegenüber ZOLAR widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Kunden ein Sonderkündigungsrecht eingeräumt.

6.2 Erteilt ZOLAR Aufträge an Subunternehmer, so obliegt es ZOLAR, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.

7. Kontrollrechte des Kunden

7.1 Der Kunde ist berechtigt die erforderliche Auftragskontrolle in Abstimmung mit ZOLAR unter Berücksichtigung deren betrieblicher Belange einschließlich der Maßnahmen zur Einhaltung der Anforderungen an die Auftragsverarbeitung anderer Auftraggeber durchzuführen oder durchführen zu lassen.

7.2 ZOLAR verpflichtet sich, dem Kunden auf Anforderung die zur Erfüllung der Pflichten zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise und Dokumentationen zur Verfügung zu stellen.

7.3 Der Kunde kann sich außerdem durch Stichproben von der Einhaltung dieser Vereinbarung nebst ihrer Anlagen durch ZOLAR in deren Geschäftsräumen überzeugen. Vorortkontrollen sind regelmäßig rechtzeitig anzukündigen, es sei denn es besteht der konkrete Verdacht, ZOLAR verarbeite die Daten nicht entsprechend der vertraglichen und Vereinbarungen zum Datenschutz.

8. Mitteilung bei Verstößen

8.1 ZOLAR meldet dem Kunden alle Fälle und konkreten Verdachtsfälle von Verstößen durch ihn oder die bei ihm beschäftigten Personen gegen Vorschriften und Vorkehrungen zum Schutz personenbezogener Daten oder gegen die im Auftragsverhältnis vereinbarten Maßnahmen.

8.2 Nach Art. 33 DS-GVO bestehen für Vorfälle der unrechtmäßigen Übermittlung oder Kenntniserlangung und drohender schwerwiegender Beeinträchtigung der Betroffenen Melde- und Informationspflichten.

8.3 ZOLAR ergreift sofort die angemessenen Maßnahmen, um die Störung und den Zugriff auf die Daten der Betroffenen zu unterbinden. Zugleich dokumentiert ZOLAR die Anhaltspunkte für die Sicherheitslücke, die getroffenen Sofortmaßnahmen und schlägt dem Kooperationspartner eine geeignete Anpassung der technischen und organisatorischen Maßnahmen zur Vermeidung von Wiederholungsfällen vor.

9. Weisungsbefugnis des Kunden

9.1 ZOLAR verarbeitet und nutzt die Daten ausschließlich für die Zwecke der vertragsgegenständlichen Auftragsverarbeitung auf generelle oder Weisung im Einzelfall des Kunden. ZOLAR hat die Weisungen hinsichtlich des Umgangs mit den verarbeiteten personenbezogenen Daten auch bei Abweichungen von den jeweils aktuell getroffenen Vereinbarungen zum Leistungsgegenstand sowie zu den technischen und organisatorischen Maßnahmen zu befolgen.

9.2 Der Kunde benennt und aktualisiert die gegenüber ZOLAR weisungsberechtigten Personen. Mündliche Weisungen wird der Kunde unverzüglich in Textform bestätigen. Setzt ZOLAR die Umsetzung einer Weisung aus, da sie der Auffassung ist, diese sei nicht datenschutzkonform, so hat sie den Kunden unverzüglich zu informieren.

9.3 Auskünfte an Dritte oder die Betroffenen darf ZOLAR nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen.

10. Löschung von Daten und Rückgabe von Datenträgern

10.1 Auf Aufforderung des Kunden hat ZOLAR alle Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände im Zusammenhang mit dem Auftragsdatenverhältnis dem Kunden zu übergeben und anschließend Kopien datenschutzgerecht zu vernichten. Die Übergabe von Daten erfolgt mittels eines geeigneten Datenträgers oder Übertragungsweges, wobei die Daten verschlüsselt und passwortgeschützt zu speichern sind, nach Weisung des Kunden. Die Übermittlung der Zugangsdaten zum Datenbestand erfolgt gesondert. Die Vernichtung von Unterlagen und/oder Daten ist zu dokumentieren und auf Anforderung nachzuweisen.

