Allgemeine Geschäftsbedingungen BauGPT

1. Definitionen

Die folgenden Begriffe gelten in diesen Allgemeinen Geschäftsbedingungen (AGB) sowie in allen vertraglichen Dokumenten mit der jeweils nachstehend definierten Bedeutung. Begriffsbestimmungen im Singular umfassen auch den Plural und umgekehrt, sofern sich aus dem Kontext nichts anderes ergibt.

Anbieter ist die Crafthunt GmbH, Leopoldstraße 18, 80802 München, eingetragen im Handelsregister des Amtsgerichts München unter der Registernummer HRB 280089.

BauGPT bezeichnet die technische Anwendung zur Bereitstellung der BauGPT Services, die sowohl als browserbasierte Webanwendung als auch als mobile App für unterstützte Betriebssysteme verfügbar ist.

BauGPT Services sind die in Ziffer 3 beschriebenen Software- und Beratungsleistungen in der Bauwirtschaft und Handwerksbranche. 

BauGPT Vertrag bezeichnet den Vertrag zwischen dem Anbieter und dem Kunden über die Erbringung der BauGPT Services.

BauGPT Website bezeichnet den Online-Auftritt des Anbieters (Hauptdomain: www.crafthunt.app).

Datenschutzgesetze sind Gesetze, Verordnungen oder sonstige behördliche Vorschriften, die für die Verarbeitung personenbezogener Daten durch die Parteien gelten, einschließlich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO).

IP Rechte umfassen alle bestehenden und zukünftigen gewerbliche Schutzrechte, Urheberrechte und Eigentumsrechte, einschließlich Patenten, Gebrauchsmustern, Marken, Dienstleistungsmarken, Titeln, Designrechten, Datenbankrechten, Rechten an Halbleitertopographien sowie Rechten an geschützten Informationen. Dazu gehören gleichwertige Rechte in anderen Rechtsordnungen, unabhängig davon, ob sie eingetragen sind oder nicht, einschließlich aller Anmeldungen, Weiterführungen, Neuauflagen, Verlängerungen und ähnlicher Verfahren.

IT Ressourcen bezeichnet die zur Erbringung der BauGPT Services eingesetzten informationstechnischen Systeme, einschließlich technischer Komponenten, Software, Daten, Schnittstellen, Designs und integrierter Texte.

KI Funktionen bezeichnen Leistungsmerkmale der BauGPT Services, die den Einsatz von Technologien der Künstlichen Intelligenz, des maschinellen Lernens oder vergleichbarer Verfahren im Zusammenhang mit Kundendaten ermöglichen.

Kunde bezeichnet die vom Anbieter benannte Partei und, soweit gesondert vereinbart, mit dieser Partei verbundene Unternehmen im Sinne der §§ 15 ff. AktG, die bei Abschluss und Durchführung des BauGPT Vertrags sowie der Nutzung der BauGPT Services in Ausübung einer gewerblichen oder selbständigen beruflichen Tätigkeit im Sinne von § 14 BGB handeln. Diese Voraussetzung bildet die Geschäftsgrundlage der Tätigkeit des Anbieters.

Kundendaten sind personenbezogene und nicht-personenbezogene Daten, die vom Anbieter im Auftrag des Kunden im Rahmen der BauGPT Services verarbeitet werden. Sie umfassen keine Daten, die der Anbieter für sich selbst oder für einen Dritten verarbeitet.

Partei/Parteien bezeichnet jeweils einzeln den Anbieter oder den Kunden (Partei) oder gemeinsam beide (Parteien).

Vertrauliche Informationen haben die in Ziffer 7 festgelegte Bedeutung.

2. Vertragsgegenstand

  1. Diese AGB regeln die Erbringung der BauGPT Services sowie aller damit verbundenen Leistungen durch den Anbieter. 

  2. Der BauGPT Vertrag besteht aus (a) den zwischen den Parteien vor Vertragsschluss bzw. während der Vertragslaufzeit individuell vereinbarten Bedingungen (etwa zu Produktpaket und Vergütung) und (b) diesen AGB, in dieser Rangfolge.

  3. Der BauGPT Vertrag kommt zustande, wenn der Kunde den Registrierungsprozess abschließt und der Zugang zu BauGPT freigeschaltet wird.

  4. Der Anbieter erbringt Leistungen ausschließlich auf Grundlage dieser AGB. Entgegenstehende oder abweichende Geschäftsbedingungen des Kunden werden ausdrücklich zurückgewiesen und finden selbst dann keine Anwendung, wenn der Anbieter Leistungen erbringt, ohne den Widerspruch erneut zu erklären.

  5. Darstellungen der BauGPT Services in Werbematerialien, auf der BauGPT Website oder in sonstigen Medien stellen kein bindendes Angebot dar, selbst wenn Preise und Leistungsmerkmale genannt werden.

  6. Der Anbieter kann Zugang zu Inhalten, Produkten oder Dienstleistungen von Drittanbietern (z. B. über verlinkte Websites) ermöglichen oder vermitteln. Solche Inhalte, Produkte oder Dienstleistungen sind nicht Bestandteil des BauGPT Vertrags; es gelten hierfür ausschließlich die Bedingungen des jeweiligen Drittanbieters.

3. BauGPT Services

  1. BauGPT Services dürfen ausschließlich für die eigenen geschäftlichen Zwecke des Kunden genutzt werden. Eine Nutzung durch Dritte ist untersagt, es sei denn, der Anbieter stimmt dieser ausdrücklich zu. Jede unautorisierte Nutzung stellt einen wesentlichen Verstoß gegen den BauGPT Vertrag dar.

  2. Der Anbieter erbringt die BauGPT Services in Form von Software- und ggf. ergänzenden Beratungsleistungen. Eine Garantie für einen bestimmten wirtschaftlichen Erfolg, insbesondere für das Zustandekommen von Arbeits- oder Dienstverträgen, wird nicht übernommen. 

  3. Die BauGPT Services umfassen insbesondere den Zugang zu BauGPT, einem digitalen Werkzeug für die Bauwirtschaft und das Handwerk. BauGPT stellt den Kunden ein spezialisiertes Sprachmodell zur Verfügung, das auf nicht urheberrechtlich geschützten Bau-Standardwerken, öffentlichem Recht und branchenspezifischen Inhalten basiert. Es unterstützt die Kunden insbesondere bei (a) der Beantwortung fachlicher Fragestellungen, (b) der Analyse und Aufbereitung von Dokumenten, sowie (c) der Automatisierung wiederkehrender Aufgaben. Darüber hinaus können die BauGPT Services Leistungen im Bereich Recruiting und Personalgewinnung beinhalten. Diese umfassen insbesondere (a) die Erstellung und Verwaltung von Unternehmensprofilen und Stellenangeboten, (b) die gezielte Suche, Filterung und Kontaktaufnahme zu Fachkräften, sowie (c) die Bereitstellung interaktiver Kommunikations- und Matching-Funktionen zur Unterstützung von Bewerbungs- und Auswahlprozessen.

  4. Der Anbieter gewährleistet eine monatliche Durchschnittsverfügbarkeit von BauGPT von 99 %. Verfügbarkeit liegt vor, wenn die wesentlichen Kernfunktionen von BauGPT auf dem bereitstellenden Server ordnungsgemäß ausgeführt und erreicht werden können. Bei der Berechnung der Verfügbarkeit bleiben Zeiten unberücksichtigt, in denen (a) die Nutzung aufgrund technischer oder sonstiger Störungen nicht möglich ist, sofern diese außerhalb des Einflussbereichs des Anbieters liegen (z. B. höhere Gewalt, Ausfälle bei Dritten, Netz- oder Infrastrukturprobleme) und (b) geplante und im Voraus angekündigte Wartungsarbeiten sowie kurzfristig notwendige Wartungen (insbesondere zur Beseitigung von Sicherheitslücken) stattfinden. Wartungsarbeiten werden nach Möglichkeit in nutzungsarmen Zeiten durchgeführt.

