Allgemeine Geschäftsbedingungen

Reviso - Allgemeine Geschäftsbedingungen

BEGRIFFSBESTIMMUNGEN

In den vorliegenden, allgemeinen Vertragsbedingungen (die „Bedingungen“) werden die nachfolgenden Begriffe und Ausdrücke jeweils mit der Bedeutung verwendet, die in vorliegendem Abschnitt festgelegt wird.

Dabei gilt die hier für den Singular festgelegte Bedeutung auch für den Plural und umgekehrt.

Zugangsinformationen: steht für die Daten, anhand derer dem Kunden über das Authentifikationssystem die Benutzung der Software gewährt wird, damit er die Clouddienste nutzen kann, darunter der Identifizierungscode und die Passwörter, die Reviso dem Kunden zur Verfügung stellt und die jedem Benutzer individuell zugeordnet sind, und darüber hinaus (gegebenenfalls) auch Tokens.

Vereinbarung: steht für die vorliegenden Bedingungen, maßgebliche Anhänge, die Subskription, die dem Kunden gegebenenfalls zur Verfügung gestellte, technische Dokumentation, die Subskriptionsformulare (gegebenenfalls) und jegliche Online-Anweisungen zur Nutzung der Softwareprodukte.

Cloud-Infrastruktur: steht für das Reviso oder Dritten gehörende Cloudsystem, welches die Softwareprodukte hostet.

Clouddienste: steht für die Leistungen, die Reviso für den Kunden im Rahmen von dessen Zugriff auf die Softwareprodukte und deren Nutzung erbringt.

Konnektivität: steht für die Verbindung zum Rechenzentrum, für die der Kunde sorgt, indem er sich mit einem Telekommunikationsnetz oder dem Internet verbindet.

Abhängige Unternehmen: steht für jegliche Unternehmen, die der Kunde direkt oder indirekt kontrolliert und die in seiner Subskription eigens aufgeführt sein können.

Kunde: steht für das in der Subskription angegebene Unternehmen.

Rechenzentrum: steht für die Reviso oder Dritten gehörenden Serviceeinrichtungen, welche die vernetzten Server hosten, auf welchen die Cloud-Infrastruktur beruht.

Datenschutzgesetze: steht für die DSGVO und gegebenenfalls alle sonstigen Durchführungsgesetze oder -bestimmungen, die im Rahmen der DSGVO oder anderweitig in England hinsichtlich des Schutzes personenbezogener Daten anwendbar sind, darunter auch jedwede von einer auf diesem Gebiet zuständigen Aufsichtsbehörde gegebene Anweisung, sofern diese verbindlich und gültig ist

Gebühren: steht für die in der Subskription angegebenen Beträge, die vom Kunden an Reviso bzw. entsprechend den in der Subskription enthaltenen Regelungen an den Reviso-Vertriebspartner als Vergütung für die Bereitstellung der Clouddienste zu entrichten sind.

DSGVO: steht für die Datenschutz-Grundverordnung 679 vom 27. April 2016.

Rechte am geistigen Eigentum: steht für alle registrierten oder nicht registrierten, vollständigen oder teilweisen, weltweiten Rechte am geistigen oder industriellen Eigentum, und dazu gehören unter anderem Handelsmarken, Patente, Gebrauchsmuster, Designs und Modelle, Domainnamen, Know-how, Autorenrechte gemäß Urheberrecht, Datenbanken und Softwareprodukte (einschließlich entsprechender, abgeleiteter Arbeiten, Quellcodes, Objektcodes und Schnittstellen).

Lizenz: hat die in Paragraph 2.5 dargelegte Bedeutung.

MDPA: steht für Master Data Protection Agreement oder Datenschutz-Rahmenvereinbarung und die anwendbare DVA-Sonderregelungen im Anhang zu vorliegender Vereinbarung.

Neues Produkt: hat die in Abschnitt (b), Paragraph 12.1 festgelegte Bedeutung.

Rücknahme-Benachrichtigung: hat die in Abschnitt (b), Paragraph 12.1 festgelegte Bedeutung.

Obsoletes Produkt: hat die in Paragraph 12.1 festgelegte Bedeutung.

Subskription: steht für das Formular oder den Coupon, egal ob elektronisch oder auf Papier, das oder der online oder auf andere Art und Weise vom Kunden ausgefüllt und akzeptiert wurde, und welches/welcher bestimmte Geschäftsbedingungen für die in der Subskription angegebenen Clouddienste enthält. Reviso und der Kunde vereinbaren hiermit, dass im Fall von Widersprüchen zwischen den in der Subskription enthaltenen Geschäftsbedingungen und den Regelungen vorliegender Bedingungen die in der Subskription enthaltenen Regelungen Vorrang haben. 

Parteien: steht zusammenfassend für Reviso und den Kunden.

Partner: steht für diejenigen Personen/Einrichtungen die Reviso (auch aus dem Kreis seiner Vertriebspartner) bestimmt und die mit Reviso bei der Bereitstellung der Clouddienste oder beim Kundendienst zusammenarbeiten.

Saas: steht für Software-as-a-Service.

Software: steht für die Reviso oder einem Unternehmen der Reviso Group bzw. Dritten gehörenden Softwareprodukte, die in der Cloud-Infrastruktur gehostet werden, und zwar zum jeweils aktuellen Stand der Updates und Upgrades.

Unterlizenz: hat die in Paragraph 2.9 angegebene Bedeutung.

Kundendienst: steht für den technischen Kundendienst, der dazu dient, den Kunden auf Nachfrage und nach Möglichkeit technische Lösungen zu bieten, die ihnen eine korrekte Nutzung der Clouddienste ermöglichen. 

Reviso Group: steht für Reviso und alle Unternehmen, von denen Reviso direkt oder indirekt abhängt, die direkt oder indirekt von Reviso abhängen oder die eine Partnerschaft mit Reviso unterhalten, darunter auch Reviso Deutschland GmbH - Wittestraße 30 K - 13509 Berlin - Germany USt-IdNr.: DE304019640 - Steuernummer: 3756450017.

Reviso: steht für Reviso International APS (Im dänischen Unternehmensregister eingetragen mit Nr. 37098477), mit registriertem Geschäftssitz in 3, Ewaldsgade (2200) Kopenhagen N, Dänemark (Reviso ist Eigentümer sämtlicher Rechte an geistigem Eigentum an der Software), oder für jedes sonstige Unternehmen der Reviso Group, das in der Subskription angegeben ist.

Reviso-Vertriebspartner: steht für die Person/Einrichtung, die auf der Grundlage einer gültigen Vereinbarung mit Reviso zu Marketingtätigkeiten für die Clouddienste befugt ist.

Updates und Upgrades: steht für Aktualisierungen, Zusätze, Anpassungen, neue Versionen (Upgrades), Verbesserungen und allgemein für alle Veränderungen, die Reviso oder ein externer Anbieter an den Softwareprodukten vornimmt. Updates und Upgrades bezieht sich nicht auf Änderungen, die aufgrund von Änderungen, Erweiterungen, Aufhebungen oder der Verabschiedung von Gesetzen, Dekreten, Regelungen, Verordnungen, Anweisungen oder Entscheidungen der EU oder sonstiger Länder notwendig werden, die sich maßgeblich auf den Betrieb, auf die Reviso entstehenden Kosten oder auf die Struktur der Software auswirken, bzw. die substantielle oder strukturelle Änderungen der zum Zeitpunkt des Treffens der Vereinbarung geltenden Gesetzgebung darstellen.

Benutzer: steht für jeden Angestellten oder Mitarbeiter des Kunden, der von letzterem ordnungsgemäß für die Benutzung der Zugangsinformationen autorisiert wurde, um auf die Software zuzugreifen, die zur Nutzung der Clouddienste erforderlich ist.

1.           Anwendungsbereich und Zustimmung zu den Bedingungen

1.1.        Diese Bedingungen gelten für die Benutzung der Softwareprodukte durch den Kunden und für die Bereitstellung der Clouddienste durch Reviso gemäß den Spezifikationen in der Subskription, indem dem Kunden der Zugang zu einem jeden der Softwareprodukte gewährt wird, die in der Subskription aufgeführt sind. Diese Bedingungen gelten ebenso für alle Updates und Upgrades, es sei denn, im Einzelfall würden andere Bedingungen gelten.

1.2.        Der Kunde akzeptiert diese Bedingungen durch das Ankreuzen der Option „I have read and accept the subscription terms and conditions“ (Ich habe die Geschäftsbedingungen der Subskription gelesen und stimme ihnen zu) in der Subskription, oder durch die Nutzung der Software und Clouddienste, die zwischen Reviso und dem Kunden vereinbart wurden. Wenn der Kunde eine Rechtsperson ist, werden diese Bedingungen von einem Vertreter des Kunden akzeptiert. Es handelt sich ausschließlich um einen Business-to-Business-Dienst und es besteht nicht die Absicht, ein Vertragsverhältnis mit einem Verbraucher einzugehen. Wenn Sie ein Verbraucher sind und die Software benutzen möchten, kontaktieren Sie uns bitte vorab unter hilfe@reviso.com.

1.3.        Steuerberatungsfirmen, Verwaltungsagenturen und ähnliche Unternehmen können diesen Bedingungen im Namen ihres Kunden zustimmen, etwa hinsichtlich neuer Subskriptionen. Wenn sie dies tun, erklären die betreffenden Unternehmen, über die dafür erforderlichen Befugnisse zu verfügen und dass der Kunde vor dem Gewähren der Zustimmung ordnungsgemäß über diese Bedingungen informiert wurde.

2.           Clouddienste

2.1.        Im Rahmen dieser Vereinbarung stellt Reviso gegen die pünktliche Bezahlung der Gebühren dem zustimmenden Kunden die in der Subskription aufgeführten Clouddienste zur Verfügung. Der Kunde ist zur Nutzung der Clouddienste ausschließlich durch den Zugriff auf die Software und ihre Nutzung im SaaS-Modus berechtigt.

2.2.        Die Software ermöglicht dem Kunden die Verwaltung einer Reihe von Funktionen des betrieblichen Rechnungswesens. Insbesondere ermöglicht die Software dem Kunden die Verwendung der konkreten Clouddienste, die einem jeden Subskriptionspaket zugeordnet sind, und sie macht zusätzliche Funktionen der Software („Module“) verfügbar, die im betreffenden Abschnitt der Webseite zum Thema Software auf Revisos Website spezifiziert und beschrieben werden. Es gibt verschiedene Pakete („Pakete“), jedes mit verschiedenen Inhalten und zu unterschiedlichen Preisen. Auch deren konkrete Inhalte werden auf der Website angegeben und beschrieben. Zur Benutzung der Software muss mindestens ein solches Paket aktiviert werden. Mit der Aktivierung des gewählten Pakets erhält der Kunde die Möglichkeit, die Aktivierung weiterer Module zu beantragen, die nicht im ursprünglich erworbenen Paket enthalten sind, wobei selbstverständlich die Aktivierung eines jeden zusätzlichen Moduls mit zusätzlichen Gebühren einhergeht, die auf der Website angegeben sind.

