Allgemeine Geschäftsbedingungen
Stand: 22.12.2023 • AGB-2023-02
Präambel
Die fundingport GmbH (nachfolgend „fundingport“) vermittelt über eine unter https://app.fundingport.com/re betriebene Plattform (nachfolgend die „Plattform“) Finanzierungen in Form von nicht partiarischen und nichtqualifiziert nachrangigen Darlehen, Vermögensanlagen i.S.v. § 1 Absatz 2 VermAnlG und sonstige Finanzierungsverträge für gewerbliche Zwecke (nachfolgend jeweils das „Vertragsprodukt“) im Bereich Erneuerbare Energien, Gewerbeimmobilien und Unternehmensfinanzierungen.
Die Plattform richtet sich an jeweils auf der Plattform registrierte Unternehmen, Projektgesellschaften (i.e.S. Special Purpose Vehicles) und Investoren (nachfolgend „Kunden“), für die auf der Plattform registrierte Berater und von diesen beauftrage Personen (solche Berater und beauftrage Personen nachfolgend „Untervermittler") Finanzierungsanfragen auf der Plattform einstellen, sowie an jeweils auf der Plattform registrierte Banken, Debt Fonds, Versicherungsgesellschaften, Factoring- oder Leasinganbieter und andere Kapitalgeber (nachfolgend „Anbieter“) und gegebenenfalls von diesen beauftragte, auf der Plattform registrierte weitere Vermittler von Vertragsprodukten (nachfolgend „Vertriebskoordinatoren“). Kunden können eigene Finanzierungsanfragen auch direkt auf der Plattform einstellen, ohne sich hierzu eines Untervermittlers fundingports zu bedienen (nachfolgend „Direktkunden“; fundingport, Direktkunden, Anbieter, Untervermittler sowie Vertriebskoordinatoren nachfolgend gemeinsam auch die „Parteien“; Direktkunden, Anbieter, Untervermittler und Vertriebskoordinatoren nachfolgend auch „Plattformnutzer“).
Auf der Plattform können Direktkunden und Untervermittler Finanzierungsanfragen einstellen. Die Anfragen leitet fundingport an ausgewählte, auf der Plattform registrierte Anbieter oder gegebenenfalls deren Vertriebskoordinatoren weiter. Die Anbieter haben dann die Möglichkeit, unentgeltliche und unverbindliche Angebote (nachfolgend „Term Sheets“) abzugeben. Der Untervermittler kann die Term Sheets auf der Plattform einsehen, miteinander vergleichen und einen Vertragsabschluss des Kunden mit ausgewählten Anbietern über die Plattform initiieren. Direktkunden wählen passende Term Sheets selbst aus und treten bei Bedarf in Kontakt mit den jeweiligen Anbietern. fundingport agiert insoweit als Bote der jeweils beteiligten Direktkunden, Untervermittler und Anbieter.
§ 1 Allgemeines
(1) Diese Allgemeinen Geschäftsbedingungen (einschließlich dem Auftragsverarbeitungsvertrag in Anhang A und der Erklärung in Anhang B nachfolgend „Bedingungen“) regeln Rechte und Pflichten der Parteien in Bezug auf die Nutzung der Plattform.
(2) Andere allgemeine Geschäftsbedingungen gelten nur dann, wenn die jeweiligen Parteien dies ausdrücklich schriftlich oder in Textform vereinbart haben.
(3) Nur Unternehmen (Unternehmer nach § 14 BGB) dürfen sich als Plattformnutzer auf der Plattform registrieren. Anderen Personen, insbesondere Verbrauchern (nach § 13 BGB), ist die Nutzung nicht gestattet.
§ 2 Leistungsumfang und Vergütung
(1) fundingport stellt unter der URL https://app.fundingport.com/re (nachfolgend „Plattform-Website") die Plattform zur Verfügung, auf der Kunden als Direktkunden oder über bevollmächtigte Untervermittler Finanzierungen für ihre jeweiligen gewerblichen Zwecke in Form von Vertragsprodukten anfragen können.
(2) Mit der Anfrage fordert der Direktkunde oder Untervermittler die Anbieter dazu auf, unverbindliche Term Sheets abzugeben. Nur vollständige Anfragen (alle Pflichtfelder sind ausgefüllt) können bearbeitet werden. fundingport präsentiert den Direktkunden oder Untervermittlern eine Auswahl von auf ihre Anfrage passenden Anbietern. Die Präsentation der Auswahl nimmt fundingport nach den Ausschreibungskriterien vor, die fundingport zuvor von dem oder den Anbietern oder Vertriebskoordinatoren ermittelt hat. Hierbei legen Anbieter und Vertriebskoordinatoren z.B. fest, zu welchen Arten von Vertragsprodukten, von welchen Kundengruppen oder in Höhe welches Investitionsvolumens sie ausschließlich Anfragen erhalten möchten. Die Direktkunden oder Untervermittler wählen die Anbieter und Vertriebskoordinatoren aus der von fundingport präsentierten Auswahl selbst aus, an die ihre Anfrage weitergeleitet werden soll.
(3) Die vom Direktkunden oder Untervermittler ausgewählten Anbieter erhalten dann die Möglichkeit, innerhalb eines vom Direktkunden oder Untervermittler vorab festgelegten Zeitraums für die Anfrage passende Term Sheets abzugeben. Gegebenenfalls beauftragte Vertriebskoordinatoren leiten die Aufforderung zur Abgabe eines passenden Term Sheets an ihre Auftraggeber (Anbieter) weiter.
(4) fundingport wählt in freiem Ermessen abgegebene Term Sheets zur Weiterleitung an den Direktkunden oder Untervermittler aus. Dem Direktkunden oder Untervermittler werden die ausgewählten Term Sheets in einem persönlichen Login-Bereich auf der Plattform unmittelbar und fortlaufend angezeigt. In Einzelfällen erhält der Direktkunde oder Untervermittler die Term Sheets über fundingport auf separatem Weg, etwa per E Mail. Möchte der Direktkunde oder Untervermittler mit einem Anbieter oder Vertriebskoordinator in Kontakt treten, hat er hierzu die entsprechende Funktion der Plattform zu nutzen, sofern diese Funktion für den jeweiligen Anbieter zur Verfügung steht. Darüber hinaus übermittelt fundingport dem Anbieter oder Vertriebskoordinator bei Bedarf die vom Direktkunden oder Untervermittler mitgeteilten Kontaktdaten.
(5) Die Term Sheets der Anbieter sind unverbindlich. Die Finanzierungsbedingungen und -konditionen können sich daher noch verändern. Das Ergebnis einer Due Diligence des Anbieters kann zu geänderten Bedingungen oder ggf. auch zur Ablehnung eines Vertragsschlusses führen.
(6) Der Anbieter oder gegebenenfalls der von diesem beauftragte Vertriebskoordinator stellt dem Direktkunden oder Untervermittler nach erfolgreicher Due Diligence Vertragsdokumente zur Verfügung. Die bloße Auswahl eines Anbieters durch einen Direktkunden oder Untervermittler führt noch nicht zu einem Vertragsabschluss.
(7) fundingport prüft Finanzierungsanfragen auf Vollständigkeit. Vorbehaltlich abweichender Einzelvereinbarungen mit Plattformnutzern ist fundingport im Übrigen nicht verpflichtet, die vom Direktkunden oder Untervermittler auf der Plattform angegebenen Daten, insbesondere zum Unternehmen und/oder zum Projekt bzw. Finanzierungsvorhaben, zu prüfen. fundingport ist nicht verpflichtet, die von den Anbietern abgegebenen Term Sheets zu prüfen, nimmt jedoch eine fallbezogene Überprüfung der Konditionen auf Marktüblichkeit vor. fundingport übernimmt keine Haftung für den Inhalt der Term Sheets, Vertragsdokumente und sämtlicher weiterer Informationen des (Direkt-)Kunden, Untervermittlers, Anbieters oder Vertriebskoordinators.