  5. Der Anbieter kann nach eigenem Ermessen zusätzliche Leistungen anbieten, darunter unter anderem individuelle Schulungen zum Thema künstliche Intelligenz oder Recruiting, Employer-Branding-Beratung oder technische Integrationsleistungen (z. B. Schnittstellen zu Drittsystemen). Solche Leistungen sind gesondert zu vereinbaren und kostenpflichtig.

  6. Der Anbieter behält sich vor, die BauGPT Services entweder selbst oder durch Dritte zu erbringen.

  7. Der Kunde hatte vor Abschluss des BauGPT Vertrags Gelegenheit, die BauGPT Services und deren Funktionen zu prüfen. Diese werden fortlaufend aktualisiert, geändert und erweitert. Änderungen werden in geeigneter Form mitgeteilt (z. B. per E-Mail). Diese AGB gelten auch für geänderte Dienstleistungen, ohne dass es einer erneuten Zustimmung bedarf, vorbehaltlich Ziffer 10 dieser AGB.

4. Mitwirkungspflichten des Kunden

  1. Der Kunde hat alle erforderliche Mitwirkung rechtzeitig, vollständig und zutreffend zu erbringen, die für die ordnungsgemäße Durchführung des BauGPT Vertrags notwendig ist, damit der Anbieter die Informationen sachgerecht verarbeiten kann. Dies umfasst insbesondere die Bereitstellung relevanter Informationen und Daten (z. B. während der Registrierung) sowie die Mitteilung aller für die Leistungserbringung relevanten Tatsachen, einschließlich der Prüfung und Freigabe von Dokumenten (z. B. des Firmenprofils und der Stellenanzeigen) sowie Informationen aus öffentlichen Registern.

  2. Der Kunde ist auf eigene Kosten dafür verantwortlich, dass die technischen Voraussetzungen für die Nutzung der BauGPT Services (wie z. B. eine stabile Internetverbindung und ein aktueller Browser) erfüllt sind und während der gesamten Vertragslaufzeit aufrechterhalten werden. Einzelheiten ergeben sich aus der jeweiligen vom Anbieter bereitgestellten Dokumentation.

  3. Der Kunde ist allein dafür verantwortlich, Kundendaten regelmäßig zu sichern, insbesondere vor Wartungsarbeiten oder bei Störungen der IT Ressourcen. Die ordnungsgemäße Nutzung bereitgestellter Exportfunktionen liegt in der Verantwortung des Kunden.

  4. Sofern der Kunde KI Funktionen nutzt, ist der Kunde allein dafür verantwortlich, KI Ausgaben (Output) vor deren Nutzung zu prüfen und zu validieren. Der Kunde ist zusätzlich verpflichtet, eine angemessene menschliche Überprüfung sicherzustellen, bevor Entscheidungen getroffen oder Ergebnisse weiterverwendet werden. Der Anbieter bemüht sich nach wirtschaftlich angemessenem Maßstab um Genauigkeit und Zuverlässigkeit, übernimmt jedoch keine Gewähr für deren Richtigkeit, Vollständigkeit, Fehlerfreiheit oder Eignung für einen bestimmten Zweck.

  5. Etwaige Störungen, Ausfälle oder Beeinträchtigungen der BauGPT Services sind dem Anbieter unverzüglich und mit möglichst detaillierten Angaben unter Verwendung der bereitgestellten Kontaktmöglichkeiten zu melden. 

5. IP Rechte; Nutzung von IT Ressourcen

  1. Dem Kunden wird für die Vertragslaufzeit ein beschränktes Recht eingeräumt, die vom Anbieter bereitgestellten IT Ressourcen in ihrer jeweils aktuellen Version ausschließlich in dem im BauGPT Vertrag festgelegten Umfang zu nutzen. Unabhängige Nutzungsrechte werden nicht eingeräumt; insbesondere erfolgt keine Überlassung von Software zur eigenständigen Nutzung.

  2. Bei der Nutzung von KI Funktionen behält der Kunde sämtliche Rechte an KI Eingaben (Input) und KI Ausgaben (Output). Der Anbieter überträgt dem Kunden etwaige eigene Rechte an den KI Ausgaben (Output), soweit gesetzlich zulässig.

  3. Durch den BauGPT Vertrag oder dessen Durchführung werden dem Kunden keine weiteren IP Rechte übertragen oder solche eingeräumt. Jede Nutzung von IP Rechten bedarf der ausdrücklichen vorherigen Zustimmung des Anbieters.

  4. Der Anbieter darf Kundendaten unter Beachtung der Datenschutzgesetze anonymisieren und für eigene Zwecke, wie z. B. Analysen, Branchen-Benchmarks oder Marketing, verwenden. Ausgenommen sind KI Eingaben (Input) und KI Ausgaben (Output), die der Anbieter weder zur Schulung oder Verbesserung von Modellen noch zur Generierung von Inhalten für andere Kunden verwenden wird. Eine Speicherung erfolgt nur, soweit dies zur Erbringung der jeweiligen KI Funktion erforderlich ist, und nur für die Dauer dieser Erbringung.

  5. Kundenfeedback (z. B. Anregungen oder Ideen) zu BauGPT Services darf vom Anbieter unentgeltlich, weltweit, zeitlich unbegrenzt, übertragbar, unterlizenzierbar und unwiderruflich genutzt werden. Der Anbieter ist nicht verpflichtet, solches Feedback umzusetzen.

  6. Der Anbieter ist berechtigt, den Kunden als Referenz zu nennen, einschließlich der Nutzung des Firmennamens, Marke, Logos und dem jeweiligen Bau- oder Immobilienprojekt (z. B. auf der BauGPT Website). Der Kunde kann dieser Nutzung jederzeit ohne Angabe von Gründen widersprechen. Der Anbieter wird die Nutzung in diesem Fall unverzüglich einstellen. 

  7. Jede missbräuchliche Nutzung der IT Ressourcen, die die Vertraulichkeit, Integrität oder ihre ordnungsgemäße Funktionsweise gefährdet, dem Vertragszweck widerspricht oder gegen diese AGB verstößt, ist untersagt. Der Kunde darf die IT Ressourcen weder entgeltlich noch unentgeltlich Dritten zugänglich machen oder nutzbar machen. Zudem ist es dem Kunden untersagt, Inhalte oder Bestandteile der IT Ressourcen eigenständig zugänglich zu machen, zu speichern, zu vervielfältigen oder anderweitig zu nutzen, es sei denn, dies ist für die vertragsgemäße Nutzung der BauGPT Services erforderlich. Insbesondere verboten sind (a) die vollständige Speicherung von Komponenten der BauGPT Services, (b) das Extrahieren zugrunde liegender Software, Daten, Algorithmen oder Datenmodelle sowie (c) die Analyse, Nachahmung oder das Reverse Engineering der Funktionalität, Struktur oder Funktionsweise der IT Ressourcen.