10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, bewahrt ZOLAR entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus auf und erteilt entsprechend der gesetzlichen Anforderungen Auskünfte an berechtigte Stellen sowie den Kooperationspartner. Der Kunde kann eine Kopie der Dokumentationen bei ZOLAR anfordern.

11. Haftung Die Parteien haften gegenüber betroffener Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.    


Anhang 1: Technische und organisatorische Maßnahmen   ZOLAR hat folgende technische und organisatorische Maßnahmen implementiert:

1.       Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a.          Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

·      Chipkarten-/Transponder-Schließsystem

·      Schließsystem mit Codesperre

·      Schlüsselregelung (Schlüsselausgabe etc.)

b.              Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

·      Zuordnung von Benutzerrechten

·      Erstellen von Benutzerprofilen

·      Passwortvergabe

·      Authentifikation mit Benutzername / Passwort

·      Zuordnung von Benutzerprofilen zu IT-Systemen

·      Einsatz von VPN-Technologie ·

      Schlüsselregelung (Schlüsselausgabe etc.)

·      Einsatz von Anti-Viren-Software

·      Verschlüsselung von Datenträgern in Laptops / Notebooks

·      Einsatz einer Hardware-Firewall

·      Einsatz einer Software-Firewall

c.              Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verwaltung der Rechte durch Systemadministrator

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert

·      physische Löschung von Datenträgern vor Wiederverwendung

·      Verschlüsselung von Datenträgern

d.       Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

·      Erstellung eines Berechtigungskonzepts (teilweise)

  • Festlegung von Datenbankrechten

  • Trennung von Produktiv- und Testsystem

2.         Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

3.       Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

a.     Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

·      Einrichtungen von Standleitungen bzw. VPN-Tunneln

·      Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (teilweise)

b.          Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

      Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. (teilweise)

·      Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts (teilweise)

4.       Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a.     Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

·      Testen von Datenwiederherstellung (teilweise)

·      Erstellen eines Notfallplans (teilweise)

·      Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort  

b.          Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO) Maßnahmen, die gewährleisten, dass personenbezogene Daten bei Verlust oder Störung unverzüglich wiederhergestellt werden können:

·      Testen von Datenwiederherstellung (teilweise)

·      Erstellen eines Notfallplans (teilweise)

·      Regelmäßige Backups

5.       Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) ·    

Datenschutz-Management

·     Incident-Response-Management

·     Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

·     Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die in einem Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag) (teilweise)

·      Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis  
 

Anhang 2: genehmigte Subunternehmer

1.     ZOLAR nutzt zur Bereitstellung der SaaS-Dienste die Amazon Web Services EMEA SARL, Niederlassung Deutschland (nachfolgend „AWS Germany“), Marcel-Breuer-Str. 12, 80807 München, Deutschland als Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO. AWS Germany stellt die technische Infrastruktur und Cloud-Dienste für den Betrieb der SaaS-Plattform bereit. Die Datenverarbeitung durch AWS erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union, insbesondere in Frankfurt am Main (eu-central-1)

2.     ZOLAR nutzt zur Bereitstellung des AI-Assistenten die OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland (nachfolgend „OpenAI“) als Unterauftragsverarbeiter gemäß Art. 28 DSGVO. OpenAI stellt KI-basierte Softwaredienste bereit, die von ZOLAR in spezifischen Prozessen verwendet werden, z. B. zur Textgenerierung, Analyse oder Beantwortung von Anfragen. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union, soweit technisch möglich und vertraglich zugesichert. Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur unter Einhaltung der Bestimmungen der Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln). ZOLAR stellt sicher, dass OpenAI vertraglich verpflichtet ist:

·       personenbezogene Daten ausschließlich gemäß Weisung von ZOLAR zu verarbeiten,

  •        angemessene technische und organisatorische Maßnahmen zum Schutz der Daten zu implementieren (Art. 32 DSGVO),

·       Subunternehmer nur mit Genehmigung von ZOLAR und unter Wahrung derselben Datenschutzstandards einzusetzen.