Allgemeine Geschäftsbedingungen (AGB)

Pantarey GmbH, eingetragen im Handelsregister des Amtsgerichts Augsburg unter der Nummer HRB 38725, vertreten durch den Geschäftsführer Peter Velten, nachfolgend "Anbieter" genannt.

§1 Hintergrund

1. Der Anbieter entwickelt und betreibt die digitale Arbeitsplattform Pantarey, welche Unternehmen dabei unterstützt, ihre Arbeitsprozesse, Daten und Aufgaben zu digitalisieren, zu organisieren und effizienter zu gestalten.
2. Die Plattform umfasst unter anderem die folgenden Leistungsbereiche:
   1. Prozesse: Modellierung, Automatisierung und Ausführung von Geschäftsprozessen, einschließlich der Interaktion mit Benutzern über zugewiesene Aufgaben.
   2. Daten: Zentraler Datenspeicher, der mit den Geschäftsprozessen verknüpft ist und Funktionen zur Speicherung, Verwaltung und Auswertung von Daten bietet.
   3. Arbeitsumgebung: Einheitliche Benutzeroberfläche zur Verwaltung von Aufgaben, Prozessen und Daten mit konfigurierbaren Rollen und Zugriffsrechten.
   4. KI-Funktionen: Integrierte Funktionen auf Basis künstlicher Intelligenz, die innerhalb der Plattform oder als Bestandteil von Prozessen genutzt werden können.
   5. Integrationen: Schnittstellen zur Anbindung externer Systeme und Dienste.
3. Kunden können ihre individuellen Geschäftsprozesse, Datenstrukturen und Anwendungen eigenständig innerhalb von Pantarey gestalten. Dies bietet ihnen die Flexibilität, die Plattform an ihre spezifischen Anforderungen anzupassen und die volle Kontrolle über ihre Konfiguration zu behalten.
4. Pantarey ist als Cloud-Anwendung über den Webbrowser zugänglich. Dies erlaubt eine flexible und ortsunabhängige Nutzung. Die Software wird in Rechenzentren in Deutschland betrieben.
5. Der Kunde ist daran interessiert, Pantarey für seine geschäftlichen Zwecke zu nutzen, um von den Funktionen und Leistungen der Plattform zu profitieren.
6. Hiermit werden die Bedingungen für die Bereitstellung und Nutzung der Software Pantarey durch den Kunden festgelegt. Die Bereitstellung der Software erfolgt als cloudbasierte Dienstleistung im Rahmen eines Mietverhältnisses.

§2 Geltungsbereich und Anwendungsbereich

1. Umfang und Geltung: Diese Allgemeinen Geschäftsbedingungen (AGB) regeln alle Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung der Plattform Pantarey und den dazugehörigen Dienstleistungen.
2. Unternehmer als Zielgruppe: Die Plattform Pantarey richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Mit der Registrierung oder dem Vertragsschluss bestätigt der Kunde, dass er die Plattform im Rahmen seiner gewerblichen oder selbständigen beruflichen Tätigkeit nutzt. Die Nutzung durch Verbraucher im Sinne des § 13 BGB ist nicht vorgesehen.
3. Anwendungsbereich: Die AGB treten ab Vertragsschluss in Kraft und gelten für alle aktuellen und zukünftigen Vertragsverhältnisse zwischen dem Anbieter und dem Kunden, soweit nicht ausdrücklich anders vereinbart.
4. Ausschluss fremder AGB: Abweichende Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu. Dies gilt auch dann, wenn der Anbieter den abweichenden Bedingungen nicht ausdrücklich widerspricht.
5. Kein Vertragsverhältnis mit Endkunden: Der Anbieter geht keine vertragliche Beziehung mit den Endkunden des Kunden ein. Der Anbieter ist nicht als Partner, Vertreter oder Vermittler des Kunden in dessen Vertragsverhältnis zu Endkunden eingebunden.
6. Nebenabreden und Übergang von früheren Vertragsbedingungen: Frühere Vertragsbedingungen zwischen dem Anbieter und dem Kunden verlieren mit dem Inkrafttreten dieser AGB ihre Gültigkeit, es sei denn, es wurden ausdrücklich abweichende Regelungen vereinbart. Alle Nebenabreden, Vereinbarungen oder Verständnisse, die nicht ausdrücklich in diesem Vertrag festgehalten sind, sind unwirksam und haben keine rechtliche Wirkung.

§3 Definitionen

1. Anbieter: Die Pantarey GmbH, Am Höhle 6a, 89438 Holzheim, eingetragen im Handelsregister des Amtsgerichts Augsburg unter der Handelsregisternummer HRB 38725, die die Plattform Pantarey gemäß dieser AGB bereitstellt.
2. Kunde: Das Unternehmen, das die Plattform Pantarey gemäß dieser AGB nutzt.
3. Vertragsparteien: Der Anbieter und der Kunde gemeinsam.
4. Software / Plattform: Die vom Anbieter entwickelte und betriebene digitale Arbeitsplattform Pantarey. Die Begriffe „Software" und „Plattform" werden in diesen AGB gleichbedeutend verwendet.
5. Benutzer: Mitarbeiter oder Beauftragte des Kunden, die berechtigt sind, die Software zu nutzen.
6. Nutzungsrechte: Die dem Kunden eingeräumten nicht-exklusiven, nicht übertragbaren und zeitlich auf die Vertragslaufzeit beschränkten Rechte zur Nutzung der Software gemäß den Bestimmungen dieser AGB.
7. Störung: Einschränkungen der Softwarefunktionalität, die die Nutzung der Software durch den Kunden erheblich beeinträchtigt.
8. Support: Vom Anbieter bereitgestellte Dienstleistungen zur Unterstützung des Kunden bei der Behebung von Softwarefehlern und Störungen.
9. Technische Beratung: Vom Anbieter angebotene Dienstleistungen, die über den Support hinausgehen und den Kunden bei der optimalen Nutzung der Software unterstützen, einschließlich Beratung zu Anwendungsmöglichkeiten, Konfigurationen und Best Practices.
10. Datenschutzgesetze: Alle anwendbaren gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, insbesondere die Datenschutz-Grundverordnung (DSGVO).
11. Vertrauliche Informationen: Alle Informationen, die als vertraulich gekennzeichnet sind oder aufgrund ihrer Natur als vertraulich anzusehen sind, einschließlich Geschäftsgeheimnisse, technischer Daten, Quellcode, Softwaredokumentationen und personenbezogener Daten.
12. Auftragsverarbeitungsvertrag (AVV): Die zwischen Anbieter und Kunde geschlossene Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag des Kunden gemäß Art. 28 DSGVO.
13. Rechenzentrum: Die vom Anbieter genutzten Einrichtungen in Deutschland, in denen die Software gehostet und betrieben wird.
14. Update: Eine Aktualisierung der Software, die Fehlerbehebungen, kleinere Verbesserungen oder Sicherheitsupdates enthält.
15. Upgrade: Eine neue Version der Software, die wesentliche Funktionserweiterungen oder -änderungen beinhaltet.
16. Sachmängel: Ein Sachmangel liegt vor, wenn die Software nicht die vereinbarte Leistung erbringt oder wesentlich von den vertraglich festgelegten Spezifikationen abweicht. Kleinere Fehler oder kosmetische Mängel, die die Funktionalität der Software nicht wesentlich beeinträchtigen, gelten nicht als Sachmängel.
17. Zugangsdaten: Benutzername und Passwort oder andere Authentifizierungsinformationen, die zum Zugriff auf die Software erforderlich sind.
18. Gebühren: Die vom Kunden an den Anbieter zu zahlenden Entgelte für die Bereitstellung und Nutzung der Software.
19. Höhere Gewalt: Ereignisse, die außerhalb der Kontrolle der Parteien liegen und die Erfüllung der vertraglichen Pflichten unmöglich machen oder wesentlich erschweren, wie Naturkatastrophen, Krieg, Terroranschläge, Pandemien, staatliche Maßnahmen, schwerwiegende Störungen der Kommunikationsnetze oder der Energieversorgung sowie Cyberangriffe, Ransomware oder vergleichbare Angriffe auf die IT-Infrastruktur.
20. Abonnement: Das vom Kunden gewählte Nutzungsmodell der Software, einschließlich der damit verbundenen Leistungen und Gebühren.
21. Geistiges Eigentum: Alle Patente, Urheberrechte, Marken, Geschäftsgeheimnisse, Designs, Modelle und sonstigen Schutzrechte des Anbieters im Zusammenhang mit der Software Pantarey und den dazugehörigen Dienstleistungen.
22. Unbefugte Nutzung: Jegliche Nutzung der Software, die nicht ausdrücklich durch diesen Vertrag gestattet ist, einschließlich, aber nicht beschränkt auf das Kopieren, Verändern, Zurückentwickeln (Reverse Engineering) oder Weitergeben der Software an Dritte.
23. Nutzerdaten: Alle Daten, einschließlich personenbezogener Daten, die vom Kunden oder seinen Benutzern im Rahmen der Nutzung der Software eingegeben, hochgeladen oder auf sonstige Weise bereitgestellt werden. Hierunter zählen ebenfalls Daten, die für den Kunden durch die Software generiert werden, soweit diese nicht bloße technische Metadaten darstellen. Daten wie Prozessstatus, Prozessdurchläufe oder ähnliche technische Metadaten fallen nicht unter die Nutzerdaten.
24. Wartungsarbeiten: Vom Anbieter durchgeführte Arbeiten zur Pflege, Aktualisierung oder Verbesserung der Software oder der zugrunde liegenden Infrastruktur, die zu einer vorübergehenden Beeinträchtigung der Verfügbarkeit führen können.
25. Sicherheitsmaßnahmen: Die vom Anbieter ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Software und der Nutzerdaten vor unbefugtem Zugriff, Verlust oder Zerstörung.
26. Verbotene Handlungen: Tätigkeiten, die gegen gesetzliche Bestimmungen, Rechte Dritter oder die Bestimmungen diese AGB verstoßen, einschließlich der Verwendung der Software für illegale Zwecke oder die Beeinträchtigung der Integrität der Software.
27. Testversion: Eine zeitlich begrenzte Version der Plattform, die dem Kunden zu Evaluierungszwecken zur Verfügung gestellt wird und von den regulären Tarifen abweichende Konditionen aufweisen kann. Die Testversion ist vom kostenlosen Tarif zu unterscheiden.
28. Aktivitäten: Messbare Nutzungsvorgänge innerhalb der Plattform, deren Art und Umfang sich nach dem gewählten Tarif richtet. Die jeweils geltenden Kontingente ergeben sich aus der aktuellen Tarifübersicht auf der Website des Anbieters.
29. Anwendungen: Vom Kunden innerhalb der Plattform eigenständig gestaltete Konfigurationen, die Prozesse, Datenstrukturen, Formulare und weitere Elemente zu einer fachlichen Lösung zusammenfassen.
30. KI-Funktionen: Integrierte Funktionen der Plattform auf Basis künstlicher Intelligenz, die vom Kunden innerhalb der Benutzeroberfläche oder als Bestandteil von Prozessen genutzt werden können.
31. Automatisierte Funktionen: Funktionen der Plattform, die Ergebnisse ohne manuelle Einzelsteuerung erzeugen. Dies umfasst insbesondere KI-gestützte Verarbeitung, algorithmische Analysen, automatische Erkennung und regelbasierte Entscheidungslogik.
32. Kostenloser Tarif: Ein vom Anbieter angebotenes Nutzungsmodell der Plattform, für das keine Entgelte anfallen und das mit eingeschränktem Kontingent zur Verfügung steht.
33. Zahlungsdienstleister: Ein vom Anbieter beauftragter externer Dienstleister, der die Abwicklung von Zahlungsvorgängen zwischen dem Kunden und dem Anbieter übernimmt.