  8. Der Kunde hat Zugangsdaten zu IT Ressourcen vertraulich zu behandeln und bei einem Missbrauch unverzüglich zu reagieren. Der Anbieter ist berechtigt, den Zugang auf Wunsch des Kunden oder in Fällen zu sperren, in denen (a) der Anbieter aus wichtigem Grund zur Kündigung des BauGPT Vertrags berechtigt ist, (b) der Zugang des Kunden als unsicher eingestuft wird oder (c) eine dritte Partei (z. B. eine Behörde) dies gesetzlich verlangt. Der Kunde wird hierüber in Textform informiert, soweit rechtlich zulässig. Der Zugang wird wiederhergestellt, sobald der Grund für die Sperrung entfällt.

6. Vergütung

  1. Die Nutzung der BauGPT Services ist kostenpflichtig. Sämtliche Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer sowie etwaiger sonstiger anwendbarer gesetzlicher Steuern (z. B. Verkaufs- oder Quellensteuern). Der Kunde ist für die Zahlung sämtlicher anwendbarer Steuern verantwortlich, es sei denn, er legt dem Anbieter eine gültige Befreiungsbescheinigung der zuständigen Steuerbehörde vor.

  2. Die Preise werden individuell vereinbart und in Textform dokumentiert (z. B. im jeweiligen Angebot oder Vertrag). Vergünstigungen, die für eine bestimmte Laufzeit (z. B. für ein Kalenderjahr) oder ein bestimmtes Produkt gewährt werden, gelten nur für diese Laufzeit bzw. dieses Produkt und enden automatisch, sofern ihre Verlängerung nicht ausdrücklich vereinbart wird.

  3. Sofern nicht anders vereinbart, sind Vergütungen im Voraus am ersten Kalendertag jedes Abrechnungszeitraums zu zahlen. Beträgt der Abrechnungszeitraum mehr als zwölf Monate, ist die Vergütung für jeden Zwölfmonatszeitraum im Voraus fällig. Alle sonstigen Vergütungen sind, sofern nicht anders festgelegt, sofort fällig.

  4. Zahlungen sind in voller Höhe, ohne Abzüge oder Einbehalte, zu leisten, es sei denn, ein Abzug oder Einbehalt ist gesetzlich vorgeschrieben. In diesem Fall hat der Kunde den Zahlungsbetrag so zu erhöhen, dass der Anbieter den vereinbarten vollen Betrag erhält.

  5. Die Parteien stimmen der elektronischen Rechnungsstellung bzw. der elektronischen Übermittlung von Rechnungen zu. Die Wahl hierüber liegt im Ermessen des Anbieters.

  6. Der Anbieter ist berechtigt, die Entgelte einmal jährlich in angemessenem Umfang und mit Wirkung für die Zukunft anzupassen, um gestiegene Personal- oder sonstige Kosten abzubilden. Über Entgeltanpassungen und deren Inkrafttreten wird der Kunde mindestens vier Wochen im Voraus in Textform (z. B. per E-Mail) informiert. Im Übrigen gilt Ziffer 10 dieser AGB. Übersteigt die Erhöhung 5 % des bisherigen Entgelts, ist die Zustimmung des Kunden in Textform erforderlich (z. B. durch ein aktualisiertes Angebot).

7. Vertrauliche Informationen; Datenschutz

  1. Jede Partei verpflichtet sich, sämtliche Informationen, die sie von der anderen Partei im Zusammenhang mit dem BauGPT Vertrag erhält oder anderweitig erlangt und die als vertraulich gekennzeichnet sind oder nach vernünftiger Betrachtung als Geschäfts- oder Betriebsgeheimnisse anzusehen sind („Vertrauliche Informationen“), vertraulich zu behandeln. Diese Verpflichtung gilt ab dem Zeitpunkt der Offenlegung und unbefristet auch nach Beendigung des Vertrags, sofern keine Ausnahme greift.

  2. Vertrauliche Informationen dürfen ohne vorherige schriftliche Zustimmung der anderen Partei weder offengelegt noch genutzt werden, es sei denn, eine Offenlegung ist (a) zur Erfüllung des BauGPT Vertrags erforderlich oder (b) aufgrund zwingender gesetzlicher Vorschriften, gerichtlicher Anordnungen oder behördlicher Verfügungen notwendig. Im Falle einer zwingend erforderlichen Offenlegung ist die andere Partei unverzüglich und – soweit rechtlich zulässig – vorab zu informieren.

  3. Die Vertraulichkeitsverpflichtung gilt nicht für Informationen, die (a) der empfangenden Partei vor der Offenlegung rechtmäßig und ohne Vertraulichkeitsverpflichtung bekannt waren, (b) ohne Verschulden der empfangenden Partei allgemein zugänglich werden, (c) von einem Dritten rechtmäßig und ohne Vertraulichkeitsverpflichtung offengelegt werden, (d) von der empfangenden Partei unabhängig und ohne Bezugnahme auf die Vertraulichen Informationen entwickelt werden oder (e) aufgrund anwendbarer Gesetze, vollstreckbarer behördlicher Anordnungen oder gerichtlicher Entscheidungen offengelegt werden müssen.

  4. Jede Partei hat Vertrauliche Informationen mit der gebotenen Sorgfalt zu schützen und dabei technische und organisatorische Maßnahmen anzuwenden, die mindestens den Anforderungen des § 2 Nr. 1 lit. b) Geschäftsgeheimnisschutzgesetz (GeschGehG) entsprechen.

  5. Personenbezogene Daten werden ausschließlich in Übereinstimmung mit den Datenschutzgesetzen verarbeitet. Jede Partei stellt sicher, dass sämtliche Datenverarbeitungsvorgänge, bei denen sie als Verantwortlicher im Sinne der Datenschutzgesetze handelt, rechtmäßig sind. Der Kunde bleibt allein dafür verantwortlich, die Informationspflichten gegenüber betroffenen Personen in seinem eigenen Verantwortungsbereich zu erfüllen. Weitere Informationen zum Datenschutz finden sich in der Datenschutzerklärung des Anbieters (www.crafthunt.app/privacy). 

  6. Soweit Kundendaten personenbezogene Daten sind, ist der Kunde Verantwortlicher und der Anbieter Auftragsverarbeiter. Mit Abschluss des Vertrags kommt der Auftragsverarbeitungsvertrag (AVV) (Anlage 1) zustande, sofern keine abweichenden Vereinbarungen getroffen werden. Im Falle eines Widerspruchs zwischen den Regelungen des AVV und diesen AGB gehen die Bestimmungen des AVV vor.

8. Haftungsbeschränkung; Freistellung

  1. Der Anbieter haftet unbeschränkt für Schäden, die durch vorsätzliche oder grob fahrlässige Pflichtverletzungen verursacht werden, sowie für Schäden aus der Verletzung von Leben, Körper oder Gesundheit. Eine unbeschränkte Haftung besteht zudem, soweit zwingende gesetzliche Vorschriften dies vorsehen, etwa im Fall von übernommenen Garantien, arglistigem Verschweigen von Mängeln oder nach dem Produkthaftungsgesetz.

  2. Bei einfacher Fahrlässigkeit haftet der Anbieter nur für die Verletzung wesentlicher Vertragspflichten (sogenannter Kardinalpflichten), also solcher Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des BauGPT Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Bei sonstigen einfach fahrlässigen Pflichtverletzungen oder Nebenpflichtverletzungen ist die Haftung ausgeschlossen, sofern keine gesetzlich vorgeschriebene Haftung greift.

  3. Soweit die Haftung des Anbieters begrenzt ist oder Ansprüche auf entgangenen Gewinn, nicht realisierte Einsparungen oder mittelbare Schäden geltend gemacht werden, ist die Haftung zusätzlich auf den jährlichen Vertragswert begrenzt, berechnet auf Grundlage der vom Kunden in den zwölf Monaten vor dem schadensauslösenden Ereignis an den Anbieter gezahlten Vergütungen. Sofern im betreffenden Zeitraum keine Vergütung gezahlt wurde, beträgt die Haftungsobergrenze 10.000 EUR.