(8) fundingport stellt einen Datenraum auf der Plattform bereit, über den die Parteien für den Abschluss der Finanzierung erforderliche oder nützliche Dokumente bereitstellen sowie auf solche Dokumente der jeweils betreffenden Partei zugreifen können und eine Fragen- und Antwortfunktion (Q&A) nutzen können. Welche Daten die Plattformnutzer hochladen oder löschen und welche dieser Daten lediglich zur Einsichtnahme oder aber auch zum Download zur Verfügung gestellt werden, entscheiden diese eigenverantwortlich. Soweit in diesem Datenraum personenbezogene Daten verarbeitet bzw. hochgeladen werden, wird fundingport mit der Bereitstellung der technischen Infrastruktur des Datenraumes als Auftragsverarbeiter des die Daten hochladenden Plattformnutzers tätig. Die personenbezogenen Daten werden durch fundingport nur nach Weisung des jeweiligen Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag in Anhang A zu diesen Bedingungen wird mit Zustimmung des jeweiligen Plattformnutzers zu diesen Bedingungen Teil dieses Vertrages. Sofern ein auf der Plattform registrierter Vertriebskoordinator den Datenraum auf der Plattform für einen Anbieter nutzt, wird fundingport als Auftragsverarbeiter für den Vertriebskoordinator tätig.
(9) fundingport übernimmt keine Gewähr für die jederzeitige Verfügbarkeit der Plattform-Website. Wartungsarbeiten, Software- Updates sowie Ereignisse außerhalb des Herrschaftsbereichs von fundingport (z.B. bei höherer Gewalt, Verschulden Dritter) können zu einer vorübergehenden Nichterreichbarkeit der Plattform-Website führen. Wenn fundingport absehen kann, dass Ausfallzeiten für Wartung und Software-Updates länger als 24 Stunden dauern werden, wird fundingport, unter angemessener Abwägung aller wechselseitigen, auch wirtschaftlichen Belange, per E-Mail hierüber informieren.
(10) Insoweit nicht in den Bedingungen oder einzelvertraglich mit einem Plattformnutzer etwas anderes vereinbart ist, besteht kein Anspruch auf eine bestimmte Ausgestaltung oder Ausstattung der Plattform. fundingport hat insoweit das Recht, unter Berücksichtigung der berechtigten Interessen der Plattformnutzer die Plattform (einschließlich der URL) oder einzelne Funktionen, Dienste oder Bereiche nach eigenem billigem Ermessen mit Wirkung für die Zukunft zu ändern oder ganz oder teilweise, dauerhaft oder vorübergehend einzustellen.
(11) Vergütung
Die Nutzung der Plattform ist für die Plattformnutzer kostenfrei.
Die Vergütung von fundingport erfolgt im Erfolgsfall (das heißt im Falle eines Vertragsschlusses zwischen Anbieter und Kunden) durch den Anbieter und gegebenenfalls durch dessen Vertriebskoordinator mittels Zahlung einer Provision auf Basis einer separat zwischen fundingport und dem Anbieter bzw. dem Vertriebskoordinator geschlossenen Vereinbarung. Die an fundingport gezahlte Provision kann teilweise oder vollständig in den Angebotskonditionen der Anbieter enthalten sein.
fundingport behält sich vor, bestimmte Bereiche, Funktionen oder Leistungen in Zukunft kostenpflichtig für Plattformnutzer anzubieten. In diesem Fall wird eine Vereinbarung über die Kosten gemäß § 12 Absatz (2) Alternative 1 (Schaltfläche/Ankreuzoption) abgeschlossen.
§ 3 Registrierung
(1) Die Nutzung der Plattform und der hiermit verbundenen Leistungen von fundingport setzt eine Registrierung durch den jeweiligen Plattformnutzer voraus. Dabei sind sowohl die relevanten gewerblichen Daten der Kunden und Plattformnutzer als auch die Kontaktdaten der natürlichen Personen zu erfassen, welche die Registrierung für den Plattformnutzer durchführen (nachfolgend „User"). Alle relevanten Daten sind vollständig und wahrheitsgemäß anzugeben. Die Pflichtangaben sind für die Registrierung zwingend auszufüllen. Der User teilt zur Registrierung seine geschäftliche E-Mail-Adresse mit und wählt ein Passwort aus. Nach Bestätigung des ausgewählten Passwortes und Anklicken des Kontrollkästchens zur Zustimmung zu diesen Bedingungen schließt der Plattformnutzer die Registrierung durch Betätigung der Schaltfläche „Register" ab. Während und nach der Registrierung können aus Sicherheitsgründen weitere Authentifizierungsmaßnahmen durchzuführen sein.
(2) Die Registrierung als Plattformnutzer ist juristischen Personen oder Personengesellschaften im Rahmen ihrer gewerblichen Tätigkeit erlaubt. Als User ist jeder unbeschränkt geschäftsfähigen natürlichen Person die Durchführung einer Registrierung erlaubt, die vom jeweiligen Plattformnutzer hierzu berechtigt ist. fundingport darf jederzeit Nachweise über die Berechtigung des Users verlangen. Eine diesbezügliche Prüfungspflicht von fundingport besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten, nicht. Weiter darf fundingport im Zusammenhang mit dem Betrieb der Plattform jederzeit Kontakt mit einem User aufnehmen. Eine Kontaktaufnahme erfolgt per E-Mail, telefonisch oder postalisch. Es ist unzulässig, mehrere Registrierungen für denselben Plattformnutzer anzulegen.
(3) Ein Anspruch auf Registrierung besteht nicht. fundingport ist berechtigt, eine Registrierung ohne Angabe von Gründen abzulehnen. fundingport ist auch berechtigt, das Konto eines Plattformnutzers oder die Anmeldung eines Users nicht freizuschalten oder nachträglich zu sperren, wenn erforderliche Nachweise fehlen. Darüber hinaus darf fundingport bei Anhaltspunkten für eine Nutzung der Plattform, die den berechtigten Interessen der übrigen Plattformnutzer zuwiderläuft, die Bearbeitung einer Finanzierungsanfrage ohne Nennung von Gründen jederzeit ablehnen oder abbrechen und die Anfrage löschen. Bei falschen Angaben oder sonstigen Unstimmigkeiten hat fundingport das Recht, den betreffenden Plattformnutzer von der Nutzung der Plattform dauerhaft auszuschließen und Anfragen (auch nachträglich) abzubrechen und zu löschen.
§ 4 Nutzung der Plattform durch Untervermittler
(1) Ein Untervermittler darf Finanzierungsanfragen für Kunden auf der Plattform einstellen, wenn und soweit er hierzu gegenüber dem betreffenden Kunden berechtigt ist. Eine Verknüpfung zwischen dem Kunden und dem Untervermittler erfolgt spätestens dann, wenn der Untervermittler eine Finanzierungsanfrage für den Kunden auf der Plattform erstellt.
(2) Es ist Untervermittlern untersagt, Finanzierungsanfragen für Personen und Vereinigungen von Personen, die sanktionierte Parteien sind, auf der Plattform zu veröffentlichen. Sanktionierte Parteien im Sinne dieser Regelung sind:
a. natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, die in einem Staat oder in einer Region ihren Wohnsitz haben bzw. die dort ansässig sind, gegen die die USA, die Europäische Union oder die Bundesrepublik Deutschland Maßnahmen erlassen haben, die als umfassende Sanktionen („comprehensive sanctions“) gelten;
b. natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, gegen die die USA, die Europäische Union oder die Bundesrepublik Deutschland wirtschaftliche Sanktionsmaßnahmen verhängt haben;
c. Personen oder Vereinigungen von Personen, an denen eine in a.) oder b.) genannte sanktionierte Partei wenigstens 50% der Anteile oder der Stimmrechte hält; bei denen eine in a.) oder b.) genannte sanktionierte Partei berechtigt ist, die Mehrheit der Mitglieder der Geschäftsführung, des Vorstands oder eines vergleichbaren Leitungsgremiums zu bestimmen; oder die sonst unter der Kontrolle einer in a.) oder b.) genannten Partei steht.
