Im Folgenden zeigen wir einen Auszug unseres Richtlinien-Kataloges auf, auf dessen Basis die Zertifizierung durchgeführt wird. Weitere Punkte, die detailliert Aspekte der Sicherheit und der Datenverarbeitung behandeln, werden hierbei zum Schutz aller Parteien nicht veröffentlicht.

Hierbei wird der Dienstleister, der die Cloud-Software zur Verfügung stellt, Anbieter, der Kunde, der die Software nutzt, Nutzer, genannt.

 

 1. Anbieter (-Kennzeichnung)

1.1.    Der Anbieter hat (s)einen Haupt-Geschäftssitz in Deutschland.

1.2.    Eine vollständige Anbieterkennzeichnung gemäß des jeweiligen gültigen Gesetzes muss öffentlich einsehbar und unmittelbar zugänglich sein.

1.2.1.  Bei Einzelunternehmen oder Kleingewerbetreibenden sind sowohl Vor- und Zuname des Unternehmers, als auch die vollständige Anschrift unmittelbar einzusehen. Unmittelbar meint in diesem Fall, dass man maximal einen Menüpunkt/Link davon entfernt sein darf, egal, auf welcher (Unter-)Seite des Anbieters man sich aktuell befindet.

1.2.2.  Bei Firmen oder Gesellschaften gem. HGB sind die korrekte Firmierung, Die entsprechende Registergerichtnummer sowie das zuständige Gericht zu nennen.

1.2.3.  Falls vorhanden: Nennung von Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das Sie eingetragen sind – sowie der dazugehörigen Registernummer.

1.2.4.  Neben den Punkten 1.3.1. und 1.3.2. sind weitere Vorschriften, die vom Gesetz gefordert sind, nicht zu missachten.

1.3.    Bei Aktiengesellschaften, Kommanditgesellschaften auf Aktien und Gesellschaften mit beschränkter Haftung, die sich in Abwicklung oder Liquidation befinden, ist die Angabe hierüber nötig.

1.4.    Bei Tätigkeiten, die einer behördlichen Zulassung bedürfen, muss die zuständige Aufsichtsbehörde genannt werden.

1.5.    Der Gerichtsstand für Angelegenheiten, die juristischer oder vertraglicher Natur sind, ist in Deutschland

 

2. Vertragsbedingungen

2.1.    Verträge zwischen dem Anbieter und dem Nutzer werden auf Basis des Service Level Agreements (SLA) geschlossen.

2.2.    Der Anbieter verpflichtet sich zu größter Sorgfalt und Einhaltung der geschlossenen Vereinbarungen.

2.3.    Es müssen klar ersichtliche und eindeutig formulierte Allgemeine Geschäftsbedingungen vorliegen und veröffentlicht sein, die dem deutschen Recht entsprechen, keine wettbewerbswidrigen Formulierungen beinhalten und nicht gegen die Generalklauseln §242 BGB und §1 UWG verstoßen.

2.4.    Vor der endgültigen Bestätigung des Vertragsschlusses muss der Kunde, ausdrücklich und gut einzusehen, auf die Allgemeinen Geschäftsbedingungen hingewiesen werden und diese akzeptieren (durch Anklicken einer Checkbox bspw.).

2.5.    Die Allgemeinen Geschäftsbedingungen müssen leicht druckbar sein und der Druckprozess beispielsweise durch Textfelder nicht behindert werden.

2.6.    Die Allgemeinen Geschäftsbedingungen müssen in Deutscher (und optional Englischer) Sprache verfügbar sein.

2.7.    Die Allgemeinen Geschäftsbedingungen werden dem Nutzer im Vorfeld einer verbindlichen Vertragsbestätigung zur Sichtung zur Verfügung gestellt und müssen vom Nutzer akzeptiert werden.

2.8.    Die maximale Vertragslaufzeit zwischen Anbieter und Nutzer liegt bei 24 Monaten. Automatische Verlängerungen der Verträge sind jeweils auf eine erneute Laufzeit von maximal 12 Monaten beschränkt.

2.9.    Eine Kündigungsfrist darf maximal 3 Monate in Bezug auf das reguläre Ende der Vertragslaufzeit betragen.

 

3. Kontaktmöglichkeiten / Support

3.1.    Der Anbieter stellt deutschsprachigen E-Mail Support zur Verfügung.

3.2.    Der Anbieter stellt deutschsprachigen Support per Telefon zur Verfügung.

3.3.    Der Support und Service des Anbieters sind stets darauf zu optimieren, dass sie dem Grundgedanken der bestmöglichen Servicequalität und Kundenzufriedenheit entsprechen.

3.4.    Der Support darf, bei allen üblichen Kommunikationswegen (außer bei Anfragen per Post und innerhalb von Werktagen), nicht länger als 48 Stunden zur Bearbeitung und Beantwortung einer Anfrage benötigen. Sollte diese Frist nicht eingehalten werden können, ist der Nutzer über diese außerordentliche Verzögerung bei der Beantwortung des Anliegens zu informieren.

3.5.    Der Service und Support sind lokal in Deutschland ansässig.

 

4. Server (-Standort)

4.1.    Die Server für die Schnittstelle zwischen Datenbanken und dem Kunden befinden sich in Deutschland.

4.1.1.  Falls die Datenbanken des Anbieters ausgelagert und separat von den Schnittstellen zwischen Anbieter und Nutzer sind, so befinden sich die entsprechenden Server in Deutschland.