  4. Eine verschuldensunabhängige Haftung für bei Vertragsschluss vorhandene Mängel, insbesondere bei mietvertragsähnlicher Nutzung, ist ausgeschlossen.

  5. Der Anbieter haftet nicht für Leistungsstörungen, die durch höhere Gewalt verursacht werden, einschließlich Streiks, Aussperrungen, behördlicher Anordnungen, Naturkatastrophen, Krieg, Terrorismus, Reaktorunfälle, Embargos, Epidemien oder Pandemien, Ausfälle von Netzen oder Infrastrukturen oder Störungen bei Transport- bzw. Telekommunikationsdienstleistern.

  6. Im Falle eines Verlusts von Kundendaten haftet der Anbieter nur für den Aufwand, der erforderlich ist, um die Daten auf Grundlage ordnungsgemäß erstellter Sicherungskopien des Kunden wiederherzustellen.

  7. Alle Haftungsregelungen gelten entsprechend auch für Ansprüche gegen Organe, Mitarbeiter und Erfüllungsgehilfen des Anbieters.

  8. Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter – einschließlich damit verbundener Kosten und Aufwendungen (z. B. Rechtsanwaltsgebühren) – frei, die aus einer rechtswidrigen oder vertragswidrigen Nutzung der BauGPT Services resultieren. Rechtswidrige Nutzung umfasst insbesondere, aber nicht abschließend, jede Verletzung anwendbarer Antidiskriminierungsgesetze. Vertragswidrige Nutzung liegt z. B. vor, wenn die Leistungen zu privaten Zwecken des Kunden verwendet werden. Die Freistellung umfasst auch Vertragsstrafen sowie behördlich oder gerichtlich verhängte Geldbußen, soweit diese auf ein Verschulden des Kunden zurückzuführen sind.

9. Vertragslaufzeit; Kündigung

  1. Sofern keine feste Laufzeit vereinbart ist, wird der BauGPT Vertrag auf unbestimmte Zeit geschlossen. In diesem Fall kann jede Partei mit einer Frist von drei Monaten ordentlich kündigen, sofern keine abweichende Vereinbarung getroffen wurde.

  2. Ist eine feste Laufzeit vereinbart (z. B. bei einer jährlichen Vergütung oder einer Laufzeit von einem Kalenderjahr), verlängert sich der BauGPT Vertrag jeweils automatisch um denselben Zeitraum, sofern nicht eine Partei mindestens drei Monate vor dem jeweiligen Verlängerungsdatum kündigt.

  3. Das Recht beider Parteien zur Kündigung des BauGPT Vertrags aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn (a) der Kunde bei Vertragsschluss falsche Angaben gemacht hat, (b) die IT Ressourcen vertragswidrig genutzt werden oder (c) der Kunde mit Zahlungen in erheblichem Umfang in Verzug gerät.

  4. Jede Kündigung hat mindestens in Textform (z. B. per E-Mail) zu erfolgen.

  5. Mit Beendigung des Vertrags werden sämtliche offenen Vergütungen sofort fällig.

  6. Der Anbieter stellt dem Kunden auf dessen Wunsch die zum Beendigungszeitpunkt vorhandenen Kundendaten in einem gängigen Format zur Verfügung. Die Bereitstellung erfolgt nach Wahl des Anbieters in einem gängigen Format (z. B. über Datenträger oder -übertragung). Der Kunde muss diesen Antrag spätestens innerhalb eines Monats nach Vertragsende stellen. Nach Ablauf dieser Frist wird der Anbieter die Daten sperren und unwiderruflich löschen, es sei denn, gesetzliche Aufbewahrungspflichten oder -rechte bestehen. Die Pflicht des Anbieters zur Bereitstellung von Kundendaten beschränkt sich auf solche Daten, die technisch zugänglich sind und mit vertretbarem Aufwand in einem strukturierten Format abgerufen werden können. Dienstleistungen, die über diesen Rahmen hinausgehen, insbesondere individuelle Aufbereitung oder Verarbeitung von Daten, sind gesondert und in angemessenem Umfang zu vergüten.

  7. Bestimmungen dieser AGB, die ihrem Inhalt nach über die Beendigung des BauGPT Vertrags hinaus fortgelten sollen, bleiben entsprechend wirksam.

10. Änderungen

  1. Der Anbieter behält sich das Recht vor, diese AGB, die vertraglichen Leistungen, Produktbeschreibungen, technischen Anforderungen und Vergütungen mit Wirkung für die Zukunft anzupassen, um den BauGPT Vertrag an die fortlaufende Weiterentwicklung der BauGPT Services anzupassen. Änderungen können insbesondere vorgenommen werden, wenn dies erforderlich ist, um (a) gesetzlichen Anforderungen zu entsprechen, (b) behördliche oder gerichtliche Entscheidungen umzusetzen, (c) IT-bezogene Sicherheitsrisiken zu verringern, (d) auf Änderungen von Drittanbietern zu reagieren oder (e) Verbesserungen einzuführen, die überwiegend vorteilhaft für die Kunden sind.

  2. Änderungen werden dem Kunden innerhalb eines angemessenen Zeitrahmens vor ihrem Inkrafttreten in Textform (z. B. per E-Mail) mitgeteilt. Die Zustimmung des Kunden gilt als erteilt, wenn er nicht innerhalb von zwei Wochen nach Zugang der Mitteilung in Textform widerspricht. Wenn die Änderungen die berechtigten Interessen des Kunden nicht beeinträchtigen (z. B. funktionale Erweiterungen, redaktionelle oder visuelle Anpassungen), besteht kein Widerspruchsrecht des Kunden.

  3. Widerspricht der Kunde einer Änderung, bleibt der BauGPT Vertrag zu den bisherigen Bedingungen bestehen. In diesem Fall ist der Anbieter jedoch berechtigt, den BauGPT Vertrag aus wichtigem Grund mit einer Frist von zwei Wochen zu kündigen.

11. Schlussbestimmungen

  1. Die Abtretung von Ansprüchen aus dem BauGPT Vertrag durch den Kunden ist ohne vorherige Zustimmung des Anbieters unzulässig. § 354a Abs. 1 HGB bleibt unberührt.

  2. Der Kunde kann ein Zurückbehaltungsrecht oder eine Aufrechnung nur mit unbestrittenen, vom Anbieter schriftlich anerkannten oder rechtskräftig festgestellten Ansprüchen oder mit Ansprüchen aus Gewährleistungsrechten geltend machen. Ein Zurückbehaltungsrecht kann nur auf Ansprüche aus demselben Vertragsverhältnis gestützt werden.

  3. Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen des BauGPT Vertrags bedürfen der Textform, soweit in diesen AGB nichts anderes bestimmt ist. Dies gilt auch für eine Änderung dieser Klausel selbst, die nur wirksam ist, wenn sie ausdrücklich in Textform erfolgt.

  4. Leistungsort, Erfolgsort und Erfüllungsort für sämtliche Leistungen ist im Zweifel der Sitz des Anbieters.

  5. § 312i Abs. 1 Satz 1 Nr. 1 bis 3 BGB findet keine Anwendung.

  6. Sollte eine Bestimmung des BauGPT Vertrags ganz oder teilweise unwirksam, rechtswidrig, undurchsetzbar oder nicht ausführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine wirksame und durchsetzbare Regelung, die dem Zweck und dem wirtschaftlichen Gehalt der ursprünglichen Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige unbeabsichtigte Regelungslücken im BauGPT Vertrag.