(3) Aus geschäftspolitischen Gründen und zum Schutz der allgemeinen Reputation der Plattform sind darüber hinaus Personen und Vereinigungen von Personen, die ihren Sitz in einem Hochrisikoland haben, von der Nutzung der Plattform ausgeschlossen. Aus denselben Gründen dürfen Kredite nicht an Personen und Vereinigungen von Personen vermittelt werden, soweit diese ihren Sitz in einem Hochrisikoland haben. Als Hochrisikoland in diesem Sinne gelten alle Drittländer mit hohem Risiko, die die Kommission indem jeweils gültigen delegierten Rechtsakt gemäß Art. 9 der Richtlinie (EU) 2015/849 (oder einer entsprechenden Nachfolgeregelung) ermittelt hat, sowie die folgenden Länder: Demokratische Republik Korea (Nordkorea), Iran, Krim, Kuba, Sudan/Südsudan, Syrien, Libanon, Syrien, Weißrussland.
§ 5 Erklärungen und Pflichten des Direktkunden, Untervermittlers und Anbieters / Befreiung vom Bankgeheimnis / Freistellungsanspruch
(1) Direktkunden, Untervermittler und Anbieter tragen jeweils die alleinige Verantwortung für die Richtigkeit und Vollständigkeit sämtlicher Informationen, Inhalte (z. B. Unterlagen, Dateien), Verlinkungen und sonstiger Daten, die sie der Plattform übermitteln, auf der Plattform hochladen oder durch einen Vertriebskoordinator übermitteln lassen (nachfolgend jeweils die „Daten").
(2) Plattformnutzer gewährleisten insbesondere, dass sie berechtigt sind, die Daten an fundingport weiterzugeben, und dass fundingport berechtigt ist, die Daten an die jeweiligen übrigen Plattformnutzer weiterzugeben.
(3) Hat der Kunde einen Untervermittler beauftragt, holt der Untervermittler eine Anhang B im Wesentlichen entsprechende Erklärung des Kunden ein und weist den Kunden auf die jeweils aktuelle Datenschutzerklärung fundingports hin. Durch Einstellung einer Finanzierungsanfrage auf der Plattform teilt der Untervermittler des Kunden mit, dass der Kunde (i) den Untervermittler mit der Vermittlung des entsprechenden Vertragsprodukts beauftragt und im für die jeweilige Plattformnutzung erforderlichen Umfang bevollmächtigt hat sowie (ii) die in Satz 1 beschriebene Erklärung abgegeben und den Untervermittler als Erklärungsboten zur Überbringung der Erklärung an die betroffenen Plattformnutzer ermächtigt hat. Auf Verlangen fundingports weist der Untervermittler die Beauftragung durch den Kunden nach bzw. legt der Untervermittler die in Satz 1 beschriebene Erklärung des Kunden unverzüglich vor. Eine diesbezügliche Prüfungspflicht von fundingport besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten oder entgegenstehender einzelvertraglicher Vereinbarungen, nicht. Der Untervermittler stellt fundingport von sämtlichen Ansprüchen, insbesondere des Kunden frei, die aufgrund (i) des Nichtbestehens oder der Überschreitung seiner oben genannten Bevollmächtigung oder (ii) des Nichtbestehens einer Anhang B im Wesentlichen entsprechenden Erklärung gegenüber fundingport geltend gemacht werden.
(4) Auf Anforderung eines Anbieters wird fundingport über einen Untervermittler eingestellte Finanzierungsanfragen an den betreffenden Anbieter nur noch weiterleiten, sofern fundingport für den jeweiligen Kunden bereits eine Erklärung zur Aufhebung des Bankgeheimnisses nach Absatz (3) vorgelegt worden ist bzw. fundingport eine entsprechende Erklärung eines Direktkunden bereits eingeholt hat. Mit der weitergeleiteten Finanzierungsanfrage wird fundingport in diesem Fall dem betreffenden Anbieter eine Kopie der Erklärung zur Aufhebung des Bankgeheimnisses vorlegen, sofern dem Anbieter die Erklärung nicht bereits bei anderer Gelegenheit vorgelegt worden ist.
(5) Plattformnutzer sind zudem verpflichtet, ihre Daten so zu gestalten, dass sie nicht gegen gesetzliche oder behördliche Bestimmungen oder gegen die guten Sitten verstoßen.
(6) Plattformnutzer tragen dafür Sorge, dass sie alle gespeicherten Daten vor jeder neuen Finanzierungsanfrage auf die Einhaltung der Vorgaben der Absätze (1) bis (3) prüfen und, soweit erforderlich, berichtigen bzw. erneut gemäß diesen Bedingungen bereitstellen oder über einen Vertriebskoordinator bereitstellen lassen.
(7) fundingport ist berechtigt, Nachweise über die angegebenen Daten anzufordern.
(8) Plattformnutzer sind verpflichtet, die Zugangsdaten zur Plattform (insbesondere das Passwort) geheim zu halten und vor dem Zugriff Dritter zu schützen. Sie tragen dafür Sorge, dass die Zugangsdaten bei Eingabe nicht von Dritten ausgespäht werden können. Ist ihnen bekannt oder besteht der Verdacht, dass ein Dritter von den Zugangsdaten Kenntnis erlangt hat, so ist der jeweilige Plattformnutzer verpflichtet, seine Zugangsdaten unverzüglich zu ändern. Ist dies nicht möglich, ist fundingport unverzüglich zu unterrichten und das weitere Vorgehen mit fundingport abzustimmen.
(9) Weitere Mitteilungspflichten des Anbieters gegenüber fundingport sind im Dienstleistungsvertrag zwischen fundingport und Anbieter geregelt.
(10) Fundingport ist jederzeit berechtigt, für Rückfragen zum Vertragsstatus Kontakt zum Plattformnutzer aufzunehmen.
(11) Plattformnutzer stellen fundingport von sämtlichen Ansprüchen Dritter und/oder anderer Parteien frei, die wegen unrichtiger, unvollständiger und/oder unrechtmäßiger Daten und/oder unbefugter Datenweitergabe des jeweiligen Plattformnutzers gegenüber fundingport geltend gemacht werden.
(12) Jeder Untervermittler versichert, während seiner Vermittlungstätigkeit sämtliche auf ihn anwendbaren rechtlichen Anforderungen einzuhalten. Er wird insbesondere sämtliche auf ihn anwendbaren (ggf. auch ausländischen oder internationalen) Vorschriften zur Korruptionsbekämpfung (z.B. betreffend Vorteilsgewährung und Bestechung), einhalten und hierbei folgende Verhaltensgrundsätze beachten:
• Es ist unzulässig, einem Mitarbeiter fundingports oder einem im Rahmen des Vertragsverhältnisses für fundingport tätigen Dritten Leistungen materieller oder immaterieller Art anzubieten, zu versprechen oder zu gewähren, die fundingport / ihre Mitarbeiter / für fundingport im Rahmen des Vertragsverhältnisses tätige Dritte unmittelbar oder mittelbar (z.B. über Ehe- / Lebenspartner oder Kinder) besser stellen und auf die kein rechtlich begründeter Anspruch besteht, um dafür im Gegenzug unzulässige Vorteile bei der Auftragsvergabe oder der Durchführung von Finanzierungsverträgen zu erhalten.
• Leistungen materieller oder immaterieller Art, die der Untervermittler unmittelbar oder mittelbar an Mitarbeiter fundingports oder einen im Rahmen des Vertragsverhältnisses für fundingport tätigen Dritten im Zusammenhang mit dem Vertragsschluss angeboten, versprochen oder gewährt hat, sind, sind gegenüber fundingport unverzüglich offenzulegen.
Über Anhaltspunkte für eine Verletzung von Vorschriften zur Korruptionsbekämpfung oder der o.g. Verhaltensgrundsätze durch den Untervermittler wird der Untervermittler fundingport, soweit rechtlich zulässig, unverzüglich informieren. Auf Verlangen fundingports wird der Untervermittler in diesem Fall entsprechend §§ 259 ff. BGB gegenüber fundingport Rechenschaft über die betreffenden angebotenen, versprochenen oder gewährten Leistungen ablegen und sonstige Auskünfte zur Aufklärung des Sachverhalts erteilen.