2.3.        Über die Software kann der Kunde die in seiner Subskription enthaltenen Leistungen reduzieren und zusätzliche Module wieder entfernen, was jeweils ab dem letzten Tag des laufenden Quartals des Kalenderjahres wirksam wird (es sei denn, in der Leistungsbeschreibung oder den Geschäftsbedingungen seien abweichende Regelungen für bestimmte Leistungen oder Module enthalten).

2.4.        Je nach ausgewähltem Paket kann die Anzahl der verfügbaren Buchungszeilen begrenzt sein, die sich über die Software registrieren lassen („Transaktionen“). Überzählige Transaktionen, die über die zulässige Gesamtzahl des Pakets hinausgehen, werden gegebenenfalls extra abgerechnet und dafür gelten die auf der Website angegebenen Tarife.

2.5.        Mit dem Wirksamwerden der Vereinbarung gewährt Reviso dem zustimmenden Kunden eine nicht exklusive, nicht übertragbare und zeitlich für die Dauer der Vereinbarung bzw. der jeweiligen Subskriptionen zur Benutzung der Software, beschränkt auf die aktivierten Module und für eine unbestimmte Zahl von Benutzern (die „Lizenz“), unbeschadet des Rechts des Kunden, die Software darüber hinaus als SaaS anhand der Zugangsinformationen zu benutzen, die ihm Reviso oder der Reviso-Vertriebspartner zur Verfügung stellt.

2.6.        Ungeachtet des erworbenen Pakets ist der Kunde unter Umständen berechtigt, das gewählte Paket kostenlos zu testen, wobei die Dauer der Probezeit auf der Website angegeben ist („kostenlose Probezeit“). Wenn der Kunde die Software nach Ablauf der kostenlosen Probezeit weiter zu nutzen wünscht, muss er die Aktivierung eines Pakets gemäß den Bedingungen aus dem vorangegangenen Paragraphen 2.2 beantragen.

2.7.        Die Software ist mit spezifischen Anwenderschnittstellen ausgestattet. Diese API ermöglichen den Austausch von Daten und Informationen zwischen der Software und Anwendungen Dritter („angebundene Software“). Unbeschadet der in Artikel 14 ausgeführten Beschränkungen der Haftung Revisos haften Reviso und die Unternehmen der Reviso Group im gesetzlich zulässigen Umfang nicht für direkte oder indirekte Schäden oder Verluste egal welcher Art oder welchen Ausmaßes, die dem Kunden oder Dritten durch ein Versagen der Software oder eine unkorrekte Datenverarbeitung entstehen können, die zurückzuführen sind auf (i) Fehler oder Fehlfunktionen der jeweiligen angebundenen Software während der Verarbeitung oder Übertragung von Daten und Informationen, oder (ii) auf eine unsachgemäße Verwendung der API durch den Kunden.

2.8.        Der Kunde kann anhand einer speziell entwickelten Softwarefunktion solchen Dritten, die wiederum selbst Benutzer der Software sind („befugte dritte Parteien“) – also unter anderem Personen, die im Register für Buchhalter und Buchhaltungsexperten eingetragen sind –, den Zugriff auf das Profil des Kunden gestatten, damit sie dort gespeicherte Daten und Dokumente suchen können oder um die Software im Auftrag des Kunden zu benutzen. Der Kunde bestätigt und erklärt, dass ausschließlich er haftbar ist für die Genehmigungen, die er befugten dritten Parteien gewährt, damit sie die Software im Auftrag des Kunden benutzen können. Deshalb gilt unbeschadet der in Artikel 14 ausgeführten Beschränkungen der Haftung Revisos im gesetzlich zulässigen Umfang, dass Reviso und die Unternehmen der Reviso Group nicht für direkte oder indirekte Schäden oder Verluste egal welcher Art oder welchen Ausmaßes haften, die dem Kunden oder Dritten durch die Benutzung oder Nichtbenutzung der Software durch befugte dritte Parteien entstehen können, die nicht gemäß den Regelungen der Vereinbarung, den geltenden Gesetze oder den Anweisungen des Kunden erfolgen.

2.9.        Unbeschadet der Regelungen aus Paragraph 2.5 gilt, dass Reviso gegen die Zahlung eventueller zusätzlicher Gebühren, die individuell in der Subskription aufgeführt oder getrennt in schriftlichen Vereinbarungen festgelegt werden können, die Bereitstellung der in der Subskription aufgeführten Clouddienste leistet, und zwar auch zu deren Nutzung durch abhängige Unternehmen gemäß der entsprechenden Unterlizenz für die Benutzung der Software, die der Kunde dem betreffenden abhängigen Unternehmen gewährt („Unterlizenz“). Jedes abhängige Unternehmen ist zur Nutzung der Clouddienste ausschließlich durch den Zugriff auf das betreffende Softwareprodukt und seine Nutzung im SaaS-Modus berechtigt.

3.           Verpflichtungen des Kunden

3.1.        Gemäß vorliegender Vereinbarung verpflichtet sich der Kunde zu Folgendem:

(a)          Zur Zahlung der gemäß Artikel 7zu entrichtenden Gebühren an Reviso oder, falls in der Subskription entsprechend angegeben, an den Reviso-Vertriebspartner;

(b)          Er besorgt sich bei externen Anbietern die erforderliche Hardware und Software sowie die Konnektivität für den Zugriff auf das Rechenzentrum und die Benutzung der Softwareprodukte, um die Clouddienste nutzen zu können;

(c)          Er muss eigenständig die Funktionen seines eigenen Computersystems und der Konnektivität anpassen, falls an den Softwareprodukten oder Clouddiensten Änderungen oder Korrekturen vorgenommen bzw. Nachfolgeversionen eingeführt werden, nachdem vorliegende Vereinbarung in Kraft tritt;

(d)          Zur Benutzung der Softwareprodukte bzw. Clouddienste gemäß der erteilten Lizenz und ausschließlich zu den vorgesehenen Zwecken;

(e)          Er muss Reviso alle erforderlichen Informationen zur Verfügung stellen, damit Reviso seinerseits alle seine Verpflichtungen aus vorliegender Vereinbarung korrekt und vollständig erfüllen kann, wozu auch gehört, Reviso unverzüglich über jegliche relevanten Veränderungen zu informieren, was auch Veränderungen des Unternehmens des Benutzers oder seiner abhängigen Unternehmen umfasst;

(f)           Er muss dafür sorgen, dass jeder Anwender vorliegende Regelungen zur Kenntnis nimmt;

(g)          Er muss dafür sorgen, dass jedes abhängige Unternehmen vorliegende Regelungen zur Kenntnis nimmt und ihnen zustimmt.

3.2.        Der Kunde muss gewährleisten, dass die Software auf keinerlei Art und Weise benutzt wird, die sich negativ auf den guten Namen, die Reputation bzw. den Geschäftswert von Reviso auswirken kann oder die gegen geltende Gesetze oder Vorschriften verstößt.

3.3.        Unbeschadet der Bestimmungen im Paragraph 2.8, ist nur der Kunde dazu berechtigt, die Software zu benutzen, und die Software darf nicht für oder im Auftrag Dritter bzw. zur Verarbeitung von Daten oder zum Erbringen von Leistungen für andere Parteien als den Kunden verwendet werden; hiervon bleiben etwaige Benutzungsrechte der Software durch andere Personen als den Kunden gemäß dieser Vereinbarung unberührt. Der Kunde stimmt zu, dass er in vollem Umfang verantwortlich und haftbar ist für Dritte (einschließlich Benutzer und abhängige Unternehmen), denen der Kunde Zugriff auf die Software gewährt oder welche die Anmeldedaten des Kunden verwenden.

4.           Zugangsinformationen

4.1.        Der Kunde sowie jeder Anwender und jedes abhängige Unternehmen greifen auf die Software und die Clouddienste nach deren Aktivierung anhand der Zugangsinformationen zu, die ihnen Reviso oder ein Unternehmen der Reviso Group zur Verfügung stellt.

4.2.        Der Kunde ist sich dessen bewusst, dass in andere Personen in dem Fall, dass ihnen die Zugangsinformationen bekannt werden, auf die Software zugreifen und die Clouddienste ohne seine Genehmigung nutzen können, und dass diese Personen darüber hinaus unbefugt auf die hier gespeicherten Informationen zugreifen können. Ausschließlich der Kunde ist haftbar für jedwede (befugte oder unbefugte) Verwendung der Software anhand seiner Zugangsinformationen.

4.3.        Der Kunden muss die Zugangsinformationen streng vertraulich behandeln, sorgsam aufbewahren und dafür sorgen, dass jeder Benutzer und jedes abhängige Unternehmen dies ebenso tut, und hiermit verpflichtet sich der Kunde dazu, die Zugangsinformationen nicht weiterzugeben und Dritten deren Verwendung nicht zu gestatten, es sei denn, die betreffenden Dritten seien ausdrücklich dazu befugt, diese Zugangsinformationen zu erhalten und zu benutzen.

4.4.        Reviso oder seine Partner sind unter keinen Umständen haftbar ist für irgendwelche direkten oder indirekten Schäden, Neben- oder Folgeschäden, die den Kunden, einen Benutzer oder Dritte entstehen und die auf einen Verstoß des Kunden oder eines seiner Benutzer gegen die Regelungen in vorliegendem Artikel 4 zurückgehen.

5.           Kundendienst

5.1.        Reviso stellt dem Kunden gegen die pünktliche Bezahlung der Gebühren gemäß den auf der Website dargelegten Arbeitszeiten und sonstigen Regelungen seinen Kundendienst zur Verfügung.

5.2.        Dem Kunden ist bewusst und er bestätigt, dass der Kundendienst ausschließlich online aus der Entfernung erbracht wird, und es wird ausdrücklich vereinbart, dass keine direkten Eingriffe in die Computersysteme des Kunden oder seiner abhängigen Unternehmen vorgenommen werden.

6.           Updates und Upgrades

6.1.        Dem Kunden ist bewusst und er stimmt zu, dass Reviso, wenn es das Unternehmen nach eigenem Ermessen für erforderlich hält, Updates und Upgrades vornehmen kann, die (i) sich auf bestimmte Funktionen der Softwareprodukte auswirken oder solche entfernen können oder (ii) Softwareprodukte bzw. die betreffenden Clouddienste ganz oder teilweise ersetzen oder auslagern können.

6.2.        Der Kunde stellt Reviso im Zusammenhang mit eventuellen Schäden aufgrund von vorgenommenen Updates oder Upgrades von jeglicher Haftung frei, ausgenommen im Fall grober Fahrlässigkeit oder vorsätzlichen Fehlverhaltens seitens Revisos.