  7. Für sämtliche Rechtsverhältnisse, auf die diese AGB Anwendung finden, gilt das Recht der Bundesrepublik Deutschland unter Ausschluss seiner Kollisionsnormen und des UN-Kaufrechts (CISG), soweit nicht zwingende gesetzliche Vorschriften etwas anderes bestimmen.

  8. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem BauGPT Vertrag ist der Sitz des Anbieters. Der Anbieter behält sich jedoch das Recht vor, Ansprüche an jedem anderen gesetzlich zulässigen Gerichtsstand geltend zu machen.

Anlage 1 - Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand der Vereinbarung

  1. Dieser Vertrag zur Auftragsverarbeitung (AVV) legt die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen in Bezug auf die Verarbeitung von Kundendaten gemäß dem BauGPT Vertrag („Hauptvertrag“) fest.

  2. Dieser AVV findet keine Anwendung auf eine Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter für eigene Zwecke oder im Auftrag Dritter durchführt, wenn der Auftragsverarbeiter die Zwecke und Mittel einer solchen Verarbeitung eigenständig festlegt.

  3. Nichts in diesem AVV oder im Hauptvertrag beeinträchtigt die Rechte betroffener Personen nach den anwendbaren Datenschutzgesetzen. Etwaige Bestimmungen, die solche Rechte einschränken sollen, sind gegenüber diesen betroffenen Personen unwirksam.

  4. Sowohl der Verantwortliche als auch der Auftragsverarbeiter stellen sicher, dass sie jederzeit in vollem Umfang die geltenden Datenschutzgesetze im Zusammenhang mit der Erfüllung ihrer jeweiligen Pflichten aus diesem AVV einhalten.

2. Verarbeitung von Kundendaten

  1. Zweck der Verarbeitung personenbezogener Daten ist die Bereitstellung des jeweiligen BauGPT Service. Gegenstand und Art der Verarbeitung ergeben sich aus dem Hauptvertrag.

  2. Anlage 1 konkretisiert darüber hinaus den Zweck der Verarbeitung, die Arten der verarbeiteten personenbezogenen Daten sowie die Kategorien der betroffenen Personen.

  3. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags, sofern in diesem AVV nichts Abweichendes geregelt ist.

3. Weisungen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Artikel 28 Abs. 3 lit. a DSGVO bleibt unberührt. Dieser AVV sowie der Hauptvertrag stellen die vollständigen Weisungen des Verantwortlichen an den Auftragsverarbeiter dar, sofern und solange der Verantwortliche keine zusätzlichen oder geänderten Weisungen erteilt.

  2. Einzelweisungen können schriftlich oder in einer anderen dokumentierten Form erteilt werden. Mündliche Weisungen sind vom Verantwortlichen unverzüglich schriftlich zu bestätigen. Weisungsberechtigt sind ausschließlich die Geschäftsleitung des Verantwortlichen oder Personen, die vom Verantwortlichen ausdrücklich schriftlich hierzu bevollmächtigt wurden. Der Auftragsverarbeiter ist nur verpflichtet, Weisungen auszuführen, wenn ein geeigneter Nachweis über eine solche Bevollmächtigung vorliegt.

  3. Hält der Auftragsverarbeiter eine Weisung für einen Verstoß gegen geltende Datenschutzgesetze oder gegen diesen AVV, so informiert er den Verantwortlichen unverzüglich. Die Weisung wird erst ausgeführt, wenn der Verantwortliche diese ausdrücklich schriftlich bestätigt hat. Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit seiner Weisungen.

  4. Der Auftragsverarbeiter kann alternative und angemessene Maßnahmen vorschlagen, die den mit der Weisung verfolgten Zweck ebenfalls erreichen.

  5. Führt die Befolgung einer Weisung zu einer erheblichen zusätzlichen Belastung des Auftragsverarbeiters bei der Erbringung der BauGPT Services, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit sofortiger Wirkung zu kündigen. Dieses Recht besteht nur, wenn der Verantwortliche nach Information durch den Auftragsverarbeiter die Weisung nicht zurücknimmt oder nicht innerhalb einer vom Auftragsverarbeiter gesetzten angemessenen Frist schriftlich erklärt, die entstehenden Mehrkosten zu übernehmen.

4. Pflichten des Verantwortlichen

  1. Der Verantwortliche entscheidet über die konkrete Nutzung der BauGPT Services und über die damit verfolgten Zwecke. Er trägt die Verantwortung für die Einhaltung der geltenden Datenschutzgesetze sowie für die Rechtmäßigkeit der Verarbeitung.

  2. Nichts in diesem AVV schränkt die Pflichten des Verantwortlichen nach den geltenden Datenschutzgesetzen ein oder mindert diese. Insbesondere bleibt der Verantwortliche dafür verantwortlich, die Rechte betroffener Personen gemäß Kapitel III DSGVO zu wahren und die in Kapitel IV DSGVO festgelegten Anforderungen vollständig zu erfüllen.

  3. Es obliegt dem Verantwortlichen sicherzustellen, dass die technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters in Bezug auf die spezifischen Verarbeitungsvorgänge den geltenden datenschutzrechtlichen Anforderungen entsprechen.

  4. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich und vollständig, wenn im Rahmen der vertraglichen Tätigkeiten (a) eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, (b) die Verarbeitung unzutreffend ist, (c) Zweifel an der Rechtmäßigkeit der Verarbeitung bestehen, oder (d) Anhaltspunkte für einen Verstoß gegen einen der in Kapitel II DSGVO niedergelegten Grundsätze vorliegen.

  5. Jede Partei führt, soweit nach den Datenschutzgesetzen erforderlich, ein eigenes Verzeichnis von Verarbeitungstätigkeiten. Keine Partei ist berechtigt, die Offenlegung des Verzeichnisses der jeweils anderen Partei zu verlangen.

5. Unterstützungs- und Mitwirkungspflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen, indem er (a) geeignete technische und organisatorische Maßnahmen (TOMs) umsetzt, um bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte nach Kapitel III DSGVO zu helfen, (b) bei der Erfüllung der in den Artikeln 32 bis 36 DSGVO oder entsprechenden Datenschutzgesetzen festgelegten Pflichten Unterstützung leistet, soweit der Verantwortliche in zumutbarer Weise auf diese Unterstützung angewiesen ist, (c) relevante Informationen zur Verfügung stellt, um die Einhaltung von Artikel 28 DSGVO und anderer anwendbarer datenschutzrechtlicher Pflichten nachzuweisen und (d) auf Anfrage angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden bietet.

  2. Der Auftragsverarbeiter informiert den Verantwortlichen (a) über jede Anfrage betroffener Personen zur Ausübung ihrer Rechte, wobei die Bearbeitung solcher Anfragen dem Verantwortlichen obliegt und der Auftragsverarbeiter auf Anfrage Unterstützung leistet, (b) unverzüglich über jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten und (c) über jede Prüfung oder Anfrage einer Aufsichtsbehörde, soweit dies nicht durch Gesetz oder behördliche Anordnung untersagt ist.

  3. Die Unterstützung des Auftragsverarbeiters ist subsidiär und berücksichtigt die Art der Verarbeitung sowie die ihm zur Verfügung stehenden Informationen. Die Unterstützung erfolgt in erster Linie über die Funktionalitäten von BauGPT. Besteht eine zumutbare Alternative, hat der Verantwortliche keinen Anspruch auf unmittelbare Unterstützung.