§ 6 Sicherheit / Kommunikation / Plattform-Website
(1) Vorbehaltlich der Regelungen zur Haftung in § 7 stellt fundingport mit eigenüblicher Sorgfalt sicher, dass sämtliche Daten auf der Plattform und die Kommunikation über die Plattform vor unberechtigten Zugriffen Dritter geschützt werden.
(2) fundingport verpflichtet sich, alle fundingport betreffenden datenschutzrechtlichen Bestimmungen in ihrer jeweils geltenden Fassung zu beachten. fundingport wird bei der Verarbeitung personenbezogener Daten ausschließlich Personal bzw. Dritte einsetzen, die auf Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. fundingport verpflichtet sich, bei Einschaltung Dritter auch diese zur Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu verpflichten.
(3) Jede Partei, die fremde personenbezogene Daten im Zusammenhang mit ihrer jeweiligen Tätigkeit im Rahmen der Vermittlung über die Plattform verarbeitet, hat geeignete Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten zu treffen. Hierzu gehören insbesondere geeignete Maßnahmen
• für eine sichere Datenhaltung, u.a. durch wirksamen Zugangsschutz, verschlüsselte Datenspeicherung, angemessene Passwortvorgaben (sicheres Passwort und regelmäßige Passwortänderungen), Ende-zu-Ende verschlüsselte Datenübertragung;
• zur Sicherstellung einer datenschutzrechtskonformen Löschung personenbezogener Daten; sowie
• zur Sicherstellung einer ausschließlich zweckgebundenen Verarbeitung personenbezogener Daten.
Bei Verdacht auf Datenschutzverletzungen sowie anderen erheblichen Unregelmäßigkeiten bei der Datenverarbeitung wird jede Partei unverzüglich sämtliche möglicherweise hiervon betroffenen anderen Parteien unterrichten.
(4) fundingport verarbeitet vom Plattformnutzer zur Verfügung gestellte Daten nach den gesetzlichen Vorgaben sowie dem Auftragsverarbeitungsvertrag in Anhang A. Unabhängig davon sind Plattformnutzer dazu verpflichtet, die von ihnen jeweils zur Verfügung gestellten Daten außerhalb der Plattform in geeigneter Form zu sichern.
(5) fundingport behält sich vor, die Plattform-Website zu ändern. Hierbei wird fundingport die berechtigten Belange der Plattformnutzer berücksichtigen und diese frühzeitig von einer bevorstehenden Änderung informieren, wenn und soweit die Änderung erkennbar deren berechtigte Belange beeinträchtigen kann.
§ 7 Haftung / Verjährung
(1) fundingport haftet bei einfacher Fahrlässigkeit nur bei Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind alle Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung ein Plattformnutzer regelmäßig vertrauen darf. Im Übrigen ist die vorvertragliche, vertragliche und außervertragliche Haftung von fundingport auf Vorsatz und grobe Fahrlässigkeit beschränkt. Diese Haftungsbegrenzung gilt auch bei Verschulden eines Erfüllungsgehilfen von fundingport.
(2) Erfolgt die Verletzung einer vertragswesentlichen Pflicht nicht grob fahrlässig oder vorsätzlich, so ist die Haftung von fundingport auf solche typischen Schäden oder einen solchen typischen Schadensumfang begrenzt, die bzw. der zum Zeitpunkt des Vertragsabschlusses vernünftigerweise voraussehbar war.
(3) Die Haftungsausschlüsse / -beschränkungen nach den Absätzen (1) und (2) gelten nicht für die Haftung wegen einer Verletzung des Lebens, Körpers oder der Gesundheit, für die Haftung aus der Übernahme von Garantien oder für die Haftung nach dem Produkthaftungsgesetz.
§ 8 Aufrechnung
Plattformnutzer können gegen Ansprüche von fundingport nur mit Gegenansprüchen aufrechnen, die rechtskräftig festgestellt, unbestritten oder von fundingport anerkannt sind. Zurückbehaltungsrechte können durch Plattformnutzer nur geltend gemacht werden, soweit sie rechtskräftig festgestellt, unbestritten oder von fundingport anerkannt sind.
§ 9 Vertraulichkeitsvereinbarung
(1) Direktkunden und Untervermittler haben bereitgestellte vertrauliche Informationen der Anbieter bzw. der von diesen beauftragten Vertriebskoordinatoren, Anbieter bzw. von diesen beauftragte Vertriebskoordinatoren die durch den Direktkunden oder Untervermittler bereitgestellten vertraulichen Informationen vertraulich zu behandeln. fundingport wird die bereitgestellten vertraulichen Informationen der Plattformnutzer vertraulich behandeln.
Als „vertrauliche Informationen“ gelten unabhängig von dem Medium, in dem sie enthalten sind, insbesondere alle finanziellen, technischen, technologischen, wirtschaftlichen, strategischen, rechtlichen, steuerlichen, die Geschäftstätigkeit und die Geschäftsabläufe betreffenden oder sonstigen Informationen (einschließlich Produkte, Herstellungsprozesse, Know-how, Geschäftsgeheimnisse, geschäftliche Beziehungen, Geschäftsstrategien, Businesspläne, Finanzplanung, Personalangelegenheiten), welche sich auf Kunden, Untervermittler oder Anbieter oder mit ihnen verbundene Unternehmen i.S.v. §§ 15 ff. AktG beziehen. Hierzu gehören auch sonstige Informationen im Sinne des § 2 GeschGehG, die weder allgemein bekannt noch ohne Weiteres zugänglich sind, von wirtschaftlichem Wert und Gegenstand von Geheimhaltungsmaßnahmen sind.
(2) Die Parteien bleiben jeweils Inhaber (im Sinne des § 2 Nr. 2 GeschGehG) der vertraulichen Informationen, die im Rahmen der Nutzung der Plattform zwischen ihnen ausgetauscht werden und behalten (vorbehaltlich anderer Abreden) jeweils alle Rechte zur Nutzung und Verwertung dieser vertraulichen Informationen.
(3) Die Parteien werden die über die Plattform erhaltenen vertraulichen Informationen des jeweils anderen nicht an unberechtigte Dritte weiterleiten oder diesen zugänglich machen und treffen jeweils angemessene Geheimhaltungsmaßnahmen zum Schutz der vertraulichen Informationen vor dem Zugriff Dritter.
§ 10 Gewerbliche Schutzrechte
(1) Die Plattform (inklusive der ihr zugrunde liegenden Software und Datenbestände sowie die eingesetzten Texte, Bilder, Logos und Designelemente) sind urheberrechtlich geschützt. Mit der Bereitstellung der Plattform zur Nutzung an die Plattformnutzer geht kein Verzicht auf Urheber- und sonstige Schutzrechte fundingports einher.
(2) Plattformnutzer sind nicht berechtigt, Bezeichnungen, die mit den Markenzeichen, Namen und anderen Schutzrechten von fundingport nach Sinn, Klang oder Bild verwechslungsfähig sind, zu registrieren oder registrieren zu lassen. Dies gilt auch für Domains im Internet.
(3) Plattformnutzer haben es zu unterlassen, Logos, Marken oder Warenzeichen fundingports, mit fundingport im Sinne der §§ 15 ff. AktG verbundener Unternehmen oder anderer Plattformnutzer zu verwenden, es sei denn, fundingport erteilt hierzu ihre schriftliche Einwilligung. Ferner sind Plattformnutzer nur nach schriftlicher Einwilligung von fundingport ermächtigt, in Kommunikationsmaßnahmen auf fundingport oder auf die mit fundingport kooperierenden anderen Plattformnutzer hinzuweisen. fundingport ist berechtigt, eine erteilte Einwilligung jederzeit zu widerrufen.
§ 11 Anwendbares Recht
Diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland.