6.3.        Updates und Upgrades bezieht sich nicht auf solche Aktualisierungen, Zusätze, Anpassungen, neue Versionen, Verbesserungen oder generell solche Änderungen, die nach Revisos alleinigem Ermessen aufgrund von Änderungen, Erweiterungen, Aufhebungen oder der Verabschiedung von Gesetzen, Dekreten, Regelungen, Verordnungen, Anweisungen oder Entscheidungen der EU oder sonstiger Länder notwendig werden, die sich maßgeblich auf den Betrieb, auf die Reviso entstehenden Kosten oder auf die Struktur der Software auswirken, bzw. die substantielle oder strukturelle Änderungen der zum Zeitpunkt des Treffens der Vereinbarung geltenden Gesetzgebung darstellen.

7.           Gebühren

7.1.        Hinsichtlich der Bereitstellung der Clouddienste verpflichtet sich der Kunde zur Zahlung der in der Subskription festgelegten Gebühren an Reviso bzw. gegebenenfalls an den Reviso-Vertriebspartner, und zwar unter Einhaltung der in der Subskription enthaltenen Formalitäten und Bedingungen sowie innerhalb der dort festgelegten Fristen. Falls in der Subskription nicht ausdrücklich Abweichendes bestimmt ist, müssen die Gebühren innerhalb von 8 (acht) Tagen ab Erhalt der offiziellen Rechnung beglichen werden, die Reviso oder, falls in der Subskription entsprechend festgelegt, der Reviso-Vertriebspartner ausstellt.

7.2.        Der erste Rechnungszeitraum beginnt mit dem Subskriptionsdatum und endet mit dem letzten Tag des Kalender-Quartals oder Jahres. Anschließend erfolgt die Rechnungstellung vierteljährlich oder jährlich und im Voraus, es sei denn, in der Subskription oder einer separaten Vereinbarung sei Abweichendes festgelegt.

7.3.        Alle Gebühren werden ohne Umsatzsteuer oder sonstige Abgaben angegeben, die gesetzlich anfallen.

7.4.        Der Kunde bestätigt und akzeptiert, dass die Software und die entsprechenden Clouddienste naturgemäß ständig weiterentwickelt werden, und zwar in technischer wie auch juristischer Hinsicht. Dies geht mit der Notwendigkeit einer kontinuierlichen und kostenintensiven Aktualisierungs- und Entwicklungstätigkeit einher und in bestimmten Fällen kann es notwendig sein, ein Produkt oder einen Dienst zu ersetzen, um Betrieb und Funktionsfähigkeit zu gewährleisten. Dementsprechend hat Reviso das Recht, die Gebühren gemäß den Regelungen im nachfolgenden Artikel gegebenenfalls zu erhöhen. 15.

7.5.        Unbeschadet der Regelungen des vorangehenden Paragraphen 7.4 gilt: Wenn unvorhergesehene Umstände im Verlauf der Vertragslaufzeit Reviso hinsichtlich der Bereitstellung des Clouddienstes eine erhöhte Belastung verursachen, hat Reviso das Recht, eine einmalige Vergütung zu erheben, die der Belastung entsprechend festzulegen ist, oder Reviso kann nach eigenem Ermessen und gemäß den Regelungen aus nachfolgendem Artikel die Gebühren erhöhen. 15.

7.6.        Im Fall eines Zahlungsausfalls oder -verzugs hinsichtlich gemäß vorliegender Vereinbarung fälliger Beträge verliert der Kunde automatisch alle zeitgebundenen Vergünstigungen und die vom Kunden geschuldeten Beträge werden gemäß dem gemäß anwendbarem Recht für Zahlungsverzüge geltenden Zinssatz verzinst. I diesem Fall gilt unbeschadet der Regelungen aus den nachfolgenden Paragraphen 19.1 und 19.2, dass Reviso weiterhin berechtigt ist, (i) die Erfüllung gegebenenfalls bestehender, sonstiger Vereinbarungen mit dem Kunden auszusetzen (einschließlich des Rechts, die Nutzung solcher Software zu unterbinden, die gemäß besagter Vereinbarungen erfolgt, sowie des Rechts, die Verfügbarkeit sonstiger zugehöriger Dienste auszusetzen) und (ii) die betreffenden Vereinbarungen jederzeit zu beenden.

7.7.        Wenn die Gebühren nicht zum Fälligkeitsdatum beglichen werden, erfolgt sieben (7) Tage nach dem Fälligkeitsdatum die Versendung einer ersten Zahlungsaufforderung ohne Verzugsgebühr. Wird die Gebühr weiterhin nicht beglichen, erfolgt nach weiteren sieben Tagen eine zweite Zahlungsaufforderung, für die ein Zuschlag von 7,50 £ erhoben wird.

7.8.        Der Kunde verzichtet hiermit auf jegliches Recht, gegen die in vorliegendem Artikel 7 dargelegten Zahlungsverpflichtungen zu verstoßen, sobald er eventuelle Einsprüche und Rechtfertigungen vorgebracht hat.

7.9.        Der Kunde ist sich dessen bewusst, dass das Vertragsverhältnis zwischen Reviso und dem Reviso-Vertriebspartner während der Laufzeit vorliegender Vereinbarung auslaufen kann, und für diesen Fall stimmt er Folgendem zu:

(a)          Reviso muss den Kunden von der Beendigung des Vertragsverhältnisses zwischen Reviso und dem Reviso-Vertriebspartner in Kenntnis setzen;

(b)          Ab dem Datum des Erhalts der Benachrichtigung gemäß vorangegangenem Absatz (a) ist der Kunde dazu verpflichtet, die Gebühren direkt an Reviso zu entrichten und diesbezüglich die Regelungen und Formalitäten zu beachten, die in besagter Benachrichtigung dargelegt werden;

(c)          Jegliche Vereinbarung zwischen dem Kunden und dem Reviso-Vertriebspartner hinsichtlich der Clouddienste sind vom Reviso-Vertriebspartner unter Beachtung der anwendbaren Gesetze an Reviso zu übertragen;

(d)          Der Kunde gibt hiermit sein Einverständnis zu der im vorangegangenen Absatz (c) behandelten Übertragung.

8.           Vertraulichkeit

8.1.        Mitteilungen oder Offenlegungen und jegliche Art direkter oder indirekter Nutzung über andere Personen/Einrichtungen von Nachrichten, Informationen oder Dokumenten, die von Reviso als „vertraulich“ oder „privat“ klassifiziert und den Parteien im Rahmen der Erfüllung vorliegender Vereinbarung bekannt oder überlassen wurden, sind streng verboten, egal ob es sich um gewerbliche Geheimnisse handelt und unabhängig davon, ob sie die Parteien oder deren Kunden/Zulieferer betreffen, es sei denn, für die betreffende Mitteilung oder Offenlegung gilt einer der folgenden Gründe:

(a)          Sie ausdrücklich notwendig für die Erfüllung vorliegender Vereinbarung

(b)          Sie wurde von der anderen Partei ausdrücklich und schriftlich genehmigt

(c)          Die Parteien sind aufgrund einer gesetzlichen Vorschrift oder Anweisung einer Verwaltungs- bzw. Justizbehörde dazu verpflichtet.

8.2.        Ausgenommen Informationen oder Dokumente gemäß Paragraph 8.1, die gemäß anwendbarer Gesetze generell als geheim gelten, bleibt das in obenstehendem Paragraphen 8.1 formulierte Verbot auch nach Vertragsbeendigung uneingeschränkt in Kraft, egal aus welchem Grund der Vertrag beendigt wurde, und zwar für einen Zeitraum von 3 (drei) Jahren, den die Parteien hiermit als angemessen erklären, es sei denn, die betreffende Information wird ohne Verschulden einer der Parteien öffentlich zugänglich.

9.           Partner

9.1.        Reviso hat das Recht, bei der Erfüllung seiner Verpflichtungen aus vorliegender Vereinbarung nach eigenem Ermessen die technische, organisatorische und geschäftliche Zusammenarbeit mit seinen Partnern zu nutzen und ihnen dazu (vollständig oder teilweise) die Ausführung der in diesen Bedingungen oder in der Subskription aufgeführten Aktivitäten zu übertragen.

10.         Rechte an geistigem Eigentum

10.1.      Alle Rechte an geistigem Eigentum einschließlich der wirtschaftlichen Verwertungsrechte, der Rechte an der Cloud-Infrastruktur, Software, den Clouddiensten, der entsprechenden Dokumentation, den Updates und Upgrades, dem für die Einrichtung erforderlichen Material und den abgeleiteten Arbeiten bleiben vollständig oder im entsprechenden Maß weltweit das exklusive Eigentum Revisos oder derjenigen externen Partei, denen sie gehören, so wie gegebenenfalls in der Subskription oder der technischen Dokumentation angegeben.

10.2.      Der Kunde verpflichtet sich dazu, die Software sowie die Updates und Upgrades strikt nur in dem von der Lizenz (oder der Unterlizenz im Fall von abhängigen Unternehmen) abgedeckten Umfang zu verwenden, und er verpflichtet sich weiterhin, diese Verpflichtung an die Benutzer oder seine abhängigen Unternehmen weiterzugeben. Daher gilt uneingeschränkt und in jedem gesetzlich zulässigen Fall, dass dem Kunden Folgendes untersagt ist:

(a)          Das Umgehen in die Software bzw. in die Updates und Upgrades integrierter, technischer Beschränkungen und technologischer Schutzmaßnahmen, wozu auch das Authentifikationssystem gehört;

(b)          Rückentwicklung, Dekompilieren oder Disassemblieren der Software bzw. der Updates und Upgrades;

(c)          Das Anfertigen von Kopien oder zulassen, dass andere Kopien der Software bzw. der Updates und Upgrades anfertigen;

(d)          Die Software bzw. Updates und Upgrades veröffentlichen oder zulassen, dass andere dies tun;

(e)          Die Verwendung der Software bzw. der Updates und Upgrades außerhalb der Cloud-Infrastruktur;

(f)           Jegliche Art von Vermarktung der Software bzw. der Updates und Upgrades in egal welcher Form;

10.3.      Darüber hinaus bleiben alle Rechte an Handelsmarken, Logos, Namen, Domainnamen und sonstigen Erkennungszeichen, die in irgendeiner Form mit der Cloud-Infrastruktur, der Software, den Updates und Upgrades oder den Clouddiensten in Zusammenhang stehen, Eigentum von Reviso (oder gegebenenfalls ihrer externen Eigentümer gemäß obigem Paragraphen 10.1). Dementsprechend ist des dem Kunden nicht gestattet, solcherlei Rechte in irgendeiner Form zu nutzen, es sei denn, Team System oder ein externer Eigentümer der betreffenden Rechte habe dies vorab schriftlich genehmigt.

11.         Erklärungen und Haftung des Kunden

11.1.      Mit seiner Zustimmung zu vorliegenden Bedingungen erklärt und gewährleistet der Kunde, dass er ordnungsgemäß dazu befugt ist, vorliegende Vereinbarung effektiv und in vollem Umfang zu erfüllen.