  4. Die Leistungen des Auftragsverarbeiters stehen unter dem Vorbehalt der Rechte Dritter sowie eigener Rechte, einschließlich der Rechte betroffener Personen, berechtigter Interessen an der Vertraulichkeit und des Schutzes von Rechten des geistigen Eigentums. Der Auftragsverarbeiter kann Leistungen verweigern oder einschränken, bis der Verantwortliche entgegenstehende Rechte beseitigt hat.

  5. Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen einer Verschwiegenheitspflicht unterliegen oder einer gleichwertigen gesetzlichen Geheimhaltungspflicht unterworfen sind.

  6. Durch geeignete technische und organisatorische Maßnahmen (TOM) stellt der Auftragsverarbeiter sicher, dass sein Personal personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen und in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet.

  7. Der Auftragsverarbeiter bestellt einen Datenschutzbeauftragten gemäß den Artikeln 38 und 39 DSGVO. Die Kontaktdaten des Datenschutzbeauftragten sind in Anlage 2 dieses AVV aufgeführt.

6. Technische und organisatorische Maßnahmen (TOM)

  1. Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die Verarbeitung personenbezogener Daten zu gewährleisten. Diese Maßnahmen schützen insbesondere vor einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung von bzw. einem unbefugten Zugang zu personenbezogenen Daten.

  2. Bei der Bestimmung der geeigneten Maßnahmen berücksichtigt der Auftragsverarbeiter den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade der Risiken für die Rechte und Freiheiten natürlicher Personen.

  3. Die vom Auftragsverarbeiter umgesetzten TOMs sind in Anlage 3 zu diesem AVV aufgeführt.

  4. Der Auftragsverarbeiter überprüft die TOM regelmäßig, um die Einhaltung der geltenden Datenschutzgesetze sicherzustellen und zu bestätigen, dass das vereinbarte Sicherheitsniveau weiterhin eingehalten wird.

  5. Der Auftragsverarbeiter passt die TOM fortlaufend an den technischen Fortschritt und die Entwicklungen an, wobei mindestens das bei Abschluss dieses AVV vereinbarte Sicherheitsniveau aufrechterhalten wird. Wesentliche Änderungen der TOM werden dokumentiert, beispielsweise durch Aktualisierung der entsprechenden Anlage, und unterliegen den Bestimmungen des Hauptvertrags.

  6. Der Auftragsverarbeiter kann sich zur Erfüllung der in der DSGVO geforderten Garantien auf genehmigte Verhaltensregeln gemäß Artikel 40 DSGVO oder auf ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 DSGVO stützen.

7. Unterauftragsverarbeiter

  1. Mit Abschluss dieses AVV erteilt der Verantwortliche seine Zustimmung zur Beauftragung von Unterauftragsverarbeitern durch den Auftragsverarbeiter. Eine Liste der zum Zeitpunkt des Abschlusses dieses AVV genehmigten Unterauftragsverarbeiter ist in Anlage 4 aufgeführt.

  2. Der Auftragsverarbeiter informiert den Verantwortlichen im Voraus über beabsichtigte Änderungen hinsichtlich der Beauftragung oder Ersetzung von Unterauftragsverarbeitern. Solche Mitteilungen erfolgen über BauGPT oder in einer anderen dokumentierten Form, beispielsweise durch Aktualisierung der Anlage. Der Verantwortliche kann schriftlich Einwände erheben, wenn die Änderung seine berechtigten Interessen in erheblicher und nachteiliger Weise beeinträchtigen würde. Jeder Einwand muss konkret und nachvollziehbar begründet werden. Liegt kein objektiv gerechtfertigter Grund für den Einwand vor, kann der Auftragsverarbeiter die Erbringung der BauGPT Services einschränken oder den Hauptvertrag aus wichtigem Grund kündigen, insbesondere wenn eine Leistungserbringung ohne die beabsichtigte Änderung unwirtschaftlich wäre. Wird der Einwand des Verantwortlichen durch den Auftragsverarbeiter ausgeräumt, gilt die Änderung als genehmigt.

  3. Die Beauftragung weiterer Unterauftragsverarbeiter über die in Anlage 4 aufgeführten hinaus kann darüber hinaus nach der gesonderten Zustimmung des Verantwortlichen erfolgen.

  4. Der Verantwortliche kann seine Zustimmung zu einem Unterauftragsverarbeiter aus wichtigem Grund widerrufen. In diesem Fall gilt Ziffer 7.2. dieses AVV entsprechend.

  5. Der Auftragsverarbeiter verpflichtet sämtliche Unterauftragsverarbeiter durch schriftliche oder in Textform abgeschlossene Vereinbarungen zu Datenschutzpflichten, die im Wesentlichen den in diesem AVV festgelegten Pflichten des Auftragsverarbeiters entsprechen. Dies umfasst insbesondere die Umsetzung geeigneter TOM in Übereinstimmung mit den geltenden Datenschutzgesetzen. Ziffer 6.6. dieses AVV gilt entsprechend.

  6. Der Auftragsverarbeiter koordiniert sämtliche Anfragen des Verantwortlichen in Bezug auf Unterauftragsverarbeiter und erteilt entsprechende Antworten oder Berichte. Der Verantwortliche darf Unterauftragsverarbeiter nur in Ausnahmefällen direkt kontaktieren, wenn eine Kommunikation über den Auftragsverarbeiter nicht ausreicht, um rechtliche Anforderungen zu erfüllen.

  7. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich und ergreift unverzüglich Abhilfemaßnahmen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über die ergriffenen Maßnahmen.

8. Datenübermittlungen in ein Drittland

  1. Der Auftragsverarbeiter übermittelt personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (Drittland) nur in den in den Anlagen genannten Fällen, auf Grundlage einer gesonderten Vereinbarung mit dem Verantwortlichen oder auf dokumentierte Weisung des Verantwortlichen.

  2. Bei der Übermittlung personenbezogener Daten in Drittländer stellt der Auftragsverarbeiter die Einhaltung sämtlicher Anforderungen des Kapitels V DSGVO sicher. Diese Verpflichtung gilt gleichermaßen für Übermittlungen zwischen Drittländern, die der Kontrolle des Auftragsverarbeiters unterliegen.

  3. Ändert sich die Rechtsgrundlage für Datenübermittlungen in ein Drittland, beispielsweise aufgrund einer Entscheidung der Europäischen Kommission gemäß Artikel 45 Absatz 5 DSGVO, bemühen sich die Parteien, einen alternativen Mechanismus nach Kapitel V DSGVO zu implementieren. Dies kann insbesondere den Abschluss von Standardvertragsklauseln gemäß Artikel 46 Absatz 2 DSGVO umfassen. Der Verantwortliche darf seine Zustimmung zu einer solchen Anpassung nicht unangemessen verweigern oder verzögern. Ziffer 7.2. dieses AVV gilt entsprechend.

9. Audit- und Inspektionsrechte des Verantwortlichen

  1. Der Auftragsverarbeiter gewährt dem Verantwortlichen das Recht, Audits und Inspektionen, einschließlich Vor-Ort-Kontrollen, durchzuführen, sofern diese gesetzlich vorgeschrieben sind oder erforderlich, um die Einhaltung der geltenden Datenschutzgesetze sicherzustellen. Der Verantwortliche kann geeignete, qualifizierte und unabhängige Dritte mit der Durchführung eines Audits in seinem Auftrag beauftragen.