§ 12 Salvatorische Klausel / Änderungen / Ergänzungen
(1) Sollte eine der Bestimmungen dieser Bedingungen ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, soll die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt werden. Die Parteien verpflichten sich vielmehr, an einer Vereinbarung mitzuwirken, die in wirtschaftlicher Hinsicht dem ursprünglichen Parteiwillen so weit wie möglich entspricht. Entsprechendes gilt für Regelungslücken.
(2) Änderungen dieser Bedingungen können durch ein Angebot von fundingport über die Plattform-Website und die Annahme eines Plattformnutzers durch Aktivierung einer entsprechenden Schaltfläche oder Ankreuzoption auf der Plattform-Website beim Login erfolgen. Darüber hinaus können Änderungen dieser Bedingungen auch dadurch vereinbart werden, dass fundingport den Plattformnutzern die geänderten Bedingungen spätestens sechs Wochen vor dem vorgeschlagenen Zeitpunkt ihres Wirksamwerdens in Textform anbietet; die Zustimmung eines Plattformnutzers gilt dann als erteilt, wenn er seine Ablehnung nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderungen angezeigt hat. Auf diese Genehmigungswirkung wird fundingport im Angebot besonders hinweisen.
Anhang A: Datenverarbeitungsvereinbarung
Datenverarbeitungsvereinbarung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen dem Nutzer, Drittnutzer bzw. Anbieter im Sinne der AGB im Folgenden jeweils „Verantwortlicher“ genannt und der fundingport GmbH, Millerntorplatz 1, 20359 Hamburg, Deutschland, im Folgenden bezeichnet als „Datenverarbeiter“.
Präambel
Zwischen dem Verantwortlichen und dem Datenverarbeiter besteht ein Vertragsverhältnis im Sinne von Artikel 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen). hinsichtlich der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG, „DSGVO “).
Diese Vereinbarung zur Auftragsverarbeitung zur Auftragsverarbeitung einschließlich aller Anlagen (nachfolgend gemeinsam „Vereinbarung“ genannt) regelt die sich aus den Bedingungen ergebenden datenschutzrechtlichen Pflichten der Parteien, insbesondere gemäß §§ 3 Abs. 8, 6 Abs. 4 Nr. 5) der Allgemeinen Geschäftsbedingungen (im Folgenden „Allgemeine Geschäftsbedingungen“ genannt ). Soweit auf die Bestimmungen des Bundesdatenschutzgesetzes („BDSG“) verwiesen wird, ist damit das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie gemeint. EU) 2016/680 in der ab 25. Mai 2018 geltenden Fassung.
Der Datenverarbeiter verpflichtet sich gegenüber dem Datenverantwortlichen zur Erfüllung der Allgemeinen Geschäftsbedingungen und dieser Vereinbarung gemäß den folgenden Bestimmungen:
§ 1 Geltungsbereich und Definitionen
1. Die nachstehenden Regelungen gelten für alle Datenverarbeitungsleistungen im Sinne des Art. 28 DSGVO, die der Datenverarbeiter dem Datenverantwortlichen auf Grundlage der Geschäftsbedingungen zur Verfügung stellt.
2. Soweit in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten verwendet wird, ist darunter grundsätzlich die Nutzung personenbezogener Daten zu verstehen. Unter Datenverarbeitung oder Datenverarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z. Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Zuordnung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.
3. Auf die weiteren Begriffsbestimmungen in Art. 1 wird verwiesen. 4 DSGVO.
§ 2 Gegenstand und Dauer der Datenverarbeitung
1. Der Datenverarbeiter verarbeitet personenbezogene Daten im Namen und gemäß den Anweisungen des Datenverantwortlichen.
2. Gegenstand des Vertrages ist die Bereitstellung der technischen Infrastruktur eines Datenraums auf der Plattform durch den Datenverarbeiter zur Nutzung durch den Datenverantwortlichen, insbesondere durch Erfassung, Überprüfung, Austausch und Speicherung finanzrelevanter Informationen und/oder Upload, Herunterladen, Austauschen und Speichern von finanzbezogenen Dokumenten und Nutzung der Frage-und-Antwort-Funktion (Q&A) innerhalb der Allgemeinen Geschäftsbedingungen.
3. Die Laufzeit dieser Vereinbarung entspricht der Laufzeit der Bedingungen.
§ 3 Art und Zweck der Datenverarbeitung
Art und Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter sind in den Allgemeinen Geschäftsbedingungen festgelegt. Die Allgemeinen Geschäftsbedingungen decken die folgenden Aktivitäten und Zwecke ab:
• Der Datenverarbeiter betreibt eine Plattform, über die Datenverantwortliche den Abschluss von Finanzierungsverträgen veranlassen können, und fungiert als technischer Dienstleister, um die Kommunikation zwischen den betroffenen Datenverantwortlichen zu erleichtern.
• Durch die Bereitstellung der technischen Infrastruktur eines Datenraums auf der Plattform ermöglicht der Datenverarbeiter dem Datenverantwortlichen die eigenständige Erfassung, Organisation, Speicherung und Bereitstellung von für den Abschluss des Finanzierungsvertrags erforderlichen oder nützlichen Dokumenten zur Einsichtnahme oder zum Download durch die anderen Datenverantwortlichen Betroffenen, solche Dokumente zu löschen und solche Dokumente der anderen betroffenen Datenverantwortlichen zu sammeln, einzusehen, zu verwenden und gegebenenfalls zu speichern und stellt eine Frage- und Antwortfunktion (Q&A) für Datenverantwortliche bereit.
§ 4 Kategorien betroffener Personen
Im Rahmen dieser Vereinbarung werden personenbezogene Daten der folgenden Kategorien von betroffenen Personen verarbeitet:
• Personal eines Datenverantwortlichen
• Einzelpersonen oder andere Ansprechpartner eines Datenverantwortlichen
• Weitere natürliche Personen, die mit dem Finanzierungsvorhaben in Verbindung stehen und/oder deren Daten für den Abschluss des Finanzierungsvertrages notwendig oder nützlich sind und/oder deren Daten von einem Verantwortlichen erfasst werden
§ 5 Art der personenbezogenen Daten
Von der Datenverarbeitung sind folgende Datenarten betroffen:
• Personenstammdaten (Name, Anrede)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer, Adresse)
• Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)
• Andere von einem Datenverantwortlichen aufgezeichnete Daten
§ 6 Rechte und Pflichten des Verantwortlichen
1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen ist allein der Verantwortliche verantwortlich und damit Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO.
2. Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind vom Verantwortlichen auf Verlangen des Auftragsverarbeiters unverzüglich schriftlich oder in Textform (z. B. per E-Mail) zu bestätigen.
3. Sofern es der Verantwortliche für erforderlich hält, können weisungsbefugte Personen benannt werden. Der Verantwortliche teilt diese dem Auftragsverarbeiter schriftlich oder in Textform mit. Im Falle eines Wechsels dieser weisungsbefugten Personen beim Verantwortlichen wird dies dem Auftragsverarbeiter schriftlich oder in Textform unter Angabe der jeweils neuen Person mitgeteilt.
4. Der Datenverantwortliche informiert den Datenverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenverarbeiter festgestellt werden.
§ 7 Pflichten des Datenverarbeiters
1. Datenverarbeitung
Der Datenverarbeiter wird personenbezogene Daten ausschließlich in Übereinstimmung mit dieser Vereinbarung und/oder den zugrunde liegenden Allgemeinen Geschäftsbedingungen und in Übereinstimmung mit den Anweisungen des Datenverantwortlichen verarbeiten.
2. Rechte der betroffenen Personen
A. Der Datenverarbeiter unterstützt den Datenverantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte der betroffenen Personen, insbesondere in Bezug auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Zugang zu Informationen. Verarbeitet der Datenverarbeiter die in Abschnitt 5 dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Datenverantwortlichen und sind diese Daten Gegenstand eines Antrags auf Datenübertragbarkeit gemäß Art. Gemäß Art. 20 DSGVO stellt der Auftragsverarbeiter dem Verantwortlichen innerhalb einer angemessenen Frist, andernfalls innerhalb von sieben Werktagen, den betreffenden Datensatz in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung.