11.2.      Der Kunde verpflichtet sich dazu, jeden Benutzer und jedes abhängige Unternehmen einschließlich der entsprechenden Angestellten und Mitarbeiter dazu anzuhalten, die Bestimmungen vorliegender Vereinbarung zu erfüllen. Ausschließlich der Kunde haftet für die Handlungen der genannten Personen und Einrichtungen und er erklärt und gewährleistet hiermit, dass er alle geltenden Regelungen erfüllen wird, einschließlich derer im Bereich Steuern und Zivilrecht.

11.3.      Es ist streng verboten, die Software, Clouddienste oder die Updated und Upgrades zu dem Zweck zu verwenden, Daten, Anwendungen oder elektronischen Dokumente abzulegen, aufzubewahren, zu senden, veröffentlichen übertragen oder zu teilen, die:

(a)          gegen Rechte an geistigem Eigentum Revisos oder Dritter verstoßen;

(b)          diskriminierende, diffamierende oder bedrohende Inhalte bzw. falsche Anschuldigungen enthalten;

(c)          Pornografie, Kinderpornografie, anstößiges Material oder solches Material enthalten, das in irgendeiner Form gegen die öffentliche Moral verstößt;

(d)          Viren, Würmer, Trojaner oder sonstige, infektiöse oder störende Schadsoftware enthalten;

(e)          mit Spamming, Phishing oder vergleichbaren Aktivitäten einhergehen;

(f)           auf irgendeine Art und Weise gegen Bestimmungen geltender Gesetze oder Vorschriften verstoßen.

11.4.      Reviso behält sich das Recht vor, die Bereitstellung der Clouddienste auszusetzen und jedwedem Benutzer oder seinen abhängigen Unternehmen den Zugang zur Software zu verwehren bzw. ihren Zugriff auf die dort gespeicherten Daten zu sperren, falls Reviso ein Verstoß gegen die in vorliegendem Artikel enthaltenen Bestimmungen bekannt wird oder falls eine Justiz- oder Verwaltungsbehörde Reviso auf der Grundlage anwendbarer Bestimmungen ausdrücklich dazu auffordert. Tritt ein solcher Fall ein, muss Reviso den Kunden über die Gründe der Sperrung informieren, unbeschadet des in nachfolgendem Artikel 19 behandelten Rechts, die Vereinbarung zu beenden.

11.5.      Der Kunde bestätigt, dass ihm bewusst ist, dass die Software, die Updates und Upgrades oder die Clouddienste bestimmte Open-Source Softwareprogramme enthalten können, bzw. dass solche Open-Source-Software für deren Benutzung erforderlich sein kann, und der Kunde verpflichtet sich hiermit auch im Namen aller Benutzer und abhängigen Unternehmen dazu, alle für die betreffende Open-Source-Software geltenden Geschäfts- und Nutzungsbedingungen zu erfüllen. Falls notwendig, werden solcherlei Bedingungen dem Kunden von Reviso auf angemessene Art und Weise bekanntgegeben.

12.         Rücknahme und Ersatz

12.1.      Dem Kunden ist bewusst, dass die Software, die Clouddienste sowie deren Systemumgebung naturgemäß einer kontinuierlichen technologischen Entwicklung unterliegen. Das impliziert, dass besagte Software und ihre Systemumgebung obsolet werden können und in bestimmten Fällen kann es angebracht sein, sie vom Markt zu nehmen und gegebenenfalls durch neue technologische Lösungen zu ersetzen. Deshalb kann Reviso während der Laufzeit vorliegender Vereinbarung jederzeit nach eigenem Ermessen entscheiden, die Clouddienste oder die betreffende Software vom Markt zu nehmen (wobei sie in gewissen Fällen durch neue technologische Lösungen ersetzt werden könnten, falls solche bestehen). In diesem Fall gilt:

(a)          Reviso informiert den Kunden mit mindestens sechs Monaten Vorlauf schriftlich (einschließlich E-Mail) über sein Vorhaben, einen oder mehrere Clouddienste bzw. die betreffende Software vom Markt zu nehmen (beides im Weiteren ein „obsoletes Produkt“).

(b)          Die Benachrichtigung gemäß obigem Absatz (a) (die „Rücknahmebenachrichtigung“) muss eine Beschreibung des neuen Clouddienstes oder der Software enthalten (falls vorhanden; nachfolgend das „neue Produkt“), der oder die das obsolete Produkt ersetzen wird. Hiermit wird bestätigt, dass ein solches neues Produkt auf anderen Technologien als das obsolete Produkt beruhen kann.

(c)          Wenn ein solches obsoletes Produkt nicht durch ein neues Produkt ersetzt wird, gilt die Vereinbarung hinsichtlich des obsoleten Produkts als ab dem Datum beendet, das Reviso in der Rücknahmebenachrichtigung hierzu angibt (wobei dieses Datum nicht früher als sechs Monate nach dem Datum der Rücknahmebenachrichtigung liegen darf und auf den Letzten des betreffenden Monats fallen muss). Ab diesem Datum wird das obsolete Produkt nicht länger zur Verfügung gestellt und der Kunde hat gegebenenfalls Anrecht auf eine anteilsmäßige Rückerstattung seiner für den Zeitraum gezahlten Gebühren, in dem der Kunde das obsolete Produkt nicht mehr nutzen kann.

(d)          Wenn ein solches obsoletes Produkt hingegen durch ein neues Produkt ersetzt wird, ist der Kunde berechtigt, seine Zustimmung zur Vereinbarung innerhalb von 15 Tagen ab dem Datum der Rücknahmebenachrichtigung zurückzuziehen, jedoch ausschließlich in Bezug auf das obsolete Produkt, wobei die Beendigung zum letzten Tag der sechsmonatigen Frist ab dem Datum der Rücknahmebenachrichtigung wirksam wird (dem Datum also, ab dem das obsolete Produkt nicht mehr zur Verfügung gestellt wird). Zieht er sich nicht zurück, bleibt die Vereinbarung (für die ausdrücklich in der Rücknahmebenachrichtigung genannten Produkte) bezüglich des neuen Produkts wirksam und dementsprechend beziehen sich alle Bezugnahmen auf das obsolete Produkt nachfolgend auf das neue Produkt.

13.         Haftungsfreistellung

13.1.      Der Kunde verpflichtet sich, Reviso schad- und klaglos zu halten bezüglich jedweder Schäden, Forderungen, Haftungsverpflichtungen oder Ansprüche direkter oder indirekter Art, Neben- oder Folgeschäden einschließlich angefallener oder Reviso auferlegter Gerichts- und Rechtsschutzkosten in angemessener Höhe, wenn solche auf einen Verstoß des Kunden oder eines seiner Benutzer bzw. abhängigen Unternehmen gegen eine Verpflichtung aus vorliegender Vereinbarung zurückzuführen sind, und dies betrifft insbesondere die Verpflichtungen aus den Artikeln 1.3 (Zustimmung zu den Bedingungen); 3 (Verpflichtungen des Kunden), 4 (Zugangsinformationen), 8 (Vertraulichkeit), 10 (Rechte an geistigem Eigentum), 11 (Erklärungen und Haftung des Kunden), 12 (Rücknahme und Ersatz) und Artikel 23 (Übertragung der Vereinbarung).

14.         Haftung Revisos

14.1.      Reviso macht zu den Clouddiensten, der Software oder den Updates und Upgrades keine Aussagen und gewährleistet weder explizit noch implizit deren Eignung für die spezifischen Anforderungen des Kunden, ihre Fehlerfreiheit oder die Verfügbarkeit irgendwelcher Funktionen, es sei denn, eine solche Aussage oder Gewährleistung sei ausdrücklich in den technischen Angaben oder der sonstigen, maßgeblichen Dokumentation enthalten.

14.2.      Reviso ist weder direkt noch indirekt haftbar für Neben- oder Folgeschäden egal welcher Art und Schwere, die dem Kunden, einem seiner Benutzer bzw. abhängigen Unternehmen oder Dritten durch die Benutzung der Clouddienste, des Softwareprodukts oder der Updates und Upgrades entstehen, wenn diese nicht den Regelungen vorliegender Vereinbarung oder den geltenden gesetzlichen Bestimmungen entsprechen.

14.3.      Reviso ist nicht haftbar für Fehlfunktionen oder eine Nichtverfügbarkeit der Clouddienste, Software oder Updates und Upgrades, die darauf zurückzuführen sind, dass die Konnektivität nicht auf deren technische Eigenschaften abgestimmt ist.

14.4.      Reviso ist weder direkt noch indirekt haftbar für Schäden oder Verluste egal welcher Art und Schwere, die durch die Verarbeitung von Daten durch die Benutzung der Clouddienste, des Softwareprodukts oder der Updates und Upgrades durch den Kunden, einen seiner Benutzer bzw. eines seiner abhängigen Unternehmen entstehen, denen es zu jedem Zeitpunkt obliegt zu prüfen, dass die von ihnen vorgenommene Datenverarbeitung korrekt vorgenommen wird.

14.5.      Es sei denn, dies sei durch eine gesetzliche Bestimmung oder eine gerichtliche Anweisung vorgegeben, ist Reviso nicht dazu verpflichtet, auf irgendeine Art und Weise die Daten und Inhalte zu prüfen, die vom Kunden, einem seiner Benutzer oder ein von ihm abhängiges Unternehmen über die Clouddienste in die Cloud-Infrastruktur eingegeben werden. Dementsprechend ist Reviso nicht haftbar für direkte oder indirekte Neben- oder Folgeschäden bzw. Verluste irgendwelcher Art, die auf fehlerhafte oder fehlende Daten und Inhalte zurückzuführen sind oder die sich aus der Natur des Systems und seiner Funktionen ergeben.

14.6.      Im gesetzlich maximal zulässigen Umfang ist Reviso unter keinen Umständen haftbar für direkte oder indirekte Neben- oder Folgeschäden, Kosten, Verluste oder Ausgaben, die dem Kunden oder Dritten infolge von Cyberangriffen, Hackeraktivitäten oder in allgemeinerem Sinn durch den illegalen oder unbefugten Zugriff Dritter auf das Rechenzentrum, die Cloud-Infrastruktur, die Software und generell die Computersysteme des Kunden oder Revisos entstehen, wenn sich daraus eine der nachfolgend genannten Situationen ergibt: (i) Die Clouddienste sind nicht nutzbar; (ii) Verlust von Daten, die dem Kunden gehören oder ihm verfügbar sein sollten; (iii) Schäden an Hardware- oder Software-Systemen oder Beeinträchtigung der Konnektivität des Kunden.

14.7.      Unter keinen Umständen außer im Fall vorsätzlichen Fehlverhaltens oder grober Fahrlässigkeit übersteigt die maximale Haftung Revisos den Betrag der in demjenigen Jahr vom Kunden im Rahmen vorliegender Vereinbarung gezahlten Gebühren, in welchem die betreffende Haftungsverpflichtung entstanden ist. Reviso ist nicht haftbar für Schäden durch Gewinneinbußen, Umsatzeinbußen oder indirekte Schäden, den Verlust oder die Beschädigung von Daten, Produktionsausfälle, verlorene Geschäftsmöglichkeiten oder den Verlust sonstiger Vorteile oder Gewinne sowie für Schäden durch auferlegte Bußgelder, Verspätungen oder sonstige Haftungsverpflichtungen des Kunden oder der von ihm abhängigen Unternehmen gegenüber Dritten.