4.2.    Sollten Eigenschaften der Software nicht ohne Plugins ausländischer Anbieter (z.B. Facebook, Twitter) auskommen, und sind dies unmittelbare Voraussetzungen zur vollständigen Nutzung der Software, ist dies dem Nutzer eindeutig mitzuteilen.

4.3.    Unabhängig davon, ob der Anbieter Server eines Dienstleisters (o.Ä.) nutzt, oder eigene Server betreibt, ist in jedem Fall mit höchster Priorität darauf zu achten, dass alle aktuellen Sicherheitsstandards eingehalten werden.

4.4.    Die zuvor genannten Standards sowie der Standort, Geschäftssitz und die unternehmerische Seriosität eines Dienstleisters für Webhosting, Servermanagement, o.Ä., müssen unproblematisch und schnell verifizierbar sein, wenn der Anbieter auf einen solchen Dienstleister zur Erfüllung seiner Vertrags- und Leistungspflichten gegenüber dem Nutzer zurückgreift.

4.5.    Die Server müssen über eine im Alltag ausreichend schnelle Internetanbindung verfügen, damit es auch zu Zeiten, an denen viele Nutzer die Software gleichzeitig nutzen, regelmäßig nicht zu Verbindungsabbrüchen kommt.

 

5. Datenschutz

5.1.    Der Anbieter muss eine eindeutige und vollständige Datenschutzerklärung vorweisen können, die leicht zu ersehen ist.

5.2.    Diese Datenschutzerklärung ist dem Bundesdatenschutzgesetz (BSDG) zu unterwerfen und Folge zu leisten. Die Verantwortlichen für die Einhaltung der Datenschutzrichtlinien sind namentlich zu nennen.

5.3.    Ein Auszug der Verpflichtungen des Anbieters ist folglich:

5.3.1.  Die Speicherung von personenbezogenen und nicht anonymen Kundendaten darf nur erfolgen, wenn dem Kunden dies mitgeteilt wurde und/oder er dies bewilligt hat.

5.3.2.  Bei der Weitergabe von Kundendaten an Dritte, muss der Kunde dies bestätigt und eingewilligt haben.

5.3.3.  Der Kunde muss jederzeit die Möglichkeit haben seine gespeicherten Daten abfragen zu können.

5.3.4.  Bei Bedarf darf dieser sie telefonisch mit ausreichender und zu überprüfender Identifikation oder schriftlich ändern oder löschen lassen.

5.4.    Alle Übertragungen von persönlichen, sensiblen oder zuordenbaren Daten geschehen mit einer ausreichenden und anerkannten/verschlüsselten Verbindung.

5.5.    Sobald der Anbieter Kundendaten speichert und über das Internet übertragen lässt, muss der Anbieter dafür Sorge tragen, dass dies in einem angemessenen Umfang und im Rahmen der aktuellen technischen Möglichkeiten sicher geschieht (ggf. durch Secure Socket Layer, SSL).

5.5.1.  Eine solche SSL Verbindung muss mindestens den 128 Bit Standard aufweisen.

5.6.    Eine optionale Newsletter-Teilnahme muss jederzeit kündbar sein.

5.7.    Sollten Eigenschaften der Software nicht ohne Plugins ausländischer Anbieter (z.B. Facebook, Twitter, Google) auskommen, und sind dies unmittelbare Voraussetzungen zur vollständigen Nutzung der Software, ist eine etwaige und anonymisierte Übertragung nötiger Daten (z.B. zum Facebook-Server) ausreichend in den Datenschutzerklärungen auszuweisen.

5.8.    Dem Recht auf Vergessenwerden, zum Beispiel bei Datenlöschung in Folge eines Umzuges des Nutzers, muss vom Anbieter stets auf Verlangen nachgegangen werden.

 

6. Backups / Exporte / Schließung

6.1.    Der Anbieter verpflichtet sich, im Rahmen anerkannter und sicherer Möglichkeiten, stets und in ausreichenden zeitlichen Abständen, Sicherungen aller Daten zu machen. Der Schwerpunkt liegt hierbei auf den jeweiligen Daten der Nutzer (Datenbanken, hochgeladene Dokumente, Fotos, usw.)

6.2.    Es muss jederzeit auf Verlangen des Nutzers möglich sein, dass der Nutzer seine Daten gebündelt über einen schnellen Kommunikationsweg, wie beispielsweise per E-Mail, erhalten kann.

6.3.    Im Falle einer Insolvenz muss der Nutzer die Möglichkeit erhalten, dass er seine Daten herunterladen oder vollständig zur Sicherung abrufen kann. Ob dies aktiv durch den Nutzer in der Software geschieht, oder der Anbieter dem Kunden die Daten zuschickt, ist im Einzelfall unerheblich, solange die Daten vollständig sind.

6.4.    Der zuvor genannte Abschnitt tritt ebenfalls bei Überschuldung oder Schließung des Unternehmens sowie durch Fahrlässigkeit/Strafbefehle/Verkauf/Liquidationsprobleme in Kraft.

6.5.    Die Einstellung des Projektes muss dem Nutzer in einem ausreichend großen Zeitraum im Vorfeld mitgeteilt werden, damit alle weiteren Vorkehrungen zur Sicherung der Daten, Sichtung alternativer Anbieter und operativer Umstellung der Systeme erfolgen können.

 

Cloud Zertifizierung – Richtlinienkatalog für das Zertifikat pdf_logo