B. Der Datenverarbeiter hat auf Anweisung des Datenverantwortlichen die in Abschnitt 5 dieser Vereinbarung genannten personenbezogenen Daten, die im Auftrag des Datenverantwortlichen verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Dasselbe gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.
C. Wenn sich eine betroffene Person direkt an den Datenverarbeiter wendet, um die in Abschnitt 5 dieser Vereinbarung genannten personenbezogenen Daten zu berichtigen, zu löschen oder die Verarbeitung einzuschränken, übermittelt der Datenverarbeiter diese Anfrage unverzüglich nach Erhalt an den Datenverantwortlichen.
3. Kontrollpflichten
A. Der Datenverarbeiter stellt durch geeignete Kontrollen sicher, dass die im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten ausschließlich in Übereinstimmung mit dieser Vereinbarung und/oder den Bedingungen und/oder den entsprechenden Anweisungen verarbeitet werden.
B. Der Auftragsverarbeiter gestaltet sein Unternehmen und seine Betriebsabläufe so, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Umfang gesichert und vor dem unbefugten Zugriff Dritter geschützt sind.
C. Der Datenverarbeiter bestätigt, dass er einen Datenschutzbeauftragten gemäß Art. Die Datenverarbeitung erfolgt gemäß Art. 37 DSGVO und ggf. gemäß §38 BDSG und überwacht die Einhaltung der Bestimmungen zum Datenschutz und zur Datensicherheit unter Einschaltung des Datenschutzbeauftragten. Der Datenschutzbeauftragte des beauftragten Auftragsverarbeiters ist derzeit
ISiCO Data Protection GmbH
Am Hamburger Bahnhof 4
10557 Berlin
berlin@isico-datenschutz.de
4. Informationspflichten
A. Der Datenverarbeiter hat den Datenverantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung des Datenverantwortlichen gegen gesetzliche Vorschriften verstößt. Der Datenverarbeiter ist berechtigt, die Ausführung der entsprechenden Anweisung auszusetzen, bis sie vom Datenverantwortlichen bestätigt oder geändert wird.
B. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
5. Ort der Datenverarbeitung
Die Verarbeitung der Daten erfolgt im Hoheitsgebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen des Art. 44 ff. DSGVO erfüllt sind.
6. Löschung personenbezogener Daten nach Vertragsabwicklung
Nach Beendigung der Allgemeinen Geschäftsbedingungen wird der Datenverarbeiter nach Wahl des Datenverantwortlichen alle im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten entweder löschen oder zurückgeben, sofern die Löschung dieser Daten nicht im Widerspruch zu gesetzlichen Aufbewahrungspflichten der Daten steht Prozessor. Die datenschutzrechtliche Löschung ist zu dokumentieren und dem Verantwortlichen auf Verlangen zu bestätigen.
§ 8 Kontrollrechte des Verantwortlichen
1. Der Datenverantwortliche ist berechtigt, nach vorheriger rechtzeitiger Benachrichtigung während der üblichen Geschäftszeiten, ohne den Geschäftsbetrieb des Datenverarbeiters zu stören oder die Sicherheitsmaßnahmen für andere Datenverantwortliche zu gefährden, und auf eigene Kosten die Einhaltung der Datenschutzvorschriften zu überprüfen Schutz und die vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu erfüllen. Die Kontrollen können auch durch den Zugriff auf vorhandene branchenübliche Zertifizierungen des beauftragten Auftragsverarbeiters, aktuelle Zertifikate oder Berichte einer unabhängigen Stelle (z. B. Wirtschaftsprüfer, externer Datenschutzbeauftragter oder externer Datenschutzprüfer) oder Selbstauskünfte erfolgen. Der Datenverarbeiter leistet die erforderliche Unterstützung bei der Durchführung der Kontrollen.
2. Der Datenverarbeiter informiert den Datenverantwortlichen über die Umsetzung der Kontrollmaßnahmen der Aufsichtsbehörde, sofern die Maßnahmen die Verarbeitung von Daten betreffen können, die der Datenverarbeiter für den Datenverantwortlichen durchführt.
§ 9 Unterauftragsverhältnisse
1. Der Datenverantwortliche ermächtigt den Datenverarbeiter, die Dienste anderer Verarbeiter gemäß den folgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Bei dieser Vollmacht handelt es sich um eine allgemeine schriftliche Vollmacht im Sinne von Art. 28 Abs. 2 DSGVO.
2. Bei der Erfüllung der Vereinbarung arbeitet der Datenverarbeiter derzeit mit den in Anlage 2 genannten Subunternehmern zusammen, mit deren Beauftragung der Datenverantwortliche einverstanden ist.
3. Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte Auftragsverarbeiter zu ersetzen. Der Datenverarbeiter informiert den Datenverantwortlichen vorab über jede beabsichtigte Änderung hinsichtlich der Ernennung oder Ersetzung eines weiteren Auftragsverarbeiters. Der Datenverantwortliche kann einer beabsichtigten Änderung widersprechen.
4. Der Widerspruch gegen die beabsichtigte Änderung muss innerhalb von 2 Wochen nach Erhalt der Mitteilung über die Änderung gegenüber dem Datenverarbeiter erfolgen. Im Falle eines Widerspruchs kann der Datenverarbeiter nach eigenem Ermessen entweder die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Datenverarbeiter vorschlagen und dies mit dem Datenverantwortlichen vereinbaren. Wenn die Erbringung der Dienstleistung ohne die beabsichtigte Änderung für den Datenverarbeiter unzumutbar ist – beispielsweise aufgrund unverhältnismäßiger Kosten für den Datenverarbeiter – oder wenn die Koordination eines alternativen Datenverarbeiters fehlschlägt, können der Datenverantwortliche und der Datenverarbeiter diese Vereinbarung kündigen und die AGB mit einer Frist von einem Monat zum Monatsende kündigen.
5. Bei der Beauftragung eines weiteren Auftragsverarbeiters ist stets ein mit dieser Vereinbarung vergleichbares Schutzniveau zu gewährleisten. Der Datenverarbeiter ist gegenüber dem Datenverantwortlichen für alle Handlungen und Unterlassungen der anderen von ihm eingesetzten Datenverarbeiter verantwortlich.
§ 10 Geheimhaltung
1. Der Datenverarbeiter ist bei der Datenverarbeitung im Auftrag des Datenverantwortlichen zur Vertraulichkeit verpflichtet.
2. Der Auftragsverarbeiter verpflichtet sich, bei der Vertragserfüllung nur Mitarbeiter oder sonstige Erfüllungsgehilfen (gemäß § 278 BGB) einzusetzen, die zur Verschwiegenheit im Umgang mit den übermittelten personenbezogenen Daten verpflichtet und mit diesen vertraut gemacht wurden den Anforderungen des Datenschutzes in geeigneter Weise Rechnung zu tragen. Auf Anfrage muss der Datenverarbeiter dem Datenverantwortlichen nachweisen, dass die Verpflichtungen erfüllt wurden.
3. Soweit für den Verantwortlichen andere Geheimhaltungsvorschriften gelten, teilt er dies dem Auftragsverarbeiter mit. Der Datenverarbeiter verpflichtet seine Mitarbeiter zur Einhaltung dieser Geheimhaltungsschutzbestimmungen gemäß den Anforderungen des Datenverantwortlichen.
§ 11 Technische und organisatorische Maßnahmen
1. Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden entsprechend vereinbart. Der Datenverarbeiter kann diese Maßnahmen aktualisieren und ändern, sofern das Schutzniveau durch solche Aktualisierungen und/oder Änderungen nicht wesentlich verringert wird.
2. Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art. 32 in Verbindung mit Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich erforderlichen Maßnahmen zur Datensicherheit. Er trifft alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, und zur Abmilderung möglicher nachteiliger Folgen für die betroffenen Personen. Zu den zu ergreifenden Maßnahmen gehören insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Maßnahmen zur Sicherstellung der Kontinuität der Verarbeitung nach Vorfällen. Um jederzeit ein angemessenes Maß an Sicherheit der Verarbeitung gewährleisten zu können, wird der Datenverarbeiter die durchgeführten Maßnahmen regelmäßig bewerten und gegebenenfalls Anpassungen vornehmen.