14.8.      Nichts in dieser Vereinbarung schließt die Haftung einer Partei für Betrug, betrügerische Falschdarstellung oder Tod oder Körperverletzung aus, die durch ihre Fahrlässigkeit verursacht wurden.

15.         Revisos Recht, Veränderungen an der Vereinbarung vorzunehmen

15.1.      Mit Blick auf die hohe technische und regulatorische Komplexität des Betätigungsfeldes Revisos sowie der in diesem Bereich angebotenen Produkte und Dienste und weiterhin unter Berücksichtigung der Tatsache, dass sich dieses Feld in technologischer und regulatorischer Hinsicht auch aufgrund der sich ständig wandelnden Marktanforderungen kontinuierlich weiterentwickelt, und schließlich unter Berücksichtigung der Tatsache, dass Reviso aus den genannten Gründen seine eigene Organisationsstruktur sowie die technische und funktionale Struktur seiner Produkte und Dienste immer wieder anpassen muss (auch im Interesse des Kunden), bestätigt und akzeptiert der Kunde hiermit, dass diese Vereinbarung von Reviso jederzeit nach vorheriger schriftlicher Benachrichtigung des Kunden geändert werden kann (wobei die Benachrichtigung auch per E-Mail oder über Softwareprogramme erfolgen kann). Es sind unter anderem folgende Änderungen möglich: (i) Änderungen bezüglich der Anpassung der technischen und funktionalen Struktur der Produkte und Dienste Revisos; (ii) Änderungen im Zusammenhang mit Veränderungen in Revisos Organisationsstruktur; (iii) Änderungen bezüglich der vom Kunden zu entrichtenden Gebühren aufgrund von Anpassungen und Veränderungen gemäß den vorangegangenen Punkten (i) und (ii).

15.2.      In einem solchen Fall ist der Kunde dazu berechtigt, seine Zustimmung zur Vereinbarung schriftlich per Einschreiben innerhalb von 15 Tagen ab Erhalt der Benachrichtigung Revisos zurückzuziehen, die im vorangegangenen Paragraphen behandelt wurde.

15.3.      Wenn der Kunde von seinem Rücktrittsrecht nicht unter Beachtung der zuvor genannten Formalitäten Gebrauch macht, wird davon ausgegangen, dass der Kunde die Änderungen an der Vereinbarung zur Kenntnis genommen und ihnen zugestimmt hat, so dass diese nun in Kraft treten und verbindlich gelten.

16.         Unterbrechung und Stornierung

16.1.      Reviso unternimmt alle angemessenen Anstrengungen, um die weitestmögliche Verfügbarkeit der Clouddienste zu gewährleisten. Der Kunde bestätigt jedoch, dass Reviso dazu berechtigt ist, die Clouddienste nach schriftlicher Benachrichtigung des Kunden zu unterbrechen oder zu stornieren, falls dies für normale oder außerordentliche Wartungsarbeiten am Rechenzentrum, der Cloud-Infrastruktur oder der Softwareprodukte notwendig sein sollte. In solchen Fällen verpflichtet sich Reviso dazu, die Verfügbarkeit des Clouddienstes so schnell wie möglich wiederherzustellen.

16.2.      Darüber behält sich Reviso unbeschadet der Regelungen der Paragraphen 11.4 und 19.2 das Recht vor, die Clouddienste in folgenden Fällen zu unterbrechen oder zu stornieren:

(a)          Vollständiger oder teilweiser Zahlungsausfall;

(b)          Sicherheits- oder Vertraulichkeitsgründe; oder

(c)          Der Kunde bzw. ein Benutzer oder ein abhängiges Unternehmen hat gegen die gesetzlichen Vorschriften zur Nutzung von Computerdiensten und des Internets verstoßen;

(d)          Störungen, die das Rechenzentrum, die Cloud-Infrastruktur oder die Software beeinträchtigen und die nur behoben werden können, wenn der Zugang zu ihnen gesperrt wird oder wenn sie ganz oder teilweise ersetzt bzw. umgestellt werden, in welchem Fall der Kunde vorab schriftlich über die Gründe der Sperrung und der voraussichtlich für das Abstellen der Störung erforderlichen Zeit zu informieren ist.

17.         Laufzeit

17.1.      Wenn in der Subskription nichts Abweichendes vereinbart ist, beträgt die Laufzeit der Vereinbarung 365 (dreihundertfünfundsechzig) Tage ab der Unterzeichnung der Subskription und sie wird automatisch für jeweils den gleichen Zeitraum verlängert, sofern der Kunde die Vereinbarung nicht per schriftlicher Mitteilung an Reviso oder gegebenenfalls den Reviso-Vertriebspartner kündigt, was anhand der entsprechenden Softwarefunktion oder andernfalls und falls nichts Abweichendes vereinbart wurde per Einschreiben und vor Ablauf des laufenden Vertragszeitaums erfolgen muss. Besagte Mitteilung setzt die Verlängerung der Vereinbarung mit Wirkung ab dem ersten Ablaufdatum nach erfolgter Mitteilung aus, unbeschadet der Verpflichtung zur Zahlung der Gebühren für den Zeitraum zwischen erfolgter Kündigungsmitteilung und dem Ablaufdatum der Vereinbarung.

18.         Kündigung

18.1.      Nach Erwerb der Subskription haben Neukunden das Recht, die Subskription innerhalb von 14 Tagen kostenlos zu stornieren.

18.2.      Reviso hat das Recht, von dieser Vereinbarung jederzeit per schriftlicher Benachrichtigung des Kunden mit einem Vorlauf von mindestens 6 (sechs) Monaten vor dem Wirksamwerden der Kündigung zurückzutreten.

18.3.      Sollte Reviso von seinem Kündigungsrecht aus einem anderen als den in untenstehendem Paragraph 18.4 genannten Gründe Gebrauch machen, hat der Kunde Anrecht auf die anteilsmäßige Rückerstattung der für die nicht genutzte Zeit für den Clouddienst bereits gezahlten Gebühren.

18.4.      Reviso behält sich weiterhin das Recht vor, diese Vereinbarung per schriftlicher Mitteilung fristlos zu kündigen, wenn ein Verstoß es Kunden gegen eine seiner Verpflichtungen aus jedwedem sonstigen Vertrag vorliegt, der zwischen demselben Kunden und Reviso (oder einem Unternehmen der Reviso Group bzw.einem Vertragshändler Revisos) besteht, sofern der betreffende Verstoß die Beendigung des betreffenden Vertrags begründet.

19.         Vertragsbeendigung aus triftigen Gründen und Sperrung des Clouddienstes

19.1.      Unbeschadet seines Anrechts auf Entschädigungen für erlittene Schäden ist Reviso zur fristlosen Kündigung vorliegender Vereinbarung per schriftlicher Mitteilung berechtigt, wenn der Kunde, ein abhängiges Unternehmen oder ein Benutzer gegen mindestens eine (oder mehrere) der folgenden Regelungen verstößt: 1.2 (Business-to-Business-Dienst); Artikel 2 (Clouddienste); Artikel 3 (Verpflichtungen des Kunden), Paragraph 4.3 (Zugangsinformationen), 7 (Gebühren), 8 (Vertraulichkeit), 10 (Rechte an geistigem Eigentum), 11 (Erklärungen des Kunden und seine Haftungsverpflichtungen), 12 (Rücknahme und Ersatz), 13 (Haftungsfreistellung) und 23 (Übertragung der Vereinbarung).

19.2.      Unbeschadet der Verpflichtung des Kunden zur Zahlung der Gebühren behält sich Reviso das Recht vor, die Bereitstellung der Clouddienste für den Kunden oder jegliches seiner abhängigen Unternehmen jederzeit auszusetzen, wenn (i) ein Verstoß es Kunden, eines Benutzers oder eines abhängigen Unternehmens gegen eine seiner Verpflichtungen aus Paragraph 19.1 vorliegt (bei nicht erfolgter Zahlung fälliger Gebühren wird der Clouddienst nach der zweiten Zahlungserinnerung gemäß Artikel 7.7gesperrt); oder wenn (ii) ein Verstoß des Kunden gegen eine Verpflichtung aus einem anderen Vertrag vorliegt, der zwischen demselben Kunden und Reviso (oder einem Unternehmen der Reviso Group bzw. einem Vertragshändler Revisos) besteht, sofern der betreffende Verstoß die Beendigung des betreffenden Vertrags begründet. In diesem Fall informiert Reviso den Kunden über seine Absicht, die Bereitstellung der Clouddienste auszusetzen, und fordert den Kunden auf, die Nichterfüllung der entsprechenden Bedingung abzustellen. Dies erfolgt unbeschadet der Verpflichtung des Kunden, die gemäß der Vereinbarung ausstehenden Beträge zu begleichen, selbst wenn die Bereitstellung der Clouddienste ausgesetzt wurde.

20.         Auswirkungen der Beendigung: Rückgaben

20.1.      Bei einer Beendigung der Vereinbarung aus egal welchem Grund stellt Reviso die Bereitstellung der Clouddienste für den Kunden sowie seine Benutzer und abhängigen Unternehmen umgehend und endgültig ein.

20.2.      Unbeschadet der Regelungen aus Paragraph 20.1 kann dem Kunden auf die entsprechende Anfrage hin im Anschluss an die Beendigung der Vereinbarung aus egal welchem Grund gestattet werden, über die Softwarefunktionen eine Kopie seiner eigenen Daten, Dokumente oder Inhalte herunterzuladen.

20.3.      Falls von den Parteien nichts Abweichendes vereinbart wurde, ist Reviso nach Beendigung der Vereinbarung berechtigt, die Kundendaten unwiederbringlich zu löschen.

20.4.      Die folgenden Bestimmungen gelten in jedem Fall unabhängig vom Grund über die Beendigung der Vereinbarung hinaus wirksam: 1 (Anwendungsbereich der Bedingungen), 7(Gebühren), 8 (Vertraulichkeit), 10 (Rechte an geistigem Eigentum), 11 (Erklärungen des Kunden und seine Haftungsverpflichtungen), 12 (Rücknahme und Ersatz), 13 (Haftungsfreistellung), 14 (Revisos Haftungsverpflichtungen), 21 (Benachrichtigungen), 22 (Anwendbares Recht und ausschließlicher Gerichtsstand), 24 (Vollständige Vereinbarung), 25 (Kein Verzicht, keine Geschäftsbeziehung), 26 (Salvatorische Klausel).

21.         Benachrichtigungen

21.1.      Alle Benachrichtigungen, die dem Kunden im Zusammenhang der Vereinbarung zu übermitteln sind, werden per E-Mail an die Adresse gesendet, die der Kunde selbst in der Subskription angegeben hat. Es liegt in der Verantwortung des Kunden, eventuelle Änderungen dieser von ihm für den Erhalt von Mitteilungen angegebenen E-Mail-Adresse mitzuteilen. Der Kunde erkennt an, dass Rechnungen und Zahlungserinnerungen, die per E-Mail an die vom Kunden angegebene E-Mail-Adresse gesendet werden, dann als zugestellt gelten, wenn sie von Reviso gesendet wurden.