  2. Audits können von der Unterzeichnung einer strengen vertraglichen Vertraulichkeitsverpflichtung durch das prüfende Personal abhängig gemacht werden, insbesondere in Bezug auf Informationen, die nicht die personenbezogenen Daten des Verantwortlichen betreffen. Der Auftragsverarbeiter kann einen Prüfer ablehnen, wenn berechtigte Interessen dadurch nachteilig betroffen wären. Zu solchen berechtigten Interessen zählen unter anderem die Rechte Dritter, bestehende Geheimhaltungsverpflichtungen, die Vertraulichkeit oder Sicherheit von IT Ressourcen oder der Schutz sensibler Informationen, insbesondere im Hinblick auf Wettbewerber.

  3. Vor-Ort-Kontrollen sind mindestens vierzehn Tage im Voraus anzukündigen und dürfen nur durchgeführt werden, wenn sie zur Einhaltung der geltenden Datenschutzgesetze erforderlich sind.

  4. Audits bei Unterauftragsverarbeitern werden ausschließlich durch den Auftragsverarbeiter selbst durchgeführt. Die für Audits beim Auftragsverarbeiter geltenden Bestimmungen finden entsprechend Anwendung.

  5. Audit- und Inspektionsrechte entfallen, wenn der Auftragsverarbeiter anderweitige Nachweise über die Einhaltung der geltenden Datenschutzgesetze erbringt. Solche Nachweise können insbesondere genehmigte Verhaltensregeln, Zertifizierungen oder Bestätigungen unabhängiger Dritter umfassen. Vor der Durchführung eines Audits ist dem Auftragsverarbeiter Gelegenheit zu geben, entsprechende Nachweise vorzulegen.

  6. Die Unterstützung des Auftragsverarbeiters im Zusammenhang mit einem Audit, einschließlich bis zu acht Stunden Mitwirkung innerhalb eines Vertragsjahres, ist in der Vergütung nach dem Hauptvertrag enthalten. Für häufigere oder umfangreichere Unterstützungsleistungen hat der Verantwortliche einen zwingenden Grund darzulegen. Ziffer 10 dieses AVV gilt entsprechend.

10. Vergütung

  1. Der Auftragsverarbeiter ist nicht berechtigt, gesonderte Vergütungen für Leistungen zu verlangen, die (a) gesetzlich vorgeschrieben sind, (b) durch den Hauptvertrag abgedeckt werden oder (c) zur Behebung einer Verletzung der Pflichten des Auftragsverarbeiters erbracht werden.

  2. Der Auftragsverarbeiter kann jedoch für individuell angeforderte Leistungen, zusätzliche Weisungen oder Unterstützungsleistungen, die über den gewöhnlichen Umfang seiner Tätigkeit hinausgehen, eine angemessene Vergütung verlangen. Dies gilt insbesondere, wenn (a) der Verantwortliche nicht zwingend auf die Leistung angewiesen ist, (b) der Auftragsverarbeiter eine zumutbare Alternative vorgeschlagen hat; oder (c) die Leistung aufgrund außergewöhnlicher Umstände im Verantwortungsbereich des Verantwortlichen erforderlich wird.

11. Haftungsbeschränkung

  1. Der Auftragsverarbeiter haftet ausschließlich im Rahmen von Artikel 82 Abs. 2 S. 2 DSGVO. Auf diese Haftung finden auch die weiteren Regelungen des Artikel 82 DSGVO Anwendung.

  2. Soweit den Auftragsverarbeiter keine Haftung trifft, stellt der Verantwortliche den Auftragsverarbeiter auf erstes Anfordern von sämtlichen Ansprüchen betroffener Personen oder Dritter im Zusammenhang mit diesem AVV frei.

  3. Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen ist zusätzlich auf den jährlichen Vertragswert beschränkt, berechnet auf Grundlage der vom Verantwortlichen in den zwölf Monaten vor dem schadensauslösenden Ereignis an den Auftragsverarbeiter gezahlten Vergütungen. Sofern im betreffenden Zeitraum keine Vergütung gezahlt wurde, beträgt die Haftungsobergrenze 10.000 EUR. 

  4. Etwaige Haftungsausschlüsse oder -beschränkungen gelten nicht in Fällen von Vorsatz oder grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.

  5. Im Übrigen richtet sich die Haftung nach den Bestimmungen des Hauptvertrags.

12. Laufzeit und Beendigung

  1. Dieser AVV beginnt und endet automatisch mit dem Hauptvertrag.

  2. Jede Partei kann diesen AVV ohne Angabe von Gründen mit einer Frist von drei Monaten schriftlich kündigen. Gesetzliche Rechte zur fristlosen Kündigung aus wichtigem Grund bleiben unberührt.

  3. Der Auftragsverarbeiter kann diesen AVV mit sofortiger Wirkung kündigen, wenn die Verarbeitung personenbezogener Kundendaten unrechtmäßig wird, es sei denn, diese Unrechtmäßigkeit liegt außerhalb des Verantwortungsbereichs des Verantwortlichen. Grundsätzlich ist dem Verantwortlichen vor einer Kündigung eine angemessene Frist zur Behebung des Mangels einzuräumen.

  4. Endet dieser AVV vor dem Hauptvertrag, ist der Auftragsverarbeiter berechtigt, die Erbringung der BauGPT Services, die die Verarbeitung personenbezogener Kundendaten erfordern, auszusetzen, bis eine den geltenden Datenschutzgesetzen entsprechende Vereinbarung zur Auftragsverarbeitung abgeschlossen wurde. Aus einer solchen Aussetzung entstehen keine Schadensersatz- oder Minderungsansprüche, es sei denn, der Verantwortliche hat diesen AVV aus wichtigem, dem Auftragsverarbeiter zurechenbarem Grund gekündigt.

  5. Der Auftragsverarbeiter kann den Hauptvertrag aus wichtigem Grund kündigen, wenn keine gültige Vereinbarung zur Auftragsverarbeitung besteht und nicht absehbar ist, dass eine solche ohne unangemessene Verzögerung abgeschlossen wird.

  6. Nach Beendigung dieses AVV hat der Auftragsverarbeiter auf Weisung des Verantwortlichen sämtliche im Rahmen dieses AVV verarbeiteten personenbezogenen Daten zu löschen oder zurückzugeben und den Abschluss dieser Maßnahme zu bestätigen. Erfolgt keine Weisung des Verantwortlichen, werden die Daten einen Monat nach Beendigung dieses AVV gelöscht. Eine weitere Speicherung oder Verarbeitung ist nur zulässig, soweit dies gesetzlich oder durch behördliche Anordnung vorgeschrieben ist. Die Bestimmungen dieses AVV gelten bis zur Löschung oder Rückgabe der Daten fort.

  7. Nach Rückgabe oder Löschung der Daten bestehen für den Auftragsverarbeiter keine weiteren Dokumentations- oder Aufbewahrungspflichten gegenüber dem Verantwortlichen.

13. Schlussbestimmungen

  1. Die Parteien verpflichten sich, notwendige Änderungen oder Ergänzungen dieses AVV einvernehmlich vorzunehmen, soweit dies erforderlich ist, um die Verarbeitung personenbezogener Daten in Einklang mit den geltenden Datenschutzgesetzen sicherzustellen.

  2. Soweit dieser AVV zu einem bestimmten Sachverhalt keine abschließende Regelung enthält, gelten die entsprechenden Bestimmungen des Hauptvertrags entsprechend.

  3. Die Bestimmungen zu anwendbarem Recht und Gerichtsstand aus den Allgemeinen Geschäftsbedingungen BauGPT finden Anwendung.

Anlage 1 - Umfang der Verarbeitung; Datenarten; Betroffene Personen

Umfang der Verarbeitung

Der Umfang der Verarbeitung wird durch die Bestimmungen des Hauptvertrags festgelegt.

Regelmäßig verarbeitete Datenarten

  • Kontaktdaten (z. B. Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Wohnort)

  • Berufliche Daten (z. B. Berufsbezeichnung, aktueller und frühere Arbeitgeber, Lebensläufe, Zeugnisse, Motivationsschreiben)

  • Kommunikationsdaten (z. B. E-Mails, Nachrichten, sonstige vom Verantwortlichen bei Nutzung der BauGPT Services freiwillig bereitgestellte Daten)

Kategorien betroffener Personen

  • Mitglieder von Unternehmensorganen, Mitarbeiter einschließlich Bewerber und Interessenten und Beauftragte des Verantwortlichen oder seiner verbundenen Unternehmen im Sinne der §§ 15 ff. Aktiengesetz (AktG)

  • Geschäftspartner des Verantwortlichen oder Mitarbeiter solcher Geschäftspartner

Ort der Verarbeitung und Übermittlungen in Drittländer

Europäische Union (EU) / Europäischer Wirtschaftsraum (EWR)

Anlage 2 - Ansprechpartner

Kertos GmbHz.H. Herrn Dr. Kilian Schmidt

Brienner Str. 41, 80333 München

E-Mail:dsb@kertos.io

Der Verantwortliche teilt dem Auftragsverarbeiter die relevanten Ansprechpartner und deren Kontaktdaten mit.

Anlage 3 - Technische und organisatorische Maßnahmen (TOM)

Maßnahme

Zweck

Beschreibung

Zutrittskontrolle (physisch)

Sicherstellen, dass nur befugte Personen Zugang zu Räumlichkeiten und Einrichtungen haben, in denen Datenverarbeitung stattfindet

  • Einsatz von Zugangskontrollsystemen (z. B. persönliche Schlüssel- oder Zugangskarten)

  • Verwendung mechanischer Türschlösser und Zugangssperren zu sensiblen Bereichen

  • Bewachungs- und Alarmsysteme im Rechenzentrum

System- und Zugriffskontrolle (logisch)

Verhindern unbefugten Zugriffs auf IT-Systeme und Daten

  • Personalisierte Benutzerkonten mit rollenbasierter Zugriffsbeschränkung

  • Verwendung starker, regelmäßig erneuerter Passwörter

  • Firewalls, Antivirensoftware und Multi-Faktor-Authentifizierung (MFA)

  • Zugriff über verschlüsselte Protokolle (SSH, SSL/TLS, HTTPS)

Berechtigungskontrolle

Sicherstellen, dass nur befugtes Personal Zugriff auf für seine Aufgaben erforderliche Daten und Systeme hat

  • Rollen- und Berechtigungskonzept

  • Individuelle Zuweisung und Verwaltung von Zugangsdaten und -rechten

Eingabekontrolle

Sicherstellen der Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten

  • Protokollierung von An- und Abmeldungen sowie anderer Systemaktivitäten (z. B. Wartung, Datenänderungen)

  • Schutz der Protokolle vor Manipulation

  • Regelmäßige Überprüfung der Protokolle zur Missbrauchserkennung

Auftragskontrolle

Sicherstellung der Einhaltung vertraglicher Regelungen zur Datenverarbeitung

  • Schriftliche Festlegung der Weisungen des Verantwortlichen

  • Regelmäßige Überprüfung der Einhaltung

  • Verwendung vertraglich vereinbarter Datenschutzklauseln

Trennungskontrolle

Sicherstellen der getrennten Verarbeitung von Daten unterschiedlicher Kunden

  • Logische Trennung der Kundendaten

  • Detaillierte Zugriffskonzepte mit individuellen Berechtigungen

  • Einsatz von Multi-Tenant-Systemen

  • Trennung von Produktions-, Test- und Entwicklungsumgebungen

Weitergabekontrolle

Schutz von Daten bei der Übermittlung oder Offenlegung an Dritte

  • Einsatz sicherer Übertragungsprotokolle (z. B. TLS, SFTP, HTTPS)

  • Sichere Vernichtung und Entsorgung von Papierunterlagen und Speichermedien

Datenverschlüsselung

Gewährleistung der Vertraulichkeit und Integrität gespeicherter und übertragener Daten

  • Verschlüsselung von Datenbanken „at rest“ unter Verwendung von Google Cloud Platform-Verschlüsselung (SSAE 16, ISO 27001, PCI DSS-konform)

  • Verschlüsselte Backups

  • Starke Verschlüsselung für Datenübertragung (SSH, VPN unter Kontrolle des Auftragsverarbeiters, TLS 2.0 für E-Mails)

Verfügbarkeit und Belastbarkeit

Sicherstellen der Verfügbarkeit und Belastbarkeit von Systemen und Daten

  • Regelmäßige automatische Backups mit Point-in-Time Recovery

  • Redundante Speichersysteme

  • Umfassende Notfall- und Incident-Management-Pläne

  • Schwachstellenanalysen, Penetrationstests und Incident-Reviews

  • Serverüberwachung und Alarmierung des Incident-Response-Teams

  • Firewall- und Virenschutz

Organisatorische Kontrolle

Sicherstellung einer ordnungsgemäßen organisatorischen Ausgestaltung der Datenverarbeitung

  • Regelmäßige Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit

  • Verpflichtung aller Mitarbeiter auf Vertraulichkeit nach Artikel 32 Abs. 1 Buchst. b DSGVO

  • IT-Sicherheitskonzept

  • Bestellung eines Datenschutzbeauftragten und regelmäßige Prozessüberprüfungen

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Sicherstellen datenschutzgerechter Prozesse und Voreinstellungen

  • Transparente, benutzerfreundliche Datenschutzeinstellungen

  • Standardkonfigurationen, die nur erforderliche Daten erheben

  • Integration von Datenschutzanforderungen in Produkt- und Prozessentwicklung

  • Berücksichtigung der Grundsätze des Artikels 25 DSGVO von Beginn an

Wirksamkeitskontrolle

Sicherstellen, dass TOMs wirksam und angemessen bleiben

  • Regelmäßige Überprüfung, Bewertung und Anpassung an neue Risiken, rechtliche Anforderungen oder technische Entwicklungen

  • Interne und externe Audits

  • Sorgfältige Auswahl und Prüfung von Lieferanten und Dienstleistern

Incident Response

Schnelle Erkennung und Reaktion auf Sicherheitsvorfälle

  • Eigenes Incident-Response-Team für kontinuierliche Überwachung

  • Sofortige Eindämmung von Sicherheitsvorfällen

  • Dokumentierte Verfahren zur Erkennung, Bewertung, Behebung und Kommunikation von Sicherheitsereignissen

Anlage 4 - Unterauftragsverarbeiter

Nr.

Unterauftragsverarbeiter

Beschreibung der Verarbeitung

Ort der Verarbeitung

1

Microsoft Deutschland GmbH

Kommunikationsdienste (insb. Videokonferenzen, Chat und MS Teams)

EU

2

Amazon Web Services EMEA SARL

Cloud-Infrastruktur und Hosting von BauGPT

EU

3

Google Germany GmbH

Produktivitäts- und Kollaborationsdienste, inbes. Google Workspace

EU

4

Hubspot Germany GmbH

CRM-System und Kundenmanagement

EU

5

n8n GmbH

Workflow-Automatisierung

EU

6

Kombo Technologies GmbH

Schnittstellen- und Integrationsdienste zu ATS Systemen

EU