§ 12 Haftung/Freistellung
1. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen nach den gesetzlichen Bestimmungen für alle Schäden, die durch schuldhafte Verstöße des Auftragsverarbeiters, seiner Mitarbeiter oder von ihm beauftragten Personen gegen diesen Vertrag und die für ihn geltenden gesetzlichen Datenschutzbestimmungen entstehen zur Umsetzung des Vertrages bei der Erbringung der vertraglichen Leistung. Eine Schadensersatzpflicht des Auftragsverarbeiters besteht nicht, wenn der Auftragsverarbeiter nachweist, dass er die ihm zur Verfügung gestellten Daten des Verantwortlichen ausschließlich nach Weisungen des Verantwortlichen verarbeitet und seinen Pflichten aus der DSGVO nachgekommen ist den Auftragsverarbeitern ausdrücklich auferlegt.
2. Der Datenverantwortliche stellt den Datenverantwortlichen von sämtlichen Ansprüchen Dritter frei, die gegen den Datenverantwortlichen aufgrund einer schuldhaften Verletzung der Verpflichtungen aus diesem Vertrag oder anwendbarer Datenschutzbestimmungen durch den Datenverantwortlichen geltend gemacht werden.
§ 13 Sonstiges
1. Im Falle von Widersprüchen zwischen den Bestimmungen dieser Vereinbarung und den Bestimmungen der Allgemeinen Geschäftsbedingungen haben die Bestimmungen dieser Vereinbarung Vorrang.
2. Ergänzungen und Änderungen dieser Vereinbarung bedürfen der gegenseitigen Zustimmung der Vertragsparteien in schriftlicher Form, auch in elektronischer Form, unter besonderer Bezugnahme auf die zu ändernde oder zu ergänzende Bestimmung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sind auch für künftige Änderungen oder Ergänzungen dieser Vereinbarung ausgeschlossen.
3. Für diesen Vertrag gilt deutsches Recht.
4. Wird der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z. B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden etc.) gefährdet, hat der Auftragsverarbeiter dies unverzüglich zu melden den Datenverantwortlichen darüber informieren.
Anhangsverzeichnis
Anlage 1 zu Anhang A: Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung
Anlage 2 zur Anhang A: Unterauftragsverhältnisse gemäß § 9 des Vertrages
Anlage 1 zu Anhang A:
Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Der Datenverarbeiter gewährleistet, dass er die folgenden technischen und organisatorischen Maßnahmen ergriffen hat:
A. Maßnahmen zur Pseudonymisierung
Maßnahmen, die den direkten Bezug zur betroffenen Person bei der Verarbeitung derart reduzieren, dass eine Identifizierung einer konkreten betroffenen Person nur durch Einsicht in zusätzliche Informationen möglich ist. Die zusätzlichen Informationen müssen durch geeignete technische und organisatorische Maßnahmen vom Pseudonym getrennt gehalten werden.
B. Verschlüsselungsmaßnahmen
Maßnahmen oder Prozesse, bei denen ein klar lesbarer Text/eine eindeutig lesbare Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unlesbare, also nicht leicht interpretierbare Zeichenfolge (Chiffretext) umgewandelt wird:
• 256-Bit Advanced Encryption Standard (AES-256)
C. Maßnahmen zur Gewährleistung der Vertraulichkeit
1. Zugangskontrolle
Es erfolgt keine physische Speicherung oder Verarbeitung der Daten durch den Datenverarbeiter. Maßnahmen, die Unbefugten den Zugang zu IT-Systemen und Datenverarbeitungsgeräten zur Verarbeitung personenbezogener Daten sowie zu vertraulichen Dateien und Datenträgern physisch verwehren:
• Kontrollierter Zutritt über personalisierte Mobiltelefone oder Chipkarte
• Türsicherung (elektronischer Türöffner etc.)
• Türsteher
• Überwachungsgeräte (Alarmanlagen, Video)
• Sicherer Serverraum
• Kontrollsystem für Besucher.
Maßnahmen zur Verhinderung der Verarbeitung oder Nutzung datenschutzrechtlich geschützter Daten durch Unbefugte:
• Nur autorisiertes Personal hat Zugang zu den physischen Rechenzentren. Alle Mitarbeiter, die Zugang zu einem Rechenzentrum benötigen, müssen zunächst einen Antrag auf Zugang stellen und eine gültige geschäftliche Begründung vorlegen. Die Bewilligung dieser Anfrage erfolgt nach dem Prinzip der geringsten Privilegien, das heißt, die Mitarbeiter müssen in der Anfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum sie Zugriff benötigen. Der Antrag wird von autorisiertem Personal geprüft und genehmigt. Der Zugriff wird nach Ablauf der beantragten Frist widerrufen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihre Berechtigungen auf bestimmte Bereiche beschränkt.
• Der Zugriff Dritter muss durch autorisierte Mitarbeiter beantragt werden, die auch eine geschäftsmäßige Begründung für den Zugriff vorlegen müssen. Die Bewilligung dieser Anfrage erfolgt nach dem Prinzip der geringsten Rechte, das heißt der Mitarbeiter muss in der Anfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum er Zugriff benötigt. Diese Anfragen werden von autorisiertem Personal genehmigt. Nach Ablauf der beantragten Frist wird der Zugang entzogen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihre Berechtigungen auf bestimmte Bereiche beschränkt. Personen, die über einen Besucherausweis verfügen, müssen diesen bei Ankunft vor Ort vorzeigen und werden von autorisiertem Personal registriert und begleitet.
• Der Zugang zu den Rechenzentren wird regelmäßig überprüft. Der Zugriff wird automatisch widerrufen, sobald die Akte eines Mitarbeiters aus dem Personalsystem gelöscht wird. Darüber hinaus wird der Zutritt von Arbeitnehmern oder Leiharbeitern nach Ablauf der genehmigten Frist widerrufen, auch wenn diese weiterhin als Arbeitnehmer tätig sind.
• Auf der Datenebene sind elektronische Einbruchmeldesysteme installiert, die sicherheitsrelevante Ereignisse erkennen und die zuständigen Mitarbeiter automatisch alarmieren. Die Ein- und Ausgänge der Serverräume sind durch Geräte gesichert, an denen das Personal eine Multi-Faktor-Authentifizierung durchlaufen muss, bevor es den Raum betreten oder verlassen darf. Diese Geräte lösen einen Alarm aus, wenn die Tür aufgebrochen oder unbefugt offengehalten wird. Die Türalarmsysteme sind so konfiguriert, dass sie erkennen, wenn jemand ohne Multi-Faktor-Autorisierung eine Datenschicht betritt oder verlässt. In diesem Fall wird sofort ein Alarm ausgelöst und zur Protokollierung, Analyse und Reaktion an das Security Operations Center gesendet.
• Passwortverfahren, d.h. persönliche und individuelle Benutzeranmeldung bei der Anmeldung am System (inkl. Sonderzeichen, Mindestlänge, regelmäßige Passwortänderungen)
• Automatische Sperrung (z. B. Passwort oder Pausenschaltung)
• Einrichtung eines Benutzerstammsatzes pro Benutzer
• Begrenzung der Anzahl berechtigter Mitarbeiter
• Kapselung sensibler Systeme durch separate Netzwerkbereiche
• Authentifizierungsverfahren
• Richten Sie regelmäßig aktualisierte Antiviren- und Spyware-Filter ein
Maßnahmen, die sicherstellen, dass die zur Datenverarbeitung berechtigten Personen nur auf die personenbezogenen Daten zugreifen können, die ihrer Zugriffsberechtigung unterliegen, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
• Berechtigungskonzepte (Profile, Rollen etc.) und deren Dokumentation
• Auswertung/Protokollierung
• Archivierungskonzept
• Protokollierung von Zugriffen und Missbrauchsversuchen
2. Trennungsregel
Maßnahmen, die sicherstellen, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet und von anderen Daten und Systemen getrennt gehalten werden, um eine ungeplante Nutzung dieser Daten für andere Zwecke zu verhindern:
• Persönliche Daten werden in verschlüsselter Form gespeichert (256-Bit Advanced Encryption Standard (AES-256))
• Test- und Produktionssysteme teilen keine Daten.