22.         Anwendbares Recht und exklusiver Gerichtsstand

22.1.      Die Vereinbarung sowie sämtliche Streitigkeiten aus oder im Zusammenhang mit der Vereinbarung zwischen den Parteien unterliegen italienischem Recht; zwingendes nationales Recht, von dem durch Vereinbarung nicht abgewichen werden kann, bleibt unberührt.

22.2.      Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit der Vereinbarung ist Mailand, Italien, vorausgesetzt die Vertragsparteien sind Kaufleute oder der Kunde hat keinen allgemeinen Gerichtsstand in Deutschland oder in einem anderen EU-Mitgliedsstaat oder hat seinen festen Wohnsitz nach Wirksamwerden dieser Geschäftsbedingungen ins Ausland verlegt oder der Wohnsitz oder gewöhnliche Aufenthaltsort ist im Zeitpunkt der Klageerhebung nicht bekannt.

23.         Übertragung der Vereinbarung

23.1.      Ohne vorherige schriftliche Genehmigung durch Reviso darf der Kunde die Vereinbarung weder ganz noch teilweise übertragen.

23.2.      Der Kunde akzeptiert hiermit, dass in dem Fall, dass ein Reviso-Vertriebspartner aus egal welchem Grund aufhört, autorisierter Vertriebspartner Revisos zu sein, dieser Reviso-Vertriebspartner jedwede Vereinbarung im Zusammenhang mit der Bereitstellung der Clouddienste zwischen dem Kunden und dem betreffenden Reviso-Vertriebspartner an Reviso oder einen anderen, von Reviso beauftragten Reviso-Vertriebspartner übertragen kann.

24.         Vollständige Vereinbarung

24.1.      Falls vorherige Vereinbarungen oder Abmachungen zwischen den Parteien zum Gegenstand vorliegender Vereinbarung bestehen, gelten diese hiermit als aufgehoben und außer Kraft gesetzt, und sie gelten als hier enthalten und durch die Klauseln vorliegender Vereinbarung ersetzt.

25.         Kein Verzicht, keine Geschäftsbeziehung

25.1.      Falls eine der Parteien eines oder mehrere Rechte aus vorliegender Vereinbarung nicht durchsetzt oder in Anspruch nimmt, gilt dies nicht als Verzicht auf das betreffende Recht und dementsprechend ist die betreffende Partei dazu berechtig, das betreffende Recht zu jedwedem andere Zeitpunkt uneingeschränkt zu beanspruchen.

25.2.      Nichts in vorliegender Vereinbarung ist so auszulegen, als begründe es eine Partnerschaft, ein Joint Venture, ein Anstellungsverhältnis oder ein vergleichbares Vertragsverhältnis zwischen den Parteien, die Vereinbarung begründet keinerlei Befugnis, die in ihr nicht ausdrücklich ausgeführt ist, und sie begründet weiterhin keinerlei Agenturverhältnis zwischen den Parteien.

26.         Salvatorische Klausel

26.1.      Sollte eine Regelung dieser Bedingungen ungültig oder undurchsetzbar sein oder werden, beeinträchtigt dies nicht die Gültigkeit und Durchsetzbarkeit der weiteren Regelungen, die weder gesetzlich noch praktisch von einer der erstgenannten Regelungen abhängig sind.

27.         Verarbeitung personenbezogener Daten

27.1.      Die Parteien bestätigen und akzeptieren hiermit, dass die Erfüllung vorliegender Vereinbarung und die Bereitstellung der Clouddienste mit der Erhebung und Verarbeitung personenbezogener Daten des Kunden (oder Dritter, die mit dem Kunden in Verbindung stehen, etwa Agenten, Rechtsvertreter usw.) durch Reviso zu den Zwecken einhergehen kann, die für die Erfüllung der Vereinbarung erforderlich sind, was unter Beachtung der Datenschutzgesetze sowie ggf. jeglicher sonstigen, anwendbaren gesetzlichen Bestimmungen zu erfolgen hat. Reviso verpflichtet sich in seiner Funktion als Datenverantwortlicher dazu, diese Daten gemäß der Informationsmitteilung zu verarbeiten, die Reviso gemäß Artikel 13 der DSGVO herausgegeben hat und die auf der Website des Unternehmens verfügbar ist.

27.2.      Dessen ungeachtet vereinbaren die Parteien hiermit, dass Reviso grundsätzlich dazu befugt ist, diejenigen Daten zusammengefasst und anonymisiert zu verarbeiten, die Reviso bezüglich der Nutzung der Clouddienste durch den Kunden verfügbar werden, und zwar zum Zweck statistischer Untersuchungen, die unter anderem der Verbesserung der Dienste dienen, die gemäß vorliegender Vereinbarung zur Verfügung gestellt werden. 

27.3.      Die Parteien bestätigen hiermit, dass der Kunde im Sinne der DSGVO Datenverantwortlicher bezüglich bestimmter personenbezogener Daten Dritter („personenbezogene Daten Dritter“) ist, die von Reviso zur Bereitstellung der Clouddienste speichert. Bezüglich dieser Daten fungiert Reviso als Datenverarbeiter gemäß Artikel 28 DSGVO („Datenverarbeiter“) und die Parteien vereinbaren, die Regelungen der dieser Vereinbarung beigefügten MDPA zu erfüllen (Anhang A). Sofern der Kunde hingegen seinerseits als Datenverarbeiter für eine externe, als Datenverantwortlicher agierende Partei tätig werden, versichert der Kunde hiermit, dass der betreffende Datenverantwortliche Reviso dazu ermächtigt hat, als beauftragter Datenverarbeiter („beauftragter Datenverarbeiter“) gemäß Abschnitt 28 und 29 der DSGVO zu agieren.

27.4.      Bezüglich der personenbezogenen Daten der dritten Partei bleibt der Kunde uneingeschränkt haftbar für die Erfüllung aller Verpflichtungen gegenüber Dritten gemäß DSGVO und der für den Kunden al Datenverantwortlichen geltenden Datenschutzgesetze. Reviso ist unter keinen Umständen haftbar für die Folgen einer Nichterfüllung der dem Kunden als Datenverantwortlichem obliegenden Verpflichtungen, es sei denn (und nur im entsprechenden Umfang), die Folgen seien zurückzuführen auf einen Verstoß Revisos gegen seine Verpflichtungen als Datenverarbeiter oder einen Verstoß gegen die MDPA.

28.         Gültigkeit

28.1.      Diese Bedingungen treten am 30. November 2020 in Kraft und ersetzen alle zuvor geltenden Geschäftsbedingungen.

---

MASTER DATA PROCESSING AGREEMENT (pursuant to Article 28 of Regulation EU 2016/679)

BETWEEN

This agreement for the protection of personal data is entered into between the Provider, as indicated below, and the client, who accepts the agreement. “Provider” indicates the following entity:

Reviso Deutschland GmbH - Wittestraße 30 K - 13509 Berlin - Germany USt-IdNr.: DE304019640 - Steuernummer: 3756450017

AND

the entity referred to in the Agreement as the client (hereinafter the “Client”)

hereinafter collectively referred to as the “Parties” or individually as the “Party”.

WHEREAS:

a)           The Client has entered into an agreement (or agreements) with the Provider (hereinafter referred to as the “Agreement”).

b)           In this “master data protection agreement” (hereinafter referred to as the “Master Agreement” or “MDPA”) the Parties wish to establish how and upon which conditions the Provider will process personal data in connection with the Agreement and the provision of the Services, as well as its obligations relating to such processing, including the duty of the Provider as a Data Processor under Article 28 of the General Regulation on Data Protection No. 679 of 27 April 2016 (hereinafter “GDPR”).

c)            The specific characteristics of the processing activity in respect to each of the Services are detailed in the “special terms and conditions for the processing of Personal Data” that are available on the website: https://www.reviso.com/gdpr/(hereinafter “DPA - Special Terms”) and are incorporated herein by this reference.

NOW THEREFORE, the Parties hereto agree as follows:

1.           DEFINITIONS AND INTERPRETATION

1.1.        The above recitals are hereby incorporated into this MDPA by this reference. As used in this MDPA the following words and expressions shall have the meanings set forth below:

“Adequacy Decision” means a decision of the European Commission, based on Article 45(3) of the GDPR, assessing that the laws of a certain country ensure an adequate level of protection, as required by the Applicable Data Protection Law.

“Applicable Data Protection Law” means applicable data protection legislation as amended, which includes i.a. the GDPR and any other implementing law and/or regulation (if any) which is effective under the GDPR or otherwise with respect to the protection of Personal Data, including any decision issued by a supervisory authority having jurisdiction in the subject matter  that is and remains binding and effective (including the requirements established in any General Authorizations Issued for the Processing of Sensitive and Judicial Data, to the extent that they are applicable and remain effective and binding after 25 May 2018).

“Data Sub-Processor” means any sub-contractor engaged by the Provider to perform, in full or in part, its contractual obligations and which, during such performance, may be required to collect, access, receive, store, or otherwise process Personal Data.

“E-mail Address” means the e-mail address(es) provided by the Client upon subscription of the Services or communicated via other official means to the Provider, at which the Client wishes to receive communications from the Provider.

“Final User” means the person (if any) benefiting of the Services in the last resort, acting as Data Controller.

“Instructions” means the written instructions given by the Data Controller in this MDPA (including the relevant DPA – Special Terms) and, if any, in the Agreement.

“MDPA Effective Date” means the date when the Client signs or accepts the MDPA or the effective date of the MDPA to which this Agreement is related, whichever is earlier.

“Personal Data Breach” means any breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data occurred on the systems operated by the Provider or however under its control.

“Personal Data” has the meaning construed according to the Applicable Data Protection Law and include, without limitation, all personal data provided, stored, transmitted, received or otherwise processed, or created, by the Client, or by the Final User in relation to the provision of the Services, to the extent that they are processed by the Provider under the Agreement. A list of the categories of Personal Data is included in DPA – Special Terms.

“Personnel of the Provider” means the officers, employees, consultants, and other personnel of the Provider but not the personnel of a Data Sub-Processor.

“Request” means a request lodged by a Data Subject for access, erasure or rectification in relation to his/her Personal Data or for the exercise of another of his/her rights laid down in the GDPR.

“Service(s)” means the service or services contemplated in the Agreements executed from time to time between the Client and the Provider.

“Working Days” means every calendar day other than a Saturday, Sunday and a Bank or Public Holiday in Germany.

1.2.        The words “including” or “included” shall be construed as if they were accompanied by the expression “without limitation” so that any list that follows any of these words will consequently be composed of mere examples and will not be exhaustive.