§4 Gegenstand der AGB

1. Bereitstellung der Plattform: Der Anbieter stellt dem Kunden die Plattform Pantarey als cloudbasierte Platform-as-a-Service (PaaS)-Lösung zur Nutzung bereit. Die Bereitstellung erfolgt im Rahmen eines Mietvertrags gemäß § 535 BGB. Die Einzelheiten zum Leistungsumfang sind in §9 Leistungsumfang geregelt.
2. Nutzungsrechte: Der Kunde erhält das Recht, die Software gemäß den Bestimmungen dieser AGB zu nutzen. Die Details der Nutzungsrechte sind in §6 Nutzungsrechte und Lizenzbestimmungen geregelt.
3. Datenspeicherung und Datenschutz: Der Anbieter speichert die Nutzerdaten des Kunden in Rechenzentren in Deutschland. Soweit die Plattform Funktionen einsetzt, die eine Verarbeitung durch Unterauftragsverarbeiter erfordern, kann diese auch auf Servern außerhalb Deutschlands erfolgen. Der Anbieter stellt sicher, dass hierbei ein angemessenes Datenschutzniveau gemäß den geltenden Datenschutzgesetzen gewährleistet ist. Weitere Einzelheiten sind in §12 Datenschutz und Datenverarbeitung sowie im Auftragsverarbeitungsvertrag geregelt.
4. Erweiterungen: Diese Vereinbarung gilt ebenfalls für zukünftige Erweiterungen, zusätzliche Anwendungen, Integrationen oder sonstige Erweiterungen, die der Kunde vom Anbieter bezieht, sofern nicht anders vereinbart. Für solche Erweiterungen können zusätzliche Bedingungen und Gebühren gelten, die zwischen den Parteien vereinbart werden.

§5 Vertragsschluss

1. Online-Registrierung: Der Vertrag über die Nutzung der Plattform Pantarey kann zustande kommen, indem der Kunde sich auf der Website des Anbieters registriert. Je nach gewähltem Tarif kann der Registrierungsprozess auch die Abwicklung einer Zahlung über einen externen Zahlungsdienstleister umfassen. Mit Abschluss des Registrierungsprozesses gibt der Kunde ein verbindliches Angebot zum Abschluss eines Vertrages ab.
2. Annahme durch den Anbieter: Der Anbieter nimmt das Angebot des Kunden an, indem er den Zugang zur Plattform freischaltet. Die Freischaltung kann automatisiert erfolgen. Der Vertrag ist mit Freischaltung des Zugangs zustande gekommen.
3. Anderweitiger Vertragsschluss: Der Vertrag kann auch auf anderem Wege zustande kommen, insbesondere durch:
   1. Austausch von Angebot und Annahmeerklärung per E-Mail.
   2. Unterzeichnung eines schriftlichen oder elektronischen Vertrages.
   3. Sonstige individuelle Vereinbarung zwischen dem Kunden und dem Anbieter.
4. Akzeptanz der AGB: Mit der Registrierung, Bestellung oder dem anderweitigen Vertragsschluss bestätigt der Kunde, diese Allgemeinen Geschäftsbedingungen gelesen zu haben und ihnen zuzustimmen.

§6 Nutzungsrechte und Lizenzbestimmungen

1. Umfang der Nutzungsrechte: Der Anbieter räumt dem Kunden ein einfaches, nicht exklusives, nicht übertragbares und zeitlich auf die Vertragslaufzeit beschränktes Recht ein, die Plattform Pantarey gemäß den Bestimmungen dieser AGB zu nutzen.
2. Lizenz: Die dem Kunden eingeräumte Lizenz erlaubt:
   1. Die Nutzung der Plattform im Rahmen der in §1 beschriebenen Leistungsbereiche für die eigene Organisation.
   2. Die Anbindung von Geschäftspartnern, die Teil der Geschäftsprozesse des Kunden sind.
3. Einschränkungen der Nutzung: Dem Kunden ist es untersagt:
   1. Die Software zur Entwicklung von Geschäftsprozessen zu verwenden, die nicht die eigene Organisation betreffen.
   2. Gebühren von Dritten für die Nutzung der Software zu erheben.
   3. Die Software an Dritte zu vermieten, zu verleasen, zu verleihen, entgeltlich bereitzustellen oder anderweitig zu überlassen.
   4. Die Software zu kopieren, zu modifizieren, zurückzuentwickeln (Reverse Engineering) oder abgeleitete Werke zu erstellen.
4. Erweiterte Lizenz: Für eine Nutzung, die über den Umfang der in dieser AGB eingeräumten Nutzungsrechte hinausgeht, ist eine erweiterte Lizenz erforderlich. In einem solchen Fall werden die Vertragsparteien eine separate Vereinbarung treffen.
5. Schutz des geistigen Eigentums: Alle Rechte, Titel und Interessen an Pantarey, einschließlich aller Updates, Upgrades und Dokumentationen, verbleiben ausschließlich beim Anbieter. Der Kunde erwirbt keine Eigentumsrechte an der Software.
6. Open-Source-Software: Die Plattform Pantarey enthält Open-Source-Komponenten. Der Anbieter stellt sicher, dass alle Lizenzbedingungen dieser Komponenten eingehalten werden.
7. Verantwortung für kundeneigene Inhalte
   1. Erstellung und Nutzung eigener Inhalte: Der Kunde ist berechtigt, innerhalb der Software eigene Code-Skripte zu erstellen sowie eigene Bibliotheken hochzuladen und zu verwenden, soweit dies im Rahmen der vertraglich vereinbarten Nutzung erfolgt.
   2. Verantwortung und Rechtmäßigkeit: Der Kunde ist allein verantwortlich für die Rechtmäßigkeit, Qualität und Integrität der von ihm erstellten oder hochgeladenen Inhalte. Er garantiert, dass diese Inhalte nicht gegen geltende Gesetze verstoßen und keine Rechte Dritter verletzen.
   3. Schadsoftware und Sicherheit: Der Kunde verpflichtet sich, keine Inhalte einzubringen, die Schadsoftware (z.B. Viren, Würmer, Trojaner) enthalten oder die Sicherheit, Integrität oder Verfügbarkeit der Software gefährden könnten.
   4. Freistellung des Anbieters: Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die aufgrund der vom Kunden eingebrachten Inhalte geltend gemacht werden. Dies umfasst auch die Erstattung angemessener Kosten der Rechtsverteidigung.
   5. Recht des Anbieters zur Entfernung: Der Anbieter behält sich das Recht vor, vom Kunden eingebrachte Inhalte zu entfernen oder deren Nutzung einzuschränken, wenn diese gegen die Bestimmungen dieses Vertrags oder gegen geltendes Recht verstoßen.
   6. Haftungsausschluss des Anbieters: Der Anbieter übernimmt keine Haftung für Schäden, die aus der Nutzung oder Unbrauchbarkeit der vom Kunden erstellten oder hochgeladenen Inhalte resultieren.
8. Lizenzschutzmechanismen
   1. Einsatz technischer Schutzmaßnahmen: Der Anbieter setzt technische Maßnahmen zur Zugangskontrolle ein, um die unbefugte Nutzung der Plattform zu verhindern. Dies kann die Verwendung von Authentifizierungsverfahren, Zugangstoken oder anderer Technologien zur Zugangs- und Lizenzverwaltung umfassen.
9. Rechtsfolgen bei Verstößen: Bei Verstößen gegen die Bestimmungen dieses Abschnitts ist der Anbieter berechtigt, den Vertrag fristlos zu kündigen und Schadensersatz geltend zu machen. Weitere gesetzliche Ansprüche des Anbieters bleiben unberührt.

§7 Rechte und Pflichten des Anbieters

1. Bereitstellung der Plattform: Der Anbieter verpflichtet sich, dem Kunden die Plattform Pantarey gemäß den Bestimmungen dieses Vertrags zur Verfügung zu stellen und den vertragsgemäßen Gebrauch während der Vertragslaufzeit zu ermöglichen. Der Anbieter ist jedoch nicht verantwortlich für die Bereitstellung oder Funktionsfähigkeit der technischen Infrastruktur des Kunden, wie beispielsweise die Internetverbindung, Hardware oder sonstige Voraussetzungen, die für den Zugang zur Plattform erforderlich sind.
2. Verfügbarkeit und Leistungsumfang: Der Anbieter sichert eine möglichst hohe Verfügbarkeit der Plattform zu. Wartungsarbeiten werden nach Möglichkeit außerhalb der üblichen Geschäftszeiten durchgeführt, um Beeinträchtigungen zu minimieren. Eine spezifische Verfügbarkeitsgarantie wird nicht gegeben. Details zum Leistungsumfang sind in Abschnitt §9 Leistungsumfang beschrieben.
3. Wartung und Updates: Der Anbieter verbessert die Plattform kontinuierlich durch Updates und Upgrades im Rahmen eines „Continuous Integration/Continuous Deployment" (CI/CD)-Prozesses. Diese kontinuierlichen Verbesserungen tragen zur erhöhten Verfügbarkeit und Stabilität der Plattform bei. Wesentliche Neuerungen und größere Fehlerbehebungen werden dem Kunden innerhalb der Plattform mitgeteilt. Sollte eine geplante Änderung die Verfügbarkeit der Plattform beeinträchtigen, wird der Anbieter den Kunden, soweit möglich, im Voraus informieren. Sollten während oder nach einem Update oder Upgrade technische Störungen oder Ausfälle auftreten, verpflichtet sich der Anbieter, diese schnellstmöglich zu beheben und die Verfügbarkeit der Plattform wiederherzustellen. Der Anbieter wird unverzüglich Maßnahmen zur Fehlerbehebung ergreifen, um den Betrieb der Plattform so rasch wie möglich wiederherzustellen.
4. Änderungen und Einstellung von Funktionen: Der Anbieter behält sich vor, Funktionen zu ändern, zu erweitern oder einzustellen, um die Plattform zu verbessern oder an technische Entwicklungen anzupassen. Funktionen, die eingestellt werden sollen, werden entsprechend gekennzeichnet. Der Anbieter informiert den Kunden frühzeitig über solche Änderungen und zeigt alternative Möglichkeiten auf, um den Übergang zu erleichtern. Der Kunde ist angehalten, innerhalb eines angemessenen Zeitraums auf alternative Funktionen umzusteigen, um die Funktionalität seiner Geschäftsprozesse sicherzustellen. Unterlässt der Kunde diese Umstellung, übernimmt der Anbieter keine Haftung für daraus resultierende Beeinträchtigungen oder Ausfälle.
5. Datensicherheit und Datenschutz: Der Anbieter verpflichtet sich, die geltenden Datenschutzgesetze einzuhalten und angemessene technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu ergreifen. Weitere Einzelheiten sind in §12 Datenschutz und Datenverarbeitung geregelt.
6. Supportleistungen: Die Supportleistungen richten sich nach dem vom Kunden gewählten Abonnement und sind im Preismodell festgelegt. Einzelheiten hierzu sind in §10 Support-Bedingungen beschrieben.
7. Information bei Störungen: Im Falle von Störungen, sicherheitsrelevanten Ereignissen oder anderen Umständen, die die Verfügbarkeit oder Sicherheit der Plattform beeinträchtigen könnten, wird der Anbieter den Kunden unverzüglich informieren und angemessene Maßnahmen zur Behebung ergreifen.
8. Haftung für individuell erstellte Skripte, Modelle oder andere Artefakte: Erstellt der Anbieter im Rahmen von Dienstleistungen individuelle Skripte, Modelle oder andere Artefakte für den Kunden, liegt die Verantwortung für die Überprüfung und Abnahme beim Kunden. Der Anbieter übernimmt keine Haftung für die Funktionsweise oder etwaige Schäden, die aus der Nutzung der Artefakte resultieren, es sei denn, diese wurden vorsätzlich oder grob fahrlässig verursacht.
9. Geheimhaltung: Der Anbieter verpflichtet sich, alle vertraulichen Informationen des Kunden, die ihm im Zusammenhang mit der Vertragserfüllung bekannt werden, geheim zu halten und ausschließlich für die Erbringung der vertraglichen Leistungen zu verwenden. Diese Verpflichtung besteht auch nach Beendigung des Vertrags fort.
10. Rechte an Verbesserungen: Alle Rechte an Weiterentwicklungen, Updates oder Upgrades der Software, die vom Anbieter im Rahmen dieses Vertrags bereitgestellt werden, verbleiben beim Anbieter. Der Kunde erhält hieran die in diesem Vertrag eingeräumten Nutzungsrechte.
11. Referenznennung: Der Anbieter ist berechtigt, den Kunden als Referenzkunden in jeglicher Art von Veröffentlichungen auszuweisen und in diesem Zusammenhang den Namen, die Marken und Logos des Kunden zu verwenden, sofern und solange der Kunde dem nicht ausdrücklich widerspricht.
12. Verwendung der Geschäftsbeziehung für Marketingzwecke: Für spezifische Marketingmaßnahmen wie beispielsweise Success Stories, Fallstudien oder die Nutzung von Zitaten des Kunden wird der Anbieter jeweils eine separate Zustimmung des Kunden einholen. Eine Freigabe erfolgt formlos über E-Mail und kann vom Kunden jederzeit widerrufen werden.
13. Nutzung struktureller Daten zur Produktverbesserung: Der Anbieter ist berechtigt, strukturelle Informationen wie Prozessmodelle, Datenstrukturen und Konfigurationen in anonymisierter Form zu nutzen, um die Plattform weiterzuentwickeln und KI-Funktionen zu verbessern. Geschäftsdaten und personenbezogene Daten des Kunden werden hiervon nicht erfasst. Der Kunde kann dieser Nutzung jederzeit schriftlich widersprechen.
14. Einsatz von Dritten: Der Anbieter ist berechtigt, zur Erbringung einzelner Leistungen Dritte einzusetzen. Soweit der Kunde Leistungen von einem Partner des Anbieters bezieht, besteht das Vertragsverhältnis für diese Leistungen ausschließlich zwischen dem Kunden und dem jeweiligen Partner. Der Anbieter übernimmt keine Haftung für Leistungen Dritter oder Partner.

§8 Rechte und Pflichten des Kunden

1. Recht auf Nutzung der Plattform: Der Kunde hat das Recht, die Plattform Pantarey gemäß den Bestimmungen dieses Vertrags und im vereinbarten Umfang zu nutzen.
2. Recht auf Supportleistungen: Der Kunde hat Anspruch auf die in §10 Support-Bedingungen festgelegten Supportleistungen entsprechend dem gewählten Abonnement.
3. Recht auf Datenschutz und Datensicherheit: Der Kunde hat das Recht, dass seine personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen verarbeitet und geschützt werden. Details hierzu sind in §12 Datenschutz und Datenverarbeitung geregelt.
4. Recht auf Benachrichtigung bei Änderungen: Der Kunde wird rechtzeitig über wesentliche Änderungen an der Software, den Funktionen oder den Vertragsbedingungen informiert, die seine Nutzung der Software erheblich beeinflussen könnten.
5. Recht auf Datenportabilität: Nach Beendigung des Vertrags hat der Kunde das Recht, seine in der Software gespeicherten Daten innerhalb von 30 Tagen nach Vertragsende in einem gängigen, maschinenlesbaren Format zu exportieren. Der Anbieter wird den Kunden hierbei angemessen unterstützen, indem er die notwendigen Exportfunktionen bereitstellt und bei Bedarf Hilfestellung leistet. Sollte der Kunde den Export seiner Daten nicht innerhalb dieses Zeitraums durchgeführt haben, behält sich der Anbieter das Recht vor, die Daten des Kunden endgültig zu löschen und die Umgebung abzuschalten.
6. Recht auf Vertraulichkeit: Der Kunde hat das Recht, dass alle vertraulichen Informationen, die dem Anbieter im Zusammenhang mit der Vertragserfüllung bekannt werden, geheim gehalten und ausschließlich für die Erbringung der vertraglichen Leistungen verwendet werden.
7. Recht auf Wechsel des Abonnements: Der Kunde hat das Recht, sein Abonnement nach Ende eines Abrechnungszeitraums zu wechseln. Der Wechsel kann zu einem höherwertigen oder niedrigwertigeren Abonnement erfolgen, vorbehaltlich der Verfügbarkeit und der zum Zeitpunkt des Wechsels gültigen Konditionen. Der Wechsel wird zum Beginn des nächsten Abrechnungszeitraums wirksam, sofern nichts anderes vereinbart wurde. Der Wechsel erfolgt über die von der Plattform oder dem Anbieter bereitgestellten Wege.
8. Allgemeine Mitwirkungspflichten: Der Kunde verpflichtet sich, alle notwendigen Mitwirkungshandlungen vorzunehmen, die für die Erbringung der vertraglichen Leistungen durch den Anbieter erforderlich sind. Dazu gehören insbesondere:
   1. Bereitstellung von Informationen und Daten: Der Kunde stellt alle für die Leistungserbringung erforderlichen Informationen und Daten in geeigneter Form zur Verfügung.
   2. Benennung eines Ansprechpartners: Der Kunde bestimmt einen festen Ansprechpartner, der für die Kommunikation mit dem Anbieter zuständig ist.
   3. Mitteilung von Änderungen: Der Kunde informiert den Anbieter unverzüglich über Änderungen seiner Unternehmensdaten, insbesondere Kontaktinformationen oder relevante organisatorische Änderungen.
9. Verantwortlichkeit für Inhalte: Der Kunde ist allein verantwortlich für die Rechtmäßigkeit, Richtigkeit und Vollständigkeit der von ihm in die Software eingebrachten Daten und Inhalte. Er gewährleistet, dass diese Inhalte nicht gegen geltende Gesetze verstoßen oder Rechte Dritter verletzen.
10. Geheimhaltung und Sicherheit: Der Kunde ist verpflichtet:
    1. Sicherer Umgang mit Zugangsdaten: Zugangsdaten, Passwörter und andere Authentifizierungsinformationen sicher zu verwahren und vor unbefugtem Zugriff zu schützen.
    2. Meldung bei unbefugtem Zugriff: Den Anbieter unverzüglich zu informieren, wenn ein unbefugter Zugriff auf die Software oder Zugangsdaten bekannt wird oder vermutet wird.
    3. Sicherheitsmaßnahmen: Angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der genutzten Systeme zu gewährleisten.
11. Nutzung der Software: Der Kunde verpflichtet sich, die Software nur im Rahmen der vertraglich vereinbarten Nutzungsrechte zu verwenden und die in diesen AGB festgelegten Nutzungsbeschränkungen einzuhalten. Insbesondere ist es dem Kunden untersagt:
    1. Missbräuchliche Nutzung: Die Software für rechtswidrige, betrügerische oder anderweitig unzulässige Zwecke zu verwenden.
    2. Unzulässige Weitergabe: Die Software oder Zugangsdaten an nicht autorisierte Dritte weiterzugeben.
    3. Beeinträchtigung der Infrastruktur: Handlungen vorzunehmen, die die Systeme oder die Infrastruktur des Anbieters übermäßig belasten oder beeinträchtigen könnten, insbesondere durch automatisierte Massenanfragen, exzessive API-Nutzung oder die Umgehung von technischen Schutz- oder Ratenbegrenzungen.
    4. Unzulässige Inhalte: Inhalte zu speichern, zu verarbeiten oder über die Plattform zu verbreiten, die rechtswidrig, gewaltverherrlichend, diskriminierend, pornografisch sind oder anderweitig gegen geltendes Recht verstoßen.
    5. Spam und unerwünschte Kommunikation: Die Plattform zum Versand von Spam, unerwünschter Massenkommunikation oder zur Durchführung von Phishing-Aktivitäten zu verwenden.
    6. Zweckfremde Ressourcennutzung: Die Plattform für Zwecke zu verwenden, die nicht dem bestimmungsgemäßen Gebrauch entsprechen, insbesondere für Kryptowährungs-Mining, verteilte Berechnungen oder ähnliche ressourcenintensive Aktivitäten.
    7. Sicherheitstests: Penetrationstests, Schwachstellenanalysen oder ähnliche Sicherheitsüberprüfungen ohne vorherige schriftliche Zustimmung des Anbieters durchzuführen.
12. Pflicht zur Datensicherung: Der Kunde ist verpflichtet, eigenverantwortlich regelmäßige, vollständige Sicherungen aller für den Geschäftsbetrieb relevanten Daten vorzunehmen, um deren Wiederherstellung im Falle eines Datenverlusts sicherzustellen. Der Anbieter erstellt ebenfalls Sicherheitskopien der Daten und ergreift angemessene technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten. Eine vollständige Datenverfügbarkeit kann der Anbieter jedoch nicht garantieren. Die Verantwortung für eine umfassende Datensicherung verbleibt beim Kunden.
13. Meldepflichten: Der Kunde verpflichtet sich, dem Anbieter unverzüglich etwaige Störungen, Fehlfunktionen oder sicherheitsrelevante Ereignisse mitzuteilen, die die Nutzung der Software beeinträchtigen oder ein Risiko darstellen könnten.
14. Zahlungspflichten: Der Kunde verpflichtet sich, die vereinbarten Entgelte gemäß den Zahlungsbedingungen fristgerecht zu bezahlen. Im Falle eines Wechsels des Abonnements passen sich die vom Kunden zu zahlende Entgelte entsprechend dem neuen Abonnement und den zum Zeitpunkt des Wechsels gültigen Preisen an. Einzelheiten hierzu sind in §11 Vergütung und Zahlungsbedingungen geregelt.
15. Änderungen an der Software: Der Kunde darf ohne ausdrückliche Zustimmung des Anbieters keine Änderungen, Anpassungen oder sonstige Eingriffe an der Software vornehmen. Dies gilt nicht für individuell erstellte Skripte oder Modelle, die im Rahmen der vertraglichen Nutzung erstellt werden.
16. Schadensminderungspflicht: Im Falle von Störungen oder Mängeln ist der Kunde verpflichtet, alle ihm zumutbaren Maßnahmen zu ergreifen, um einen Schaden gering zu halten. Er unterstützt den Anbieter bei der Fehleranalyse und stellt alle notwendigen Informationen zur Verfügung.
17. Verantwortung bei Nutzung automatisierter Funktionen und KI: Der Kunde ist sich bewusst, dass automatisierte Funktionen und KI-Funktionen der Plattform Ergebnisse erzeugen, die nicht in jedem Fall korrekt, vollständig oder für den beabsichtigten Zweck geeignet sind. Der Kunde ist verpflichtet, die Ergebnisse eigenständig auf Richtigkeit und Eignung zu überprüfen, bevor er diese für geschäftliche Zwecke verwendet. Automatisierte Funktionen und KI-Funktionen stellen Hilfsmittel dar und ersetzen keine fachliche Prüfung durch den Kunden.
18. Kontingente und Verbrauchsübersicht: Der Anbieter stellt dem Kunden über die Plattform eine transparente Übersicht über seinen aktuellen Verbrauch und die im gewählten Tarif enthaltenen Kontingente bereit. Der Anbieter unterstützt den Kunden durch technische Maßnahmen wie konfigurierbare Verbrauchslimits, Benachrichtigungen oder vergleichbare Funktionen bei der Kontrolle seines Verbrauchs. Die eigenverantwortliche Überwachung und Konfiguration obliegt dem Kunden.

§9 Leistungsumfang

1. Allgemeine Beschreibung: Der Anbieter stellt dem Kunden die Plattform Pantarey mit den in §1 beschriebenen Leistungsbereichen zur Verfügung. Der konkrete Funktionsumfang ergibt sich aus dem gewählten Tarif und der jeweils aktuellen Leistungsbeschreibung auf der Website des Anbieters.
2. Funktionen: Die Plattform umfasst unter anderem Funktionen zur Prozessmodellierung und -ausführung, Datenverwaltung und -auswertung, Benutzerverwaltung, Integrationen sowie KI-gestützte Funktionen. Der detaillierte Funktionsumfang ist auf der Website des Anbieters beschrieben.
3. Änderungen und Weiterentwicklungen: Der Anbieter ist berechtigt, die Plattform weiterzuentwickeln und Anpassungen vorzunehmen, um technische Neuerungen umzusetzen oder die Leistungsfähigkeit zu verbessern. Dabei wird der Anbieter sicherstellen, dass dem Kunden keine erheblichen Nachteile entstehen und der Vertragszweck nicht gefährdet wird.
4. Ausgeschlossene und zusätzliche Leistungen: Nicht Bestandteil des regulären Leistungsumfangs sind:
   1. Individuelle Anpassungen oder Erweiterungen nach speziellen Kundenwünschen.
   2. Beratungsleistungen, Schulungen oder Workshops.
   3. Die Bereitstellung oder Wartung der Infrastruktur des Kunden (z.B. Hardware, Internetverbindungen).
   4. Der Betrieb von Anwendungen, Prozessen oder sonstigen Konfigurationen im Auftrag des Kunden (Managed Services).

   Diese Leistungen können bei Bedarf gesondert zwischen dem Kunden und dem Anbieter oder einem Partner des Anbieters vereinbart werden. Für solche Leistungen können zusätzliche Bedingungen und Gebühren gelten.

   Der Anbieter kann darüber hinaus Zusatzservices (z.B. Versanddienste, Premium-Funktionen) anbieten, die über die Plattform nutzbar sind und deren Umfang und Konditionen sich aus der jeweils aktuellen Leistungsbeschreibung auf der Website des Anbieters ergeben.

   Im Einzelfall können zwischen dem Anbieter und dem Kunden individuelle Vereinbarungen getroffen werden, die von den in diesen AGB oder den Tarifübersichten dargestellten Konditionen abweichen. Solche Vereinbarungen bedürfen der Schriftform und gehen im Umfang ihrer Regelung diesen AGB vor.

   White-Labeling oder der Vertrieb der Plattform unter einer fremden Marke bedarf einer gesonderten schriftlichen Vereinbarung.

5. Kundenanforderungen und Feature Requests: Der Anbieter nimmt Anregungen und Verbesserungsvorschläge des Kunden gerne entgegen und prüft diese im Rahmen der Produktentwicklung. Der Kunde hat jedoch keinen Anspruch auf die Umsetzung spezifischer Funktionen oder Änderungen. Der Anbieter entscheidet nach eigenem Ermessen über die Implementierung von Funktionalitäten.
6. Abhängigkeit vom gewählten Abonnement: Der verfügbare Leistungsumfang der Plattform kann je nach gewähltem Abonnement variieren. Die Unterschiede zwischen den Abonnementstufen sind auf der Website des Anbieters dargestellt.
7. Beta- und Vorschau-Funktionen: Der Anbieter kann einzelne Funktionen als Beta, Vorschau oder experimentell kennzeichnen. Solche Funktionen werden ohne Gewährleistung und ohne Zusicherung bestimmter Eigenschaften bereitgestellt. Der Anbieter ist berechtigt, Beta-Funktionen jederzeit zu ändern, einzuschränken oder einzustellen, ohne dass dem Kunden hieraus Ansprüche entstehen.

§10 Support-Bedingungen

1. Leistungsumfang: Der Anbieter stellt dem Kunden Supportleistungen zur Verfügung. Die Unterstützung umfasst die Hilfe bei technischen Problemen und Fehlerbehebungen, die die Nutzung der Plattform beeinträchtigen.
2. Support-Stufen, Kanäle und Reaktionszeiten: Art, Umfang, Kanäle und Reaktionszeiten der Supportleistungen richten sich nach dem gewählten Tarif und sind in der aktuellen Support-Beschreibung auf der Website des Anbieters dargestellt. Support kann auch durch Partner des Anbieters erbracht werden, sofern der Kunde eine entsprechende Vereinbarung mit einem Partner getroffen hat.
3. KI-gestützter Support: Der Anbieter kann zur Unterstützung der Supportleistungen KI-gestützte Systeme einsetzen, beispielsweise zur automatisierten Beantwortung von Anfragen, zur Fehleranalyse oder zur Bereitstellung von Lösungsvorschlägen.
4. Support-Prozess: Der Anbieter bearbeitet Supportanfragen in einem dem jeweiligen Anliegen angemessenen Verfahren und informiert den Kunden über den Fortschritt der Bearbeitung.
5. Ausgeschlossene Supportleistungen: Folgende Leistungen sind nicht Bestandteil des Supportumfangs:
   1. Benutzerhilfe: Unterstützung bei der Bedienung der Plattform wird als separate Dienstleistung betrachtet und ist nicht Teil des Supports.
   2. Individuelle Anpassungen: Anpassungen oder Erweiterungen, die über den Standardumfang hinausgehen.
   3. Drittanbieter-Integrationen: Probleme, die durch die Nutzung von Drittanbieter-Software oder -Diensten entstehen.
   4. Schulungen: Durchführung von Schulungen oder Workshops.
6. Verfügbarkeit der Supportleistungen: Der Anbieter übernimmt keine Garantie für die Verfügbarkeit der Supportkanäle aufgrund von technischen Störungen oder höherer Gewalt. Sollte ein Supportkanal nicht verfügbar sein, wird der Kunde gebeten, alternative Supportkanäle zu nutzen.
7. Änderungen der Supportbedingungen: Der Anbieter behält sich das Recht vor, die Supportbedingungen zu ändern, insbesondere aufgrund technischer Weiterentwicklungen, betrieblicher Optimierung oder gesetzlicher Anforderungen. Änderungen werden dem Kunden mindestens 14 Tage im Voraus mitgeteilt. Der Kunde hat das Recht, den Vertrag innerhalb dieser Frist ohne Angabe von Gründen zu kündigen, sollte er mit den geänderten Supportbedingungen nicht einverstanden sein.
8. Ausschluss von Support bei nutzerbedingten Problemen: Supportanfragen, die auf vom Kunden selbst verursachte Probleme zurückzuführen sind, werden nicht im Rahmen des Supports bearbeitet. Dies betrifft insbesondere:
   1. Fehlerhafte Modellierung von Prozessen oder Datenstrukturen.
   2. Fehlbedienung der Plattform.
   3. Probleme durch vom Kunden erstellte Skripte, Makros oder individuelle Konfigurationen.

   Sollte sich nach Analyse herausstellen, dass das Problem durch den Kunden verursacht wurde, ist der Anbieter berechtigt, die Bearbeitung abzulehnen. Auf Wunsch des Kunden kann der Anbieter Unterstützung im Rahmen einer kostenpflichtigen Dienstleistung anbieten.

§11 Vergütung und Zahlungsbedingungen

1. Vergütung: Der Kunde zahlt dem Anbieter für die Nutzung der Plattform die im jeweiligen Tarif festgelegten Entgelte. Diese können sich aus einer Grundgebühr und nutzungsbasierten Gebühren zusammensetzen, die anhand verschiedener Nutzungsdimensionen bemessen werden. Die aktuellen Tarife, Preise und Kontingente sind auf der Website des Anbieters einsehbar. Es gelten die jeweils aktuellen Preise zum Zeitpunkt der Bestellung. Der Anbieter behält sich vor, Kontingente und deren Zusammensetzung anzupassen; Abs. 6 (Preisänderungen) gilt entsprechend. Der Anbieter kann Tarife anbieten, für die keine Entgelte anfallen. Der Anbieter behält sich vor, solche Tarife jederzeit in Umfang, Kontingenten oder Verfügbarkeit anzupassen oder einzustellen.
2. Pflichten des Kunden bezüglich der Nutzungsdaten: Der Kunde verpflichtet sich, keine Maßnahmen zu ergreifen, die die Erfassung oder Messung der Nutzungsdaten durch den Anbieter beeinträchtigen oder manipulieren könnten.
3. Tarifwechsel: Ein Wechsel des Tarifs ist über die vom Anbieter bereitgestellten Wege möglich. Pro Kalendermonat ist ein Wechsel zulässig. Der Wechsel wird jeweils zum Beginn des Folgemonats wirksam. Ein Wechsel von einem kostenpflichtigen Tarif in den kostenlosen Tarif ist nicht möglich. Bei abweichenden Laufzeiten gemäß §17 Abs. 1 können gesonderte Regelungen zum Tarifwechsel gelten.
4. Zahlungsbedingungen: Die Zahlung erfolgt über die vom Anbieter bereitgestellten Zahlungswege. Dies kann die Abwicklung über einen externen Zahlungsdienstleister umfassen. Die Zahlungsfristen und -modalitäten ergeben sich aus der jeweiligen Rechnung oder den Bedingungen des Zahlungsdienstleisters. Bei Zahlungsverzug ist der Anbieter berechtigt, Verzugszinsen in gesetzlicher Höhe zu berechnen.
5. Steuern und Gebühren: Alle anfallenden Preise verstehen sich zzgl. der gesetzlichen Mehrwertsteuer.
6. Währung: Alle Zahlungen erfolgen in Euro (€).
7. Änderung der Preise: Der Anbieter ist berechtigt, die Preise zu ändern oder das Preismodell anzupassen. Änderungen werden dem Kunden mindestens 30 Tage vor Inkrafttreten in Textform (z.B. per E-Mail) mitgeteilt. Der Kunde hat das Recht, den Vertrag zum Zeitpunkt des Wirksamwerdens der Änderung zu kündigen.

§12 Datenschutz und Datenverarbeitung

1. Einhaltung der Datenschutzgesetze: Der Anbieter verpflichtet sich, alle anwendbaren Datenschutzgesetze und -vorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, einzuhalten. Dies umfasst die ordnungsgemäße Verarbeitung personenbezogener Daten sowie die Umsetzung angemessener technischer und organisatorischer Maßnahmen zum Schutz dieser Daten.
2. Datenverarbeitung von Nutzerdaten, Kundendaten und technischen Metadaten
   1. Nutzerdaten: Der Anbieter verarbeitet die Nutzerdaten. Diese Daten unterliegen ausschließlich der Verantwortung des Kunden. Der Anbieter fungiert als Auftragsverarbeiter und verpflichtet sich, die Daten nur zur Erfüllung der vertraglichen Leistungen und gemäß den datenschutzrechtlichen Bestimmungen zu verarbeiten. Weitere Informationen dazu finden sich im Auftragsverarbeitungsvertrag (AVV), der diesem Vertrag als Anlage beigefügt ist und einen integralen Bestandteil dieses Vertrags bildet.
   2. Kundendaten: Der Anbieter erhebt und verarbeitet Kundendaten, wie Firmennamen, Kontaktdaten und Rechnungsadressen, zum Zwecke der Vertragserfüllung und Abrechnung. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
   3. Technische Metadaten: Zur Bereitstellung, Nutzung und Optimierung der Plattform werden neben den vom Kunden eingegebenen Nutzerdaten auch technische Metadaten wie beispielsweise der Status von Prozessdurchläufen und deren Häufigkeit generiert, verarbeitet und gespeichert. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese Metadaten werden gemäß einem eigenen Löschkonzept behandelt, das eine regelmäßige und automatisierte Löschung vorsieht. Nutzerdaten, die inhaltlich relevante Daten darstellen, bleiben hiervon unberührt und werden gemäß den in dieser AGB festgelegten Datenschutzstandards behandelt.
3. Datenweitergabe an Dritte: Der Anbieter kann zur Erbringung seiner Leistungen Drittanbieter und Unterauftragsverarbeiter einsetzen. Die Weitergabe von Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist oder der Kunde zugestimmt hat. Der Anbieter stellt sicher, dass eingesetzte Dritte ein angemessenes Datenschutzniveau einhalten. Soweit personenbezogene Daten betroffen sind, wird eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO geschlossen. Näheres regelt der Auftragsverarbeitungsvertrag (AVV) in der Anlage zu diesem Vertrag.
4. Sicherheitsmaßnahmen: Der Anbieter setzt angemessene technische und organisatorische Maßnahmen ein, um die Sicherheit der verarbeiteten Daten zu gewährleisten.
5. Datenschutzverletzungen: Im Falle einer Datenschutzverletzung verpflichtet sich der Anbieter, den Kunden unverzüglich zu informieren und alle notwendigen Maßnahmen zur Behebung der Verletzung sowie zur Minimierung der Folgen zu ergreifen. Der Anbieter unterstützt den Kunden bei der Erfüllung seiner Pflichten gemäß den geltenden Datenschutzgesetzen.
6. Datenschutzbeauftragter: Falls der Anbieter einen Datenschutzbeauftragten bestellt hat, werden die Kontaktdaten des Datenschutzbeauftragten dem Kunden auf Anfrage zur Verfügung gestellt.
7. Internationale Datenübermittlung: Sofern eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt, stellt der Anbieter sicher, dass entsprechende Schutzmaßnahmen gemäß Art. 44 ff. DSGVO getroffen werden, wie beispielsweise die Verwendung von EU-Standardvertragsklauseln oder andere gesetzlich zulässige Mechanismen.
8. Zugriffsbeschränkungen: Der Anbieter gewährleistet, dass der Zugriff auf Daten ausschließlich autorisierten Mitarbeitern oder Unterauftragsverarbeitern gewährt wird, die diese Daten nur im Rahmen der vertraglich vereinbarten Zwecke verarbeiten. Alle Personen, die Zugriff auf personenbezogene Daten haben, sind zur Vertraulichkeit verpflichtet.
9. Support-Zugang: Der Anbieter erhält für jeden Kunden einen eigenen Zugang zur Plattform mit administrativen Rechten (nachfolgend „Support-Account"). Dieser Support-Account dient ausschließlich der technischen Unterstützung, Fehlerbehebung und Wartung der Plattform. Der Anbieter verpflichtet sich, den Support-Account nicht für andere Zwecke zu verwenden. Der Zugang ist an autorisierte Mitarbeiter des Anbieters gebunden und unterliegt den Vertraulichkeitspflichten gemäß §13.

§13 Vertraulichkeit

1. Definition vertraulicher Informationen: Vertrauliche Informationen umfassen alle mündlichen, schriftlichen oder elektronischen Informationen, die eine Partei der anderen Partei im Zusammenhang mit diesem Vertrag offenlegt. Dazu gehören, aber sind nicht beschränkt auf:
   1. Geschäftliche Informationen
   2. Technische Informationen und Softwarecode
   3. Kundendaten und Nutzerdaten
   4. Vertragsbedingungen und Preise
   5. Persönliche Daten gemäß §12 Datenschutz und Datenverarbeitung
2. Erfahrungstransfer und Wissensteilung: Der Anbieter ist berechtigt, im Rahmen der vertragsgemäßen Nutzung und Weiterentwicklung der Plattform gewonnenes Wissen, wie Kenntnisse über Prozesse oder funktionale Gestaltung, für ähnliche Implementierungen bei anderen Kunden zu nutzen. Dies schließt die Wiederverwendung technischer Artefakte, wie Skripte, Programme, Konfigurationen und spezifische Mechanismen, mit ein. Dies erfolgt, ohne dabei spezifische, vertrauliche Informationen einzelner Kunden offenzulegen. Auf diese Weise können alle Kunden von Optimierungen und Best Practices profitieren, die sich bei der Nutzung der Plattform durch andere Kunden als nützlich erwiesen haben.
3. Verpflichtungen zur Geheimhaltung: Beide Parteien verpflichten sich, vertrauliche Informationen vertraulich zu behandeln. Ohne vorherige schriftliche Zustimmung der jeweils anderen Partei dürfen vertrauliche Informationen nicht an Dritte weitergegeben werden. Diese Verpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.
4. Ausnahmen von der Geheimhaltungspflicht: Die Verpflichtung zur Geheimhaltung gilt nicht für Informationen, die:
   1. Zum Zeitpunkt der Offenlegung bereits öffentlich bekannt waren oder danach ohne Verschulden der empfangenden Partei öffentlich bekannt werden.
   2. Der empfangenden Partei bereits vor der Offenlegung bekannt waren oder unabhängig von der offenlegenden Partei entwickelt wurden.
   3. Rechtlich von der empfangenden Partei offengelegt werden müssen, beispielsweise durch gerichtliche Anordnung oder behördliche Vorschrift. In solchen Fällen verpflichtet sich die empfangende Partei, die andere Partei unverzüglich schriftlich zu informieren, um dieser die Möglichkeit zu geben, geeignete rechtliche Schritte einzuleiten.
5. Rückgabe und Vernichtung vertraulicher Informationen: Nach Beendigung des Vertragsverhältnisses verpflichtet sich jede Partei, alle vertraulichen Informationen der anderen Partei unverzüglich zurückzugeben oder auf Wunsch der offenlegenden Partei zu vernichten. Dies schließt alle Kopien, Auszüge und Zusammenfassungen vertraulicher Informationen ein. Anonymisierte Daten gemäß §7 Abs. 13 bleiben hiervon unberührt.
6. Schutzmaßnahmen: Beide Parteien verpflichten sich, angemessene Sicherheitsmaßnahmen zu ergreifen, um die vertraulichen Informationen vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.
7. Vertraulichkeitsklausel für Dritte: Falls eine Partei Unterauftragsverarbeiter oder Dritte einsetzt, die Zugang zu vertraulichen Informationen haben, stellt sie sicher, dass diese vertraglich zur Einhaltung des gleichen Schutzgrades von Geheimhaltungsverpflichtungen verpflichtet werden wie die Parteien dieses Vertrags.

§14 Geistiges Eigentum

1. Eigentum an bestehenden Rechten: Alle bestehenden geistigen Eigentumsrechte (einschließlich, aber nicht beschränkt auf Urheberrechte, Markenrechte, Patente und Geschäftsgeheimnisse) an der Plattform und allen dazugehörigen Materialien verbleiben ausschließlich im Eigentum des Anbieters. Der Kunde erhält lediglich ein nicht exklusives, nicht übertragbares Recht zur Nutzung der Plattform gemäß den vertraglichen Bedingungen.
2. Eigentum an entwickelten Funktionen: Sollte der Anbieter im Rahmen der vertraglichen Dienstleistungen neue Funktionen, Erweiterungen oder Anpassungen (nachfolgend "Entwicklungen") entwickeln, verbleiben alle geistigen Eigentumsrechte an diesen Entwicklungen ausschließlich beim Anbieter. Der Anbieter ist berechtigt, diese Entwicklungen in das Standardprodukt zu integrieren, anderen Kunden zur Verfügung zu stellen oder für eigene Zwecke zu nutzen.

§15 Sach- und Rechtsmängel

1. Sachmängelhaftung
   1. Leistungsfähigkeit der Plattform: Der Anbieter gewährleistet, dass die bereitgestellte Plattform die vertraglich vereinbarten Funktionen erfüllt und im Wesentlichen den auf der Website beschriebenen Funktionen sowie den in einer Demonstration oder Pilotphase gezeigten Leistungsmerkmalen entspricht, sofern diese stattgefunden hat.
   2. Fehler und Bugs: Der Anbieter erkennt an, dass Software Fehler (Bugs) enthalten kann. Der Anbieter verpflichtet sich, solche Fehler, die als Sachmängel im Sinne dieses Vertrags gelten, nach bestem Ermessen zu beheben.
   3. Automatisierte Funktionen: Die Ergebnisse automatisierter Funktionen der Plattform — insbesondere KI-gestützter Verarbeitung, algorithmischer Analysen und automatischer Erkennung — stellen keine zugesicherten Eigenschaften dar. Aufgrund der Natur solcher Verfahren kann der Anbieter keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung einzelner Ergebnisse übernehmen. Die Verantwortung für die Prüfung und Verwendung der Ergebnisse liegt beim Kunden (vgl. §8).
2. Mängelanzeige: Der Kunde ist angehalten, festgestellte Mängel unverzüglich, spätestens jedoch innerhalb von 14 Tagen nach deren Entdeckung über den Support an den Anbieter zu melden. Die Mängelanzeige muss eine genaue Beschreibung des Mangels sowie, sofern möglich, eine Dokumentation des Mangels enthalten.
3. Rechte des Kunden bei Sachmängeln:
   1. Nachbesserung: Der Anbieter hat das Recht, die Plattform nachzubessern.
   2. Minderung: Bei anhaltenden Mängeln kann der Kunde eine Minderung der Vergütung verlangen.
   3. Rücktritt: Bei erheblichen Mängeln kann der Kunde vom Vertrag zurücktreten.
4. Ausschluss der Sachmängelhaftung: Der Anbieter haftet nicht für Sachmängel, die auf unsachgemäße Nutzung, Änderungen oder Erweiterungen der Plattform durch den Kunden zurückzuführen sind. Mängel, die durch höhere Gewalt, kriminelle Handlungen Dritter oder andere unvorhersehbare Ereignisse verursacht werden, fallen nicht unter die Sachmängelhaftung.
5. Rechtsmängelhaftung:
   1. Eigentumsrechte und Lizenzen: Der Anbieter versichert, dass er über die notwendigen Rechte und Lizenzen verfügt, um die Plattform zu vertreiben und dem Kunden die Nutzung zu gestatten. Die Nutzung der Plattform durch den Kunden verstößt nicht gegen Rechte Dritter, insbesondere keine Urheberrechte, Markenrechte oder Patentrechte.
   2. Freistellung: Der Anbieter verpflichtet sich, den Kunden von allen Ansprüchen Dritter freizustellen, die aufgrund von Rechtsmängeln der Plattform entstehen, sofern der Kunde den Anbieter unverzüglich schriftlich über den Anspruch informiert und keine rechtswidrigen Handlungen des Kunden ursächlich sind.
6. Verjährung: Die Ansprüche für Rechts- und Sachmängel verjähren nach 12 Monaten ab dem Zeitpunkt, zu dem der Kunde den Mangel dem Anbieter gemeldet hat.

§16 Haftung und Haftungsbeschränkung

1. Haftungsumfang
   1. Direkte Schäden: Der Anbieter haftet gegenüber dem Kunden für direkte Schäden, die aus der schuldhaften Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) entstehen. Wesentliche Vertragspflichten sind solche, die die Erreichung des Vertragszwecks ermöglichen und deren Verletzung den Vertragszweck gefährdet. Die Haftung ist auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
   2. Indirekte Schäden: Der Anbieter haftet nicht für indirekte Schäden, Folgeschäden, entgangenen Gewinn, Betriebsunterbrechungen oder sonstige Vermögensschäden des Kunden, die im Zusammenhang mit der Nutzung der Plattform entstehen, es sei denn, diese Schäden beruhen auf vorsätzlichem oder grob fahrlässigem Verhalten des Anbieters.
2. Ausschluss von Haftung: Der Anbieter haftet nicht für Schäden, die durch unsachgemäße Nutzung der Plattform durch den Kunden, durch den Einsatz in nicht unterstützten Umgebungen oder durch die Verwendung von nicht autorisierten Erweiterungen entstehen.
3. Höhere Gewalt: Der Anbieter haftet nicht für Schäden, die durch Ereignisse höherer Gewalt verursacht werden, einschließlich, aber nicht beschränkt auf Naturkatastrophen, Kriege, Terrorakte, Streiks oder behördliche Anordnungen.
4. Vorsatz und grobe Fahrlässigkeit: Der Anbieter haftet uneingeschränkt für Schäden, die auf vorsätzlichem oder grob fahrlässigem Verhalten beruhen.
5. Haftung bei Einsatz Dritter: Der Anbieter haftet nicht für Schäden, die durch den Einsatz von Unterauftragsverarbeitern oder Dritten entstehen, sofern der Anbieter nachweist, dass er bei der Auswahl und Überwachung die erforderliche Sorgfalt beachtet hat.
6. Schadenersatzpflichten des Kunden: Der Kunde verpflichtet sich, den Anbieter von sämtlichen Ansprüchen Dritter freizustellen, die aus der Nutzung der Plattform resultieren, sofern diese Ansprüche auf einer schuldhaften Pflichtverletzung des Kunden basieren.
7. Haftung für Datenverlust: Bei Datenverlust haftet der Anbieter nur für den Aufwand, der bei ordnungsgemäßer Datensicherung durch den Kunden für die Wiederherstellung der Daten erforderlich ist.
8. Ausschluss der Haftung bei Softwarefehlern: Der Anbieter haftet nicht für Schäden, die aus der Nutzung von Softwarefehlern (Bugs) entstehen, es sei denn, diese Fehler verursachen erhebliche und vorhersehbare Schäden, die auf Vorsatz oder grobe Fahrlässigkeit des Anbieters zurückzuführen sind.
9. Maximale Haftung: Die Haftung des Anbieters ist auf das Dreifache der Beträge begrenzt, die der Kunde innerhalb der letzten zwölf Monate vor dem Schadensfall für die Nutzung der Plattform an den Anbieter gezahlt hat. Bei kostenlosen Tarifen ist die Haftung des Anbieters auf Vorsatz und grobe Fahrlässigkeit beschränkt.

§17 Laufzeit, Kündigung und Widerruf

1. Vertragslaufzeit: Die Standardlaufzeit beträgt einen Monat. Abweichende Laufzeiten können im Rahmen individueller Tarife oder gesonderter Vereinbarungen festgelegt werden.
2. Verlängerung: Nach Ablauf der Laufzeit verlängert sich der Vertrag automatisch um den gleichen Zeitraum, sofern keine der Parteien den Vertrag fristgerecht kündigt.
3. Kündigung: Die Kündigung kann über die vom Anbieter bereitgestellten Wege erfolgen, insbesondere per E-Mail oder über die Plattform. Bei der Standardlaufzeit beträgt die Kündigungsfrist 14 Tage vor Ablauf der aktuellen Laufzeit. Bei abweichenden Laufzeiten ergibt sich die Kündigungsfrist aus der jeweiligen Vereinbarung.
4. Kostenloser Tarif: Der kostenlose Tarif ist jederzeit ohne Einhaltung einer Frist kündbar. Der Anbieter ist berechtigt, den Zugang bei längerer Inaktivität des Kunden zu beenden. Der Anbieter informiert den Kunden vorab per E-Mail.
5. Außerordentliche Kündigung: Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
6. Einstellung des Betriebs: Sollte der Anbieter den Betrieb der Plattform dauerhaft einstellen, informiert er den Kunden mindestens 90 Tage im Voraus per E-Mail. Innerhalb dieses Zeitraums stellt der Anbieter dem Kunden die Möglichkeit zur Verfügung, seine Daten vollständig zu exportieren. Nach Ablauf der Frist werden die Kundendaten gemäß den Bestimmungen des Auftragsverarbeitungsvertrags (AVV) gelöscht.

§18 Änderungen der AGB

1. Allgemeines Recht zur Änderung: Der Anbieter behält sich das Recht vor, die Vertragsbedingungen jederzeit zu ändern, um Anpassungen an geänderte gesetzliche Anforderungen, betriebliche Notwendigkeiten oder Verbesserungen der Plattform vorzunehmen. Änderungen gelten als genehmigt, wenn der Anbieter den Kunden mindestens 30 Tage vor Inkrafttreten der neuen Bedingungen in Textform (z. B. per E-Mail) informiert und der Kunde den geänderten Vertragsbedingungen nicht innerhalb dieser Frist widerspricht.
2. Widerspruchsrecht des Kunden: Der Kunde hat das Recht, den geänderten AGB innerhalb der Frist zu widersprechen. Der Widerspruch muss in Textform erfolgen und kann per E-Mail an info@pantarey.io gesendet werden. Widerspricht der Kunde, bleibt der bestehende Vertrag zu den unveränderten Bedingungen bestehen und endet zum Ablauf der aktuellen Vertragslaufzeit. Eine vorzeitige Kündigung ist nicht erforderlich.
3. Besondere Änderungen: Bestimmte Änderungen, die erhebliche Auswirkungen auf die Nutzung der Plattform oder die Geschäftsbeziehung haben, bedürfen der ausdrücklichen Zustimmung des Kunden.
4. Verweis auf separate Vereinbarungen: Sollten Änderungen der AGB umfangreich sein oder die Einführung neuer Dienstleistungen und Funktionen beinhalten, kann der Anbieter zusätzliche Vereinbarungen oder Anhänge zur detaillierten Regelung dieser Änderungen bereitstellen. Diese werden dem Kunden ebenfalls mitgeteilt und bedürfen der Zustimmung gemäß den Bestimmungen dieses Abschnitts.
5. Änderungshistorie: Eine Übersicht aller Änderungen zwischen den Versionen dieser AGB ist unter pantarey.io/legal/agb/changelog einsehbar.

§19 Anwendbares Recht und Gerichtsstand

1. Anwendbares Recht: Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des internationalen Privatrechts und der UN-Kaufrechts (CISG). Alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, werden nach dem Recht der Bundesrepublik Deutschland beurteilt.
2. Gerichtsstand: Sofern gesetzlich zulässig, ist für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag das Amtsgericht Augsburg ausschließlich zuständig, sofern sich die Parteien nicht auf einen anderen Gerichtsstand einigen. Der Anbieter behält sich jedoch das Recht vor, auch am Sitz des Kunden zu klagen.
3. Internationale Verträge: Sollten Vertragsparteien in verschiedenen Ländern ansässig sein, vereinbaren sie hiermit, dass das anwendbare Recht und der Gerichtsstand gemäß den Bestimmungen dieser Klausel festgelegt werden, um eine einheitliche rechtliche Grundlage zu gewährleisten.

§20 Höhere Gewalt

1. Mitteilungspflicht: Die von einer Partei behauptende Partei hat die andere Partei unverzüglich schriftlich über das Eintreten eines Ereignisses der Höheren Gewalt zu informieren. Die Mitteilung muss eine Beschreibung des Ereignisses, dessen voraussichtliche Dauer und die voraussichtlichen Auswirkungen auf die Vertragserfüllung enthalten.
2. Erforderliche Maßnahmen: Die betroffene Partei ist verpflichtet, angemessene Maßnahmen zu ergreifen, um die Auswirkungen der Höheren Gewalt zu minimieren und die Vertragserfüllung so weit wie möglich wieder aufzunehmen, sobald dies möglich ist.
3. Keine Haftung: Keine der Parteien haftet gegenüber der anderen für Schäden oder Verzögerungen, die auf ein Ereignis der Höheren Gewalt zurückzuführen sind, sofern die betroffene Partei die Mitteilungspflichten gemäß diesem Abschnitt erfüllt hat.

§21 Salvatorische Klausel

Sollte eine Bestimmung dieses Vertrags ganz oder teilweise unwirksam, undurchführbar oder nicht durchsetzbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Anstelle der unwirksamen, undurchführbaren oder nicht durchsetzbaren Bestimmung gilt eine dem wirtschaftlichen Zweck der unwirksamen, undurchführbaren oder nicht durchsetzbaren Bestimmung am nächsten kommende, gültige und durchführbare Regelung als vereinbart. Gleiches gilt für etwaige Vertragslücken.

§22 Abtretung

1. Allgemeines Abtretungsverbot: Die Abtretung von Rechten und Pflichten aus dieser AGB ist nur mit der vorherigen schriftlichen Zustimmung der anderen Partei zulässig. Jede Abtretung ohne eine solche Zustimmung ist unwirksam.
2. Ausnahmen vom Abtretungsverbot: Eine Abtretung ist zulässig, wenn:
   1. Die Abtretung gesetzlich vorgesehen ist.
   2. Die Abtretung im Rahmen einer Unternehmensumstrukturierung, Fusion oder eines Verkaufs des Unternehmens erfolgt.
   3. Die Abtretung zur Durchführung des Vertrags, insbesondere zur Beauftragung von Unterauftragsverarbeitern oder Dritten, erfolgt.
3. Folgen der Abtretung: Im Falle einer zulässigen Abtretung tritt der Zessionar in sämtliche Rechte und Pflichten des Zedenten aus diesem Vertrag ein. Der Zedent bleibt jedoch gegenüber dem Zessionar und der anderen Vertragspartei für alle Verpflichtungen haftbar, die vor der Abtretung entstanden sind.
4. Verbot der Abtretung bei Insolvenz: Im Falle der Insolvenz einer Vertragspartei ist die Abtretung von Rechten und Pflichten ohne ausdrückliche Zustimmung der anderen Vertragspartei weiterhin untersagt.
5. Informationspflicht: Der Zedent ist verpflichtet, die andere Vertragspartei unverzüglich schriftlich über jede geplante Abtretung zu informieren, auch wenn eine Zustimmung bereits erteilt wurde.

§23 Verschiedenes

1. Keine Vertreterbefugnis: Keine der Parteien ist berechtigt, im Namen der anderen Partei Verträge abzuschließen, Verpflichtungen einzugehen oder Erklärungen abzugeben, die rechtlich bindend sind, es sei denn, dies wurde ausdrücklich schriftlich vereinbart.
2. Unabhängige Vertragsparteien: Die Parteien sind unabhängig voneinander und gehen keine Partnerschaft, kein Joint Venture, keine Gesellschaft mit beschränkter Haftung oder eine andere Form der geschäftlichen Zusammenarbeit ein.
3. Verzichtserklärungen: Ein Verzicht auf die Durchsetzung einer Bestimmung dieses Vertrags durch eine Partei stellt keinen Verzicht auf die Durchsetzung derselben Bestimmung zu einem späteren Zeitpunkt dar.
4. Sprachfassungen: Diese AGB können in weiteren Sprachen zur Verfügung gestellt werden. Im Falle von Widersprüchen zwischen der deutschen und einer fremdsprachigen Fassung ist die deutsche Fassung maßgeblich.

Anlage: Auftragsverarbeitungsvertrag (AVV)

zur Datenverarbeitung gemäß Art. 28 DSGVO

Pantarey GmbH, eingetragen im Handelsregister des Amtsgerichts Augsburg unter der Nummer HRB 38725, vertreten durch den Geschäftsführer Peter Velten, nachfolgend „Auftragsverarbeiter" genannt.

§1 Präambel

Diese Anlage zum Hauptvertrag legt die datenschutzrechtlichen Verpflichtungen der Parteien fest, die sich aus dem bestehenden Nutzungsverhältnis der Pantarey-Plattform gemäß dem Hauptvertrag ergeben. Der AVV gilt für alle Tätigkeiten, die im Rahmen der Nutzung von Pantarey mit personenbezogenen Daten verbunden sind und bei denen diese Daten durch die Pantarey GmbH oder einen von ihr beauftragten Dritten verarbeitet werden. Die Plattform führt keine inhaltliche Prüfung der vom Kunden eingegebenen Daten durch, sondern stellt die technischen Voraussetzungen für den Kunden bereit.

Dieser AVV entspricht den Anforderungen von Art. 28 Abs. 3 DSGVO (Datenschutz-Grundverordnung), nach denen jede Auftragsverarbeitung durch einen Vertrag geregelt werden muss, der Verantwortlichkeiten und Maßnahmen im Umgang mit personenbezogenen Daten festlegt. Insbesondere werden im AVV der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Kategorien der betroffenen Daten sowie die Rechte und Pflichten der Vertragsparteien geregelt.

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen der Pantarey GmbH und ist nur in Verbindung mit einem aktiven Vertragsverhältnis gültig.

§2 Gegenstand und Dauer der Verarbeitung

1. Beschreibung der Verarbeitungstätigkeiten: Der Auftragsverarbeiter (Pantarey GmbH) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde), um die cloudbasierte Plattform Pantarey bereitzustellen und zu betreiben. Die Verarbeitung umfasst die Erhebung, Speicherung, Änderung, Übermittlung, Sperrung und Löschung von personenbezogenen Daten im Rahmen der Nutzung der Plattform durch den Kunden. Die Verarbeitung umfasst folgende Tätigkeiten:
   1. Erhebung und Speicherung von personenbezogenen Daten: Registrierungsdaten von Benutzern (z.B. Name, E-Mail-Adresse, Telefonnummer) und deren Zugangsdaten (z.B. Benutzername, Passwort).
   2. Verwaltung von Benutzerkonten und Zugriffsrechten: Zuweisung von Rollen und Berechtigungen innerhalb der Plattform und die Verwaltung von Benutzergruppen.
   3. Speicherung und Verarbeitung von Nutzerdaten: Daten, die der Kunde im Rahmen seiner Geschäftsprozesse in die Plattform eingibt, einschließlich Kundendaten, Prozessdaten und Dokumente. Dazu gehören auch Daten, die durch die Plattform selbst generiert werden oder auf andere Weise in die Plattform gelangen.
   4. Verarbeitung technischer Metadaten: Technische Metadaten, die zur Bereitstellung und Optimierung der Plattform erforderlich sind, z.B. Status von Prozessdurchläufen und deren Häufigkeit. Diese Daten ermöglichen dem Kunden die Überwachung und Analyse der Prozessabläufe und dem Anbieter die Erstellung von Abrechnungen. Die Verarbeitung dieser Metadaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
   5. Protokollierung und Monitoring: Aufzeichnung von Systemereignissen und Benutzeraktivitäten zur Sicherstellung der Sicherheit und Integrität der Plattform. Sowie die Nutzung von Logfiles zur Fehleranalyse und Performance-Optimierung.
   6. Support und Wartung: Bearbeitung von Supportanfragen, einschließlich Zugriff auf personenbezogene Daten, soweit zur Fehlerbehebung erforderlich.
   7. Sicherheitsmaßnahmen: Implementierung von technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Zerstörung.
2. Dauer des Vertrags und der Datenverarbeitung: Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Nach Beendigung des Vertrags werden die personenbezogenen Daten gemäß den Regelungen des Hauptvertrags entweder gelöscht oder an den Verantwortlichen zurückgegeben.

§3 Art und Zweck der Verarbeitung

1. Im Wesentlichen automatisierte Datenverarbeitung: Die Verarbeitung personenbezogener Daten erfolgt im Wesentlichen automatisiert durch die Pantarey-Plattform. Die Plattform übernimmt sämtliche Verarbeitungsschritte im Rahmen der Nutzung durch den Kunden, einschließlich der Datenerhebung, -speicherung, -verarbeitung und -übertragung. Ein menschlicher Zugriff durch Mitarbeiter der Pantarey GmbH erfolgt nur im Rahmen von Support und Wartung (vgl. §12 Abs. 9 des Hauptvertrags).
2. Zweck der Verarbeitung: Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:
   1. Bereitstellung und Betrieb der Plattform Pantarey: Ermöglichung der Nutzung der Plattform durch den Kunden und seine autorisierten Benutzer zur Modellierung, Automatisierung und Analyse von Geschäftsprozessen.
   2. Ausführung von Geschäftsprozessen: Verarbeitung und Steuerung der vom Kunden modellierten Geschäftsprozesse durch die integrierte Prozess-Engine, einschließlich der automatisierten Abläufe und der Interaktion mit Benutzern.
   3. Speicherung von Metainformationen: Erfassung und Speicherung von Metadaten, wie Ausführungszeiten, Prozessstatus, Benutzerinteraktionen und Systemereignisse, um die Überwachung, Analyse und Optimierung der Geschäftsprozesse zu ermöglichen.
   4. Speicherung und Verwaltung von Daten: Speicherung, Verwaltung und Aufbereitung von Daten, um dem Kunden die Durchführung von Datenanalysen, Berichten und Auswertungen zu ermöglichen.
   5. Datenmanagement: Speicherung, Verwaltung und Pflege von Daten, die im Rahmen der Geschäftsprozesse des Kunden anfallen.
   6. Benutzerverwaltung und -authentifizierung: Verwaltung von Benutzerkonten, Zugriffsrechten und Authentifizierungsprozessen zur Sicherstellung eines sicheren Zugangs zur Plattform.
   7. Sicherheit und Systemintegrität: Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Daten durch Implementierung geeigneter Sicherheitsmaßnahmen.
   8. Support und Wartung: Bereitstellung von technischen Supportleistungen und Durchführung von Wartungsarbeiten, um einen reibungslosen Betrieb der Plattform sicherzustellen.
   9. KI-gestützte Verarbeitung: Verarbeitung personenbezogener Daten im Rahmen von KI-Funktionen der Plattform, z. B. Bildanalyse, Textverarbeitung oder automatisierte Auswertungen, sofern vom Kunden aktiviert.
3. Art der Verarbeitung: Die Verarbeitungstätigkeiten umfassen:
   1. Erhebung: Aufnahme von personenbezogenen Daten durch direkte Eingabe des Kunden oder durch Import aus anderen Systemen.
   2. Speicherung: Ablage und Sicherung der Daten in Datenbanken und Dateisystemen innerhalb der genutzten Cloud-Infrastruktur.
   3. Anpassung und Änderung: Verarbeitung und Aktualisierung der Daten im Rahmen der vom Kunden definierten Geschäftsprozesse und Workflows.
   4. Auslesen und Abfragen: Bereitstellung von Daten für autorisierte Benutzer und Systeme gemäß den Zugriffsrechten und Berechtigungen.
   5. Übermittlung: Weitergabe von Daten an Dritte oder externe Systeme, sofern vom Kunden veranlasst oder gesetzlich vorgeschrieben.
   6. Sperrung und Löschung: Einschränkung der Verarbeitung oder Löschung von Daten auf Anweisung des Kunden oder gemäß gesetzlichen Vorgaben.
4. Hinweis auf fehlende Inhaltskontrollen: Der Auftragsverarbeiter prüft nicht, welche Daten der Kunde in die Plattform hochlädt oder verarbeitet. Die Auswahl und Verantwortung für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten liegen ausschließlich beim Kunden.

§4 Art der personenbezogenen Daten

1. Personenbezogene Nutzerdaten: Die Art der verarbeiteten Daten wird vom Kunden festgelegt, indem er diese in die Plattform eingibt.
2. Kundendaten:
   1. Kundendaten: Name, Adresse, E-Mail-Adresse, Telefonnummer des Kunden
   2. Authentifizierungsdaten: Benutzername, verschlüsseltes Passwort.
   3. Geschäftsprozessdaten: Vertragsdaten, Transaktionsdaten.
   4. System- und Protokolldaten: IP-Adressen, Logfiles, Metadaten zu Prozessausführungen.
   5. Kommunikationsdaten: Inhalte von Supportanfragen, sofern vom Kunden bereitgestellt.
3. Technische Metadaten: Zusätzlich zur Verarbeitung der vom Kunden eingegebenen Nutzerdaten erhebt und verarbeitet die Pantarey GmbH technische Metadaten, die zur Sicherstellung der Funktionalität und Optimierung der Plattform erforderlich sind. Dies umfasst unter anderem Systemprotokolle, Statusinformationen zu Prozessabläufen sowie Nutzungsstatistiken.

§5 Kategorien betroffener Personen

1. Hinweis auf fehlende Inhaltskontrollen: Der Auftragsverarbeiter kennt die Identität der betroffenen Personen nicht. Die Festlegung der betroffenen Personengruppen obliegt dem Kunden.
2. Mögliche Kategorien betroffener Personen: Der Kunde entscheidet eigenverantwortlich über die betroffenen Personen, die im Rahmen der Nutzung der Plattform verarbeitet werden. Dies können sein:
   1. Mitarbeiter des Kunden: Benutzer der Plattform innerhalb der Organisation des Kunden, einschließlich Administratoren und Endanwender.
   2. Kunden des Kunden: Personen, deren Daten vom Kunden im Rahmen der Geschäftsprozesse in die Plattform eingegeben oder verarbeitet werden.
   3. Geschäftspartner und Lieferanten: Personen, die in den Geschäftsprozessen des Kunden beteiligt sind, wie Vertreter von Partnerunternehmen, Lieferanten oder Dienstleister.

§6 Rechte und Pflichten des Verantwortlichen (Kunde)

1. Der Verantwortliche trägt die Hauptverantwortung für die Verarbeitung der personenbezogenen Daten. Seine Rechte und Pflichten umfassen:
   1. Rechtmäßigkeit der Verarbeitung: Der Verantwortliche stellt sicher, dass die Verarbeitung der personenbezogenen Daten auf einer gültigen Rechtsgrundlage gemäß DSGVO basiert (z.B. Einwilligung, Vertragserfüllung, berechtigtes Interesse).
   2. Informationspflichten: Der Verantwortliche ist verpflichtet, die betroffenen Personen gemäß Art. 13 und 14 DSGVO über die Datenverarbeitung zu informieren.
   3. Wahrung der Betroffenenrechte: Der Verantwortliche gewährleistet die Ausübung der Rechte der betroffenen Personen (z.B. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch).
   4. Datenschutz-Folgenabschätzung: Sofern erforderlich, führt der Verantwortliche eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durch.
   5. Meldung von Datenschutzverletzungen: Im Falle einer Verletzung des Schutzes personenbezogener Daten, die im Verantwortungsbereich des Verantwortlichen liegt, ist dieser verpflichtet, die Aufsichtsbehörde und gegebenenfalls die betroffenen Personen zu informieren.
   6. Sicherstellung der Datenqualität: Der Verantwortliche sorgt dafür, dass die verarbeiteten personenbezogenen Daten richtig und aktuell sind.

§7 Pflichten des Auftragsverarbeiters (Pantarey GmbH)

1. Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
2. Technische und organisatorische Maßnahmen (TOM): Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in Anlage 1 (TOM) detailliert beschrieben.
3. Unterstützung des Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung der Pflichten in Bezug auf die Sicherheit der Datenverarbeitung, die Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und die Konsultation der Aufsichtsbehörde.
4. Unterauftragsverhältnisse: Der Auftragsverarbeiter darf weitere Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen. Aktuelle Unterauftragsverarbeiter sind in §8 Unterauftragsverhältnisse aufgeführt.
5. Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, sobald ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden. Diese Meldung enthält alle erforderlichen Informationen gemäß Art. 33 DSGVO.
6. Unterstützung bei Betroffenenanfragen: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte. Die Plattform stellt hierzu entsprechende Funktionen bereit.
7. Nachweis- und Dokumentationspflichten: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag festgelegten Pflichten nachzuweisen, und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Weitere Details hierzu sind in §12 Nachweispflichten und Auditrechte aufgeführt.

§8 Unterauftragsverhältnisse

1. Genehmigung von Unterauftragsverarbeitern: Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen jedoch über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, sodass der Verantwortliche Gelegenheit zum Widerspruch hat.
2. Verpflichtungen der Unterauftragsverarbeiter: Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau im Einklang mit den in diesem Vertrag festgelegten Datenschutzanforderungen zu gewährleisten. Der Auftragsverarbeiter wählt Unterauftragsverarbeiter sorgfältig aus und achtet darauf, dass deren Schutzmaßnahmen mit den Anforderungen der DSGVO im Wesentlichen vergleichbar sind.
3. Unterauftragsverarbeiter:
   • Amazon Web Services (AWS): Bereitstellung von Cloud-Infrastruktur, Hosting-Diensten und KI-gestützter Verarbeitung (u. a. über AWS Bedrock mit Modellen wie Anthropic). Standort der Datenverarbeitung: Frankfurt am Main, Deutschland.
   • Stripe, Inc.: Zahlungsabwicklung. Standort: USA (EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO).

§9 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung der Pflichten zur Wahrung der Rechte der betroffenen Personen gemäß Kapitel III der DSGVO. Dies umfasst insbesondere:

1. Auskunftsrecht: Bereitstellung von Informationen über die Verarbeitung personenbezogener Daten.
2. Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
3. Recht auf Löschung: Unterstützung bei der Löschung personenbezogener Daten auf Weisung des Verantwortlichen.
4. Recht auf Einschränkung der Verarbeitung: Umsetzung von Maßnahmen zur Einschränkung der Datenverarbeitung.
5. Recht auf Datenübertragbarkeit: Bereitstellung von Daten in einem strukturierten, gängigen und maschinenlesbaren Format.

§10 Meldung von Datenschutzverletzungen

1. Informationspflicht: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über alle ihm bekannt gewordenen Verletzungen des Schutzes personenbezogener Daten.
2. Inhalt der Meldung: Die Meldung an den Verantwortlichen umfasst alle relevanten Informationen, insbesondere:
   1. Art der Datenschutzverletzung
   2. Betroffene personenbezogene Daten und Kategorien von betroffenen Personen
   3. Wahrscheinliche Folgen der Verletzung
   4. Getroffene oder vorgeschlagene Maßnahmen zur Behebung der Datenschutzverletzung und zur Minderung ihrer möglichen nachteiligen Auswirkungen

§11 Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags und auf Weisung des Verantwortlichen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§12 Nachweispflichten und Auditrechte

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag festgelegten Pflichten nachzuweisen.
2. Der Verantwortliche ist berechtigt, nach vorheriger Ankündigung und in angemessenem Umfang Überprüfungen und Inspektionen durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen.
3. Die Kosten für Audits trägt der Verantwortliche, es sei denn, es werden erhebliche Mängel festgestellt, die in der Verantwortung des Auftragsverarbeiters liegen.

§13 Vertraulichkeit

1. Beide Parteien verpflichten sich zur Vertraulichkeit über alle im Rahmen dieses Vertrags erlangten Kenntnisse und Informationen.
2. Diese Verpflichtung besteht auch nach Beendigung des Vertrags fort.

Anlage 1 zur AVV: Technische und Organisatorische Maßnahmen (TOM)

Pantarey GmbH, eingetragen im Handelsregister des Amtsgerichts Augsburg unter der Nummer HRB 38725, vertreten durch den Geschäftsführer Peter Velten.

§1 Technische und Organisatorische Maßnahmen (TOM)

Die Pantarey GmbH verpflichtet sich, die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten.

1. Zutrittskontrolle (Physische Zugangskontrolle)

   Hinweis: Die Pantarey GmbH verfügt über keine eigenen Rechenzentren. Die gesamte IT-Infrastruktur wird in der Cloud über Amazon Web Services (AWS) bereitgestellt. Die physischen Sicherheitsmaßnahmen werden vollständig von AWS übernommen.

   1. Ziel: Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden.
   2. Auswahl an AWS-Sicherheitsstandards:
      1. Zutrittskontrollen: Strenge Zugangsbeschränkungen mit mehrstufigen Authentifizierungsverfahren, einschließlich biometrischer Scanner und elektronischer Zugangskarten.
      2. Überwachung: 24/7 Überwachung durch geschultes Sicherheitspersonal und Videoüberwachungssysteme.
      3. Umgebungsüberwachung: Einsatz von Feuerlöschsystemen, Klimatisierung und Stromausfallsicherungen.
      4. Zertifizierungen: AWS verfügt über zahlreiche Sicherheitszertifizierungen wie ISO 27001, SOC 2, PCI DSS, die regelmäßige Audits und Compliance-Prüfungen beinhalten.
2. Arbeitsumgebung der Pantarey GmbH
   1. Sicherheitsrichtlinien für Remote-Arbeit:
      1. Gesicherte Arbeitsumgebung: Mitarbeiter sind verpflichtet, in einer sicheren Umgebung zu arbeiten, die den unbefugten Zugriff Dritter auf Arbeitsgeräte verhindert.
      2. Sichere Aufbewahrung von Geräten: Laptops und mobile Geräte müssen sicher aufbewahrt werden, wenn sie nicht verwendet werden.
      3. Verpflichtung zur Vertraulichkeit: Alle Mitarbeiter sind vertraglich zur Vertraulichkeit und zum Schutz personenbezogener Daten verpflichtet.
   2. Sicherer Fernzugriff auf Cloud-Infrastruktur:
      1. Multi-Faktor-Authentifizierung (MFA): Pflicht für alle Zugriffe auf Cloud-Dienste und Verwaltungskonsolen.
      2. Starke Passwortrichtlinien: Mindestanforderungen an Passwortlänge und -komplexität.
   3. Verschlüsselte Verbindungen:
      1. TLS/SSL-Verschlüsselung: Alle Verbindungen zu Cloud-Diensten erfolgen über verschlüsselte Protokolle.
   4. Gerätesicherheit:
      1. Aktualisierte Systeme: Regelmäßige Updates und Patches der Betriebssysteme und Software auf Mitarbeitergeräten.
      2. Endpoint-Sicherheit: Einsatz von Antivirensoftware und Firewalls auf allen Geräten.
   5. Zugriffsrechte:
      1. Prinzip der minimalen Berechtigung: Mitarbeiter erhalten nur die Zugriffsrechte, die sie für ihre Arbeit benötigen.
      2. Regelmäßige Überprüfung: Periodische Überprüfung und Anpassung der Zugriffsberechtigungen.

§2 Sicherheit innerhalb der Plattform Pantarey

Die nachfolgende Auflistung der technischen und organisatorischen Maßnahmen stellt einen Auszug der aktuell bei der Pantarey GmbH implementierten Sicherheitsvorkehrungen zur Sicherheit innerhalb der Plattform dar. Wir sind bestrebt, diese Maßnahmen kontinuierlich zu überprüfen, zu erweitern und zu verbessern, um stets den aktuellen gesetzlichen Anforderungen und den neuesten technologischen Standards zu entsprechen.

1. Ziel der Maßnahme: Gewährleistung eines hohen Sicherheitsniveaus und Datenschutzes durch spezifische Funktionen und Maßnahmen im Kontext der Plattform Pantarey.
2. Benutzer- und Rollenmanagement: Möglichkeit, Berechtigungen auf Benutzerebene anzupassen, um den Zugriff auf Daten und Funktionen zu steuern.
3. Mandantenfähigkeit / Strikte Trennung von Kundendaten: Standardmäßig wird sichergestellt, dass die Daten und Prozesse der Kunden physisch voneinander getrennt sind. In speziellen Fällen, in denen mehrere Kunden eine gemeinsame Umgebung nutzen, erfolgt eine strikte logische Trennung, die durch Zugriffskontrollen und Sicherheitsmechanismen gewährleistet wird, sodass keine unbefugten Zugriffe zwischen den Mandanten möglich sind.
4. Starke Authentifizierungsmethoden: Durchsetzung von Mindestanforderungen an Passwortlänge und -komplexität.
5. Integration mit Identity Providern: Unterstützung von Standardprotokollen wie OAuth 2.0 oder SAML 2.0.
6. Sitzungsmanagement: Automatische Abmeldung bei Inaktivität nach definierten Zeiträumen.
7. Datenminimierung: Kunden können entscheiden, welche Datenfelder für ihre Prozesse erforderlich sind.
8. Input Validation: Überprüfung aller Eingaben auf dem Server, um unerwartete oder schädliche Daten zu erkennen.
9. Schutz vor Injection-Angriffen: Verwendung von vorbereiteten Anweisungen und Parametrisierungen bei Datenbankabfragen.
10. Detaillierte Protokollierung: Erfassung von sicherheitsrelevanten Ereignissen wie Login-Versuchen, Änderungen an Berechtigungen und Zugriffen auf sensible Daten.
11. Monitoring-Tools: Einsatz von Tools zur Überwachung von Aktivitäten innerhalb der Plattform.
12. Benachrichtigungssysteme: Automatische Warnungen bei verdächtigen Aktivitäten oder Sicherheitsverletzungen.
13. Secure Coding Guidelines: Einhaltung von Best Practices in der Softwareentwicklung.
14. Logging von Fehlern: Detaillierte Erfassung von Fehlern im System zur Analyse und Behebung.
15. Datenverschlüsselung: Alle Datenübertragungen zur Plattform erfolgen verschlüsselt (TLS 1.2+). Ruhende Daten werden durch den Cloud-Anbieter verschlüsselt.

§3 Integrität der Systeme

1. Ziel der Maßnahme: Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme.
2. Systemüberwachung: Kontinuierliches Monitoring von Systemressourcen und -leistungen und Implementierung von Health Checks.
3. Sicherheitsupdates: Zeitnahe Installation von Updates und Sicherheitspatches.
4. Datensicherung: Automatisierte Backups über den Cloud-Anbieter. Sicherungskopien werden in getrennten Speicherbereichen innerhalb derselben Region abgelegt.

§4 Verfahren zur regelmäßigen Überprüfung und Bewertung

1. Ziel der Maßnahme: Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme.
2. Interne Audits: Regelmäßige Überprüfung der Prozesse und Maßnahmen und Dokumentation der Ergebnisse und Umsetzung von Verbesserungen.
3. Risikobewertung: Durchführung von Datenschutz-Folgenabschätzungen bei neuen oder geänderten Verarbeitungstätigkeiten.

§5 Umgang mit Datenschutzvorfällen

1. Ziel der Maßnahme: Schnelle Reaktion auf Sicherheitsvorfälle und Minimierung von Schäden.
2. Meldung an Kunden: Unverzügliche Informierung des Kunden bei relevanten Vorfällen.
3. Dokumentation: Aufzeichnung aller Vorfälle und ergriffenen Maßnahmen.