D. Maßnahmen zur Gewährleistung der Integrität
1. Datenintegrität
Maßnahmen, um sicherzustellen, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:
• Import neuer Releases und Patches mit Release-/Patch-Management
• Funktionstest während der Installation und Releases/Patches durch die IT-Abteilung
• Protokollierung
• Transportprozesse mit Eigenverantwortung
2. Überweisungsscheck
Maßnahmen, die sicherstellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Datenkommunikationsmitteln übermittelt oder verfügbar gemacht wurden oder werden können:
• Protokollierung
• Transportprozesse mit Eigenverantwortung
• Prüfsummen
3. Transportkontrolle
Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität von Daten bei der Übermittlung personenbezogener Daten und beim Transport von Datenträgern:
• Übertragung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)
• Transportprozesse mit Eigenverantwortung
• Verschlüsselungsmethoden, die Datenänderungen während des Transports erkennen
• Umfangreiche Protokollierungsverfahren
4. Eingabekontrolle
Maßnahmen, um sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Computersysteme eingegeben, geändert oder entfernt wurden:
• Protokollierung aller Systemaktivitäten und Aufbewahrung dieser Protokolle für mindestens drei Jahre
• Protokollbewertungssysteme
E. Maßnahmen zur Sicherstellung der Verfügbarkeit und Belastbarkeit
1. Verfügbarkeitskontrolle
Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind. Die Daten werden in der Amazon Cloud (AWS) gespeichert. Einzelheiten finden Sie unter https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf
• Verfahren zur Datensicherung
• Redundante Serversysteme
• Unterbrechungsfreie Stromversorgung
• Feueralarmsystem
• Klimaanlage
• Alarmsystem
• Notfallpläne
• Keine wasserführenden Leitungen über oder neben Serverräumen
2. Schnelle Wiederherstellungsfähigkeit
Maßnahmen zur Sicherstellung der schnellen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls:
• Verfahren zur Datensicherung
• Regelmäßige Tests der Datenwiederherstellung
• Notfallpläne
3. Zuverlässigkeit
Maßnahmen, die sicherstellen, dass alle Funktionen des Systems verfügbar sind und auftretende Störungen gemeldet werden:
• Automatische Überwachung
• Notfallpläne mit Verantwortlichkeiten
• IT-Notdienst rund um die Uhr
• Regelmäßige Tests der Datenwiederherstellung
F. Maßnahmen zur regelmäßigen Bewertung der Sicherheit der Datenverarbeitung
1. Überprüfungsverfahren
Maßnahmen zur Gewährleistung einer datenschutzkonformen und sicheren Verarbeitung:
• Datenschutzmanagement
• Regelmäßige Re-Zertifizierung
• Formalisierte Prozesse für Datenschutzvorfälle
• Weisungen des Auftraggebers werden dokumentiert
2. Auftragskontrolle
Maßnahmen, die sicherstellen, dass im Rahmen des Vertrags verarbeitete personenbezogene Daten nur nach Weisung des Auftraggebers verarbeitet werden dürfen:
• Weisungen des Auftraggebers werden dokumentiert
• Formalisierte Auftragsverwaltung
Anlage 2 zu Anhang A:
Subunternehmer gemäß § 9 des Vertrages
Bei der Erfüllung der Vereinbarung arbeitet der Datenverarbeiter derzeit mit den folgenden anderen Verarbeitern zusammen, deren Beauftragung der Datenverantwortliche zustimmt
Name/Firma: Amazon Web Services Inc.
Funktion/Tätigkeit: Datenspeicherung des Auftragsverarbeiters auf Servern der Amazon Web Services Inc.
Firmensitz: 410 Terry Avenue North, Seattle, Washington 98109, USA
Name/Firma: Hotjar Ltd.
Funktion/Aktivität: Webanalyse, um die Bedürfnisse unserer Nutzer besser zu verstehen und unsere Dienste zu verbessern
Firmensitz: Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 3155, Malta
Name/Firma: fundingport Sofia EOOD
Funktion/Tätigkeit: Softwareentwicklung und Hosting der fundingport Plattform
Firmensitz: ul. Galichitsa 22, 1407 Sofia, Bulgarien
Name/Firma: 3flows GmbH
Funktion/Tätigkeit: Softwareentwicklung und Hosting der fundingport Plattform
Firmensitz: Echternacherstr. 23, 50933 Köln, Deutschland
Name/Firma: Loom Inc.
Funktion/Tätigkeit: Bereitstellung von Videokommunikationssoftware
Firmensitz: 85 2nd Street, Suite 100, San Francisco, CA 94105, USA
Anhang B zu den AGB der fundingport GmbH
Auftrag zur Finanzierungsanfrage unter Zwischenschaltung der fundingport GmbH
Wir sind am Abschluss einer Finanzierung zur gewerblichen Verwendung interessiert und beauftragen hiermit unseren Finanzierungsvermittler („Vermittler“), uns eine Finanzierung unter Zwischenschaltung der fundingport GmbH („fundingport“) bei einem auf der fundingport -Plattform registrierten Finanzierungsanbieter („Anbieter“) zu vermitteln, ggf. wiederum durch Zwischenschaltung eines vom Anbieter beauftragten weiteren Finanzierungsvermittlers („Vertriebskoordinator“).
Wir teilen dem Vermittler mit, bei welchen Anbietern eine Darlehensanfrage auf der fundingport-Plattform gestellt werden soll. Der Vermittler und die fundingport verpflichten sich, Finanzierungsanfragen ausschließlich an die von uns gewünschten Anbieter zu senden.
Datenschutzrechtliche Hinweise und Befreiung vom Bankgeheimnis
Zur Prüfung der Finanzierungsanfrage und zur Erstellung eines Finanzierungsangebots ermächtigen wir den Vermittler, die hierzu von uns übermittelten Informationen und Unterlagen fundingport zur Weiterleitung an von uns für den Empfang selektierte Anbieter zur Verfügung zu stellen. Für den Fall, dass ein von uns für den Empfang selektierter Anbieter einen Vertriebskoordinator beauftragt hat, ermächtigen wir fundingport zur Weiterleitung der Informationen und Unterlagen an den Vertriebskoordinator und den Vertriebskoordinator zur Weiterleitung an den von uns selektierten Anbieter.
Zu den hierfür erforderlichen Informationen und Unterlagen gehören insbesondere Finanzierungs- und Unternehmensdaten (z.B. Darlehenshöhe, Verwendungszweck, Firma, Sitz, Gründungsdatum, Umsatz, Hauptgeschäftskonto, Kopien von Kontoumsätzen über einen Zeitraum von 3 Monaten, die drei letzten Betriebswirtschaftlichen Auswertungen (BWA), Bilanzen bzw. weitere vergleichbare Nachweise über Einkünfte und Verbindlichkeiten).
Wir ermächtigen die Anbieter, fundingport – ggf. über einen Vertriebskoordinator – folgende Informationen zur Weiterleitung an den Vermittler zur Verfügung zu stellen:
(i) das Finanzierungsangebot,
(ii) jegliche Term Sheets des Anbieters für Finanzierungsanfragen auf der Plattform;
(iii) Informationen über den Abschluss, das Volumen und den Zeitpunkt der Bereitstellung und/oder ersten Teilauszahlung im Falle eines Vertragsabschlusses über ein Vertragsprodukt bzw. der Prolongation oder Refinanzierung eines bestehenden Vertragsprodukts; sowie
(iv) Informationen über das endgültige Scheitern eines Vertragsabschlusses über ein Vertragsprodukt.
Hierzu entbinden wir die Anbieter vom Bankgeheimnis, soweit die Anbieter diesem unterliegen. fundingport, der Vermittler und ggf. ein eingeschalteter Vertriebskoordinator dürfen die Daten nur zweckgebunden verarbeiten.