1.3.        For the purposes of this MDPA, the terms “Data Subject”, “Processing”, “Data Controller”, “Data Processor”, “Transfer” and “Appropriate Technical and Organizational Measures” shall be construed in compliance with the Applicable Data Protection Law.

2.           ROLES OF THE PARTIES

2.1.        The Parties acknowledge and agree that, in relation to the processing of Personal Data, the Provider acts as the Data Processor and, as a general rule, the Client acts as the Data Controller.

2.2.        If the Client is carrying out the processing on behalf of another Data Controller, the same Client may act as a Data Processor. In such event, the Client hereby represents and warrants that all instructions given and activities carried out in relation to the processing of Personal Data, including the appointment of the Provider as a Data Sub-Processor, arising from the execution by the Provider of this MDPA, has been authorized by the relevant Data Controller. The Client shall give evidence to the Provider, upon written request by this latter, of the above.

2.3.        In the processing of Personal Data, either Party undertakes to comply with their obligations under the Applicable Data Protection Law.

3.           PROCESSING OF PERSONAL DATA

3.1.        By entering into this Agreement (and into any incorporated DPA – Special Terms), the Client entrusts the Provider with the processing of Personal Data for the purposes of providing the Services, as better detailed in the Agreement and in the DPA – Special Terms. The DPA – Special Terms are available at a link on the following website: www.reviso.com/gdpr .

3.2.        The Provider may only process Personal Data on behalf of the Client based on its Instructions, unless required to do so by EU law or EU member state law to which the Provider is subject; in such a case, the Provider shall inform the Client of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest. Should the Client make a request for amendments to any initially given Instructions, the Provider will examine the relevant feasibility and will then arrange with the Client how to handle such amendments and the associated costs.

3.3.        The Provider shall immediately inform the Client if, in its opinion, an Instruction infringes Applicable Data Protection Law, and the Provider shall be released from any obligations to perform such unlawful Instructions. In such case, the Client may consider whether amending the Instructions given or addressing the Supervisory Authority to have its requests be declared lawful.

4.           RESTRICTIONS TO THE USE OF PERSONAL DATA

4.1.        While processing Personal Data for the purposes of providing the Services, the Provider undertakes that such processing shall be carried out:

4.1.1.    Only to the extent and with the manners that are necessary to provide the Services, or to properly perform its obligations under the Agreement and this MDPA, or laid down by the law or by a competent supervisory or controlling authority. In this last case, the Provider must inform the Client (unless prevented to do so by the applicable law based on the public interest) by a notice to the E-mail Address.

4.1.2.    In compliance with the Instructions of the Client.

4.2         The Personnel of the Provider having access to, or however carrying out the processing of, Personal Data has been entrusted with such processing based on appropriate authorizations and has also received training as necessary with respect to such processing. In addition, this Personnel is bound to comply with confidentiality obligations and with the Provider’s Code of Ethics and must abide by the policies on confidentiality and personal data protection that have been adopted by the Provider.

5.           PROCESSING ACTIVITIES ENTRUSTED TO THIRD PARTIES

5.1.        As far as concerns the processing activities entrusted to Data Sub-Processors, the Parties agree as follows:

5.1.1.    The Client expressly agrees that the Provider may entrust certain processing operations in relation to Personal Data to other companies belonging to the TeamSystem group and/or to those third parties that are specified in the DPA – Special Terms, provided the requirement in para. 5.1.4.3 is complied with.

5.1.2.    The Client further agrees that the Provider may entrust certain processing operations in relation to Personal Data also to other third parties, according to the requirements specified in the par. 5.1.4.             

5.1.3.    It is noted that the execution of Standard Contractual Clauses (as required by the following Article 7 for the case of transfer of Personal Data abroad) between the Client and a Data Sub-Processor shall be deemed as a consent to engaging that party for the processing activities.

5.1.4.    If the Provider changes or engages Data Sub-Processors for performing specific processing activities in relation to Personal Data under the MPDA, the Provider: 

5.1.4.1. Undertakes to engage exclusively Data Sub-Processors granting implementation of appropriate technical and organizational measures and ensures that the access to Personal Data, and the relevant processing, shall be limited only to that extent that it is necessary for the purposes of providing the sub-delegated services.

5.1.4.2. Shall inform the Client of such changes or engagement, by giving not less than 15 (fifteen) days’ notice prior to the start of the processing activities by the Data Sub-Processor (including details concerning the identity of the concerned third party, its location with –if applicable- specification of the location of the servers for the storage of data, and the entrusted activities) by means of the E-mail Address or such other means as deemed appropriate by the Provider. The Client shall be entitled to terminate from the Agreement within 15 (fifteen) days from receipt of the notice, without prejudice to the obligations of the Client to pay any amounts due at the date of termination of the Agreement.

5.1.4.3. enters into a written agreement with each Data Sub-Processor which imposes the same obligations on the Data Sub-Processor's as are imposed on the Provider under this MDPA. 

5.1.5.    Additional information concerning the list of Data Sub-Processors, the processing activities entrusted to such parties and the place where they are located are available in the DPA – Special Terms relating to the Services activated by the Client.

5.1.6.    The Provider shall remain fully liable to the Client for the performance of the Data Sub-Processor's delegated data protection obligations related to this MDPA.

6.           SECURITY

6.1.        SUPPLIER’S SECURITY MEASURES – When processing Personal Data for the purposes of performing the Services, the Provider undertakes to implement appropriate technical and organizational measures to prevent unlawful or unauthorized processing, accidental or unlawful destruction, damages, accidental loss, alteration and unauthorized disclosure of, or access to, Personal Data, as described in Exhibit 1 to this MDPA (“Security Measures”).

6.1.1.    Exhibit 1 to the MDPA sets forth appropriate measures for the protection of filing systems that are proportionate to the level of risk in relation to Personal Data, in order to ensure the confidentiality, integrity, availability and resilience of the systems and of the Services of the Provider, appropriate measures aimed at enabling restoration of access to Personal Data in a timely manner in the event of a Personal Data Breach, and measures aimed at regularly testing the effectiveness of such measures in the course of time. The Client acknowledges and accepts that, account taken of the state of the art, the costs of implementation and the nature, scope, context and purposes of Personal Data processing, the security procedures and principles that have been adopted by the Provider ensure a level of protection that is appropriate to the risk in relation to Personal Data.

6.1.2.    The Provider may update and amend the Security Measures specified above from time to time, provided that such updating and amendments do not imply a reduction of the overall level of security of the Services. The Client shall be informed of any such update and amendment by notice transmitted to the E-mail Address.

6.1.3.    If the Client requests additional measures for the security, other than Security Measures, the Provider reserves the right to assess the relevant feasibility and may charge additional costs of implementation to the Client.

6.1.4.    The Client acknowledges and accepts that the Provider, account taken of the nature of Personal Data and information that is available to the Provider itself based on the specific provisions established in the relevant DPA – Special Terms, shall assist the Client in ensuring compliance with the obligations set forth in Articles from 32 to 36 of the GDPR, including e.g. by:

6.1.4.1. By implementing and keeping Security Measures updated according to the provisions set forth in previous paragraphs 6.1.1, 6.1.2, 6.1.3.

6.1.4.2. By complying with the obligations specified in paragraph 6.3.

6.1.5.    The Parties hereby agree that, with reference to the Agreements concerning products to be installed on the premises of the Client or of any suppliers of the Client (hereinafter “On-premises Products”), the above Security Measures shall only apply in connection with Services that require the processing of Personal Data by the Provider or by any Data Sub-Processors engaged by this latter (e.g. remote support and assistance, migration services).

6.1.6.    In case that the product admits integration with applications of third parties, the Provider shall not be liable for the implementation of the Security Measures in relation to the components of such third parties or for any product’s operating manner consequent to such integration.

6.2.        CLIENT’S SECURITY MEASURES – Without prejudice to the obligations of the Provider under paragraph 6.1 above, the Client acknowledges and accepts that, when using the Services, it remains an exclusive duty of the Client to have its personnel, and those authorized by the same Client to access the Services, implement appropriate security measures in connection with the use of the Services.

6.2.1.    To this purpose, the Client undertakes to use the Services and the features for the processing of Personal Data by always ensuring a level of security appropriate to actual risk.

6.2.2.    The Client further undertakes to implement all appropriate measures for ensuring the protection of authentication credentials, systems, and devices used by the Client, or by the users of the Final User, to gain access to the Services. The Client also undertakes to save and make backup copies of Personal Data in order to ensure their restoration in compliance with the provisions of the laws.

6.2.3.    The Provider shall have no obligation and shall bear no liability in relation to the protection of Personal Data that the Client, or –if applicable- the Final User, store or transfer outside the systems used by the Provider or by the Data Sub-Processors engaged by the Provider (for instance in paper archives, or in data centres belonging to the Client or the Final User, as it may occur in case of Agreements concerning On-premises Products).

6.3.        DATA BREACHES – Save for the Agreements concerning On-premises Products, to which this paragraph 6.3 shall not apply, the Provider, after having become aware of a Personal Data Breach, shall:

6.3.1.    Inform the Client without undue delay via the E-mail Address.

6.3.2.    Adopt reasonable measures to mitigate any damages possibly arising from it and protect Personal Data.

6.3.3.    Provide the Client with a description of the Personal Data Breach, to the extent possible, including the measures taken to prevent or mitigate its possible adverse effects and the activities recommended by the Provider to the Client in order to address the Personal Data Breach.

6.3.4.    Keep all information concerning Personal Data Breaches, the relevant documents, communications and notices, confidential as provided for in the Agreement and abstain from disclosing any data and information to third parties without the prior written authorization of the Data Controller, save and to the extent that such disclosure may be strictly necessary to perform any Client’s obligations arising from the Applicable Data Protection Law;

6.3.5.           Provide such other information and assistance as are required in relation to Personal Data Breaches by Applicable Data Protection Law.

6.3.6.    In the cases contemplated under previous paragraph 6.3, the Client shall be exclusively liable for the performance, when required by the Applicable Data Protection Law, of any obligations to inform third parties (or the Final User if the Client is the Data Processor) in case of a Personal Data Breach and of any obligations to inform the Supervisory Authority and the Data Subjects (if the Client is the Data Controller).

6.4.        The Parties acknowledge and accept that a communication about a Personal Data Breach or the implementation of measures aimed at addressing such a Personal Data Breach do not imply acknowledgment by the Provider of a default or a liability in relation to the Personal Data Breach.

6.5.        The Client shall timely inform the Provider of any abuse or misuse of the accounts or authentication credentials or of any Personal Data Breaches of which it may have become aware in relation to the Services.

7.           RESTRICTIONS TO THE TRANSFER OF PERSONAL DATA TO COUNTRIES OUTSIDE THE EUROPEAN ECONOMIC AREA (EEA)

7.1.        The Provider shall not transfer Personal Data to countries that are outside the EEA unless the Client gives its consent and Instruction to such a transfer.

7.2.        If the Client gives its consent and Instruction to process Personal Data outside EEA pursuant to para. 7.1, and in the absence of a decision of adequacy by the European Commission on that country pursuant to Article 45 of the GDPR, the Provider:

7.2.1.    Shall make the Data Sub-Processor execute the Standard Contractual Clauses contemplated in the Commission Decision 2010/87/EU of 5 February 2010, for the transfer of personal data to processors established in third countries (“Standard Contractual Clauses”), or equivalent text, as it may be lately amended. A copy of such Standard Contractual Clauses executed by the Provider on behalf of the Client pursuant to para. 7.3 shall be provided to this latter. And/or

7.2.2.    May submit alternative ways to the Client for the transfer of Personal Data that are compliant with the requirements of the Applicable Data Protection Law (e.g.  intragroup transfer if the Data Sub-Processor belongs to a group of companies whose BCRs have been approved in relation to the Processors).

7.3.        In the events under previous paragraph 7.2.1, by execution of this MDPA the Client expressly grants the Provider with the authority to execute Standard Contractual Clauses or others approved by Client pursuant to clause 7.1 or similar to cater for future third country transfers with the Data Sub-Processors mentioned in the relevant DPA – Special Terms. If the Final User acts as a Data Controller, the Client undertakes to inform such Final User of the transfer and hereby represents and warrants that the authorization given by such Final User to engage Data Sub-Processors outside the EEA represents an authority equivalent to that above.

8.           AUDITS AND CONTROLS

8.1.        The Provider shall make available to the Client all information necessary to demonstrate compliance with the obligations laid down in this MDPA. In this context, the Provider shall regularly audit the security of the Personal Data processing systems and environments used by it to perform the Services as well as the premises where the processing is carried out. The Provider may decide to select and entrust certain independent consultants with performing such audits, which shall be made according to international standards and/or best practices and whose outcome shall be described in special reports (“Reports”). The Reports, to be deemed as confidential information of the Provider, may be made available to the Client for allowing verification by this latter of the Provider’s compliance with the security obligations set forth in this MDPA.

8.2.        In the cases contemplated in paragraph 8.1, the Client hereby accepts to exercise its right to verification simply by accessing the Reports made available to it by the Provider.

8.3.        Despite para. 8.2, the Provider acknowledges that the Client is entitled, with the manners and to the extent specified below, to carry out independent audits in order to verify the compliance of the Provider with the obligations of this MDPA and the relevant DPA – Special Terms, and with the provisions of the Applicable Data Protection Law. For performing such auditing activities, the Client may decide to avail of specialized employees or, at its choice, of external consultants provided that these latter shall be previously bound by appropriate confidentiality obligations.

8.4.        In the cases contemplated in paragraph 8.2 above, the Client must address a prior request to the Data Protection Officer (DPO) of the Provider. Upon such a request for an audit or an inspection, the Provider and the Client shall agree, prior to the start of the activities, the details of the verification activities (starting date and duration), the types of controls and the scope of verification, the confidentiality obligations by which the Client and those performing the activities must be bound, and the costs, to be established based on the width and length of the verification activities, which the Provider is entitled to charge for such activities.

8.5.        The Provider is entitled to object, by means of written notice, in the event that the external auditors appointed by the Client, in the exclusive opinion of the Provider, do not meet adequate qualification or independence requirements, are competitors of the Provider, or are clearly unfit. In any such event, the Client must appoint new auditors or directly carry out the audits on its own.

8.6.        The Client undertakes to bear the costs, if any, as they may be determined by the Provider and communicated to the Client according to paragraph 8.4 above, in the manners and within the terms established therein. All costs relating to any verification activities entrusted by the Client to third parties shall remain fully and exclusively at the charge of the Client.

8.7.        All the above is without prejudice to the rights of the Data Controller and of the supervisory authorities as established in the Standard Contractual Clauses executed under previous Article 7 (if any), which shall not be affected by any provisions set forth in this MDPA or in the relevant DPA – Special Terms.

8.8.        This Article 8 shall not apply to the Agreements concerning On-premises Products.

8.9.        Verification activities involving any Data Sub-Processors shall be carried out in compliance with the rules on access and with the security policies established by such Data Sub-Processors.

9.           ASSISTANCE IN ENSURING COMPLIANCE

9.1.        The Provider shall assist the Client and provide cooperation as specified below to enable the Client to comply with its obligations under the Applicable Data Protection Law, including e.g. in relation to responding to Requests pursuant to GDPR Chapter III.

9.2.        In case that the Provider receives a Request or a claim concerning Personal Data from a Data Subject, it shall invite this latter to address the Request or claim to the Client or the Final User (if this latter is the Data Controller). In any such event, the Provider shall timely inform the Client of the reception of the Request via the E-mail Address and provide the same Client with all available information, together with a copy of the Request or claim. This cooperation will be carried out by way of an exception to the general rule that the relationships with the Data Subjects fall outside the scope of the Services and that the responsibility to handle claims (if any) and to serve as a contact for Data Subjects in the exercise of their rights lies exclusively and directly with the Client or with the Final User (if this latter is the Data Controller). The Client, or Final User (if this latter is the Data Controller) shall be exclusively responsible for any response to such Requests or claims (if any).

9.3.        The Provider shall promptly inform the Client, unless it is prohibited by the law to do so, by means of a notice via the E-mail Address, of any inspections or requests to provide information that it receives from any supervisory or police authorities in relation to the processing of Personal Data.

9.4.        If in order to comply with any such Request the Client needs to receive some information from the Provider about the processing of Personal Data, the Provider shall provide assistance to the extent that is reasonably possible, provided that the requests have been filed upon adequate notice.

9.5.        The Provider, account taken of the nature of the Personal Data and of the information available to him, shall give reasonable assistance to the Client in making available useful information to enable the Client to carry out the impact assessments on the protection of Personal Data when so required by the law. In such cases the Provider shall make general information available, based on the Service, such as information included in the Agreement, in this MDPA and in the DPA – Special Terms relating to the concerned Services. In case of requests for customized assistance, the Client may be required to pay a charge. It is the exclusive responsibility of the Client, or the Final User (if this latter is the Data Controller), to carry out the impact assessment based on the characteristics of Personal Data processing performed by the same with respect to the Services.

9.6.        The Provider undertakes to provide the Services based on the principles of minimization of the processing (privacy by design & by default), without prejudice to the fact that it is the responsibility of the Client, or of the Final User (if this latter is the Data Controller), to ensure that the processing is actually carried out in compliance with such principles and to verify that the technical and organizational measures of a Service will meet the compliance requirements of the Client, or if the Final User (if this latter is the Data Controller), including requirements established by the Applicable Data Protection Law.

9.7.        The Client acknowledges and accepts that, in case of a Request by a Data Subject for the portability of Personal Data, and with exclusive reference to the Services generating Personal Data that are relevant in this respect, the Provider shall assist the Client by making available the information needed for retrieval of the required data in a format that is compliant with the Applicable Data Protection Law.

9.8.        Paragraph 9.5 and 9.7 shall not apply with respect to any Agreements concerning On-premises Products.

10.         OBLIGATIONS OF THE CLIENT AND RESTRICTIONS

10.1.      The Client undertakes to give Instructions in compliance with the regulations and to use the Services in compliance with the Applicable Data Protection Law and for the exclusive purpose of processing Personal Data that have been collected in compliance with the Applicable Data Protection Law.

10.2.      The processing of Personal Data (if any) under Article 9 and Article 10 of the GDPR shall be allowed only if expressly established in the DPA – Special Terms. But for such cases, the processing of Personal Data contemplated in the articles mentioned above shall be made exclusively upon prior written agreement between the Parties made in compliance with the provisions of paragraph 3.2.

10.3.      The Client undertakes to fulfil all the obligations placed upon the Data Controller pursuant to the Applicable Data Protection Law (and, in the event that such obligations are placed upon the Final User, it ensures that an equivalent commitment is taken on by such Final User), including the obligations to provide certain information to the Data Subjects (and it ensures that equivalent obligations are placed upon the Final User if this latter is the Data Controller). The Client further undertakes to ensure that the processing of Personal Data by availing of the Services shall always be made upon a suitable legal basis.

10.4.      If the information notice must be given and the consent must be collected by means of the product contemplated in the Agreement, the Client declares to have considered the product and that such product meets the needs of the Client. The Client shall also bear the responsibility to assess whether the forms made available by the Provider (if any) to help the Client in meeting its obligations to inform and to collect the consent (e.g. model privacy policy for Apps or information notices accompanying applications), when made available, complies with the Applicable Data Protection Law and amend such forms if deemed appropriate.

10.5.      The Client shall further bear full and exclusive responsibility for handling the Personal Data in compliance with the Requests (if any) submitted by the Data Subjects and, therefore, to carry out –for instance- any amendments, integration, rectification and erasure of Personal Data.

10.6.      The Client has the duty to keep the account associated with the E-mail Address always active and updated.

10.7.      The Client acknowledges that, according to Article 30 of the GDPR, the Provider has the duty to maintain a record of the processing activities carried out on behalf of the Data Controllers (or Processors) and that for this purpose it collects the identification and contact data of each Data Controller (and/or Processor) on behalf of which it acts and that such information must be made available to the competent authority, upon request. Therefore, whether so requested, the Client undertakes to give the Provider the identification and contact data mentioned above, with the manner specified by the Provider from time to time, and to maintain updated such information through the same means.

10.8.      Therefore, the Client states and declares that the processing of Personal Data, as described in the Agreements, in this MDPA and in the relevant DPA – Special Terms, is lawful.

11.         DURATION

11.1.      This MDPA shall enter into force on the Effective Date of the MDPA and will automatically terminate at the date of return/erasure of all Personal Data by the Provider, as provided for in this MDPA and, if so provided for, in the relevant DPA – Special Terms or the Agreement.

12.         PROVISIONS ON THE RETURN OR ERASURE OF PERSONAL DATA

12.1.      Upon termination, for whatever reasons, of the Service, the Provider will cease the processing of Personal Data and

12.1.1.  Erase Personal Data (including the relevant copies, if any) from the systems of the Provider or that are under the Provider’s control, within the term established in the Agreement, unless retention of such data is required or permitted in order to comply with any provisions of European laws.

12.1.2.  Destroy any Personal Data that may have been stored on paper by the same Provider, unless retention of such data is required in order to comply with any provisions of European laws.

12.1.3.  Keep at the Client's disposal the Personal Data for the extraction for the period of the Contract. If the Contract does not provide for a specific time limit, the Supplier shall keep the Personal Data available to the Client for the period of 60 (sixty) days after the termination of the Contract.

12.2 Unless otherwise provided for in this MDPA, the Client acknowledges that it is allowed, after termination of the Service, to retrieve Personal Data in the manners specified in the Agreement and agrees on its duty to retrieve Personal Data, in full or in part, to the exclusive extent that it deems retention appropriate, and that such retrieval must be completed within the term specified in paragraph 12.1.3.

12.3       The Parties agree that the provisions in paragraphs 12.1 and 0 shall not apply to Agreements concerning On-premises Products. In these cases, the Client has the duty to retrieve those Personal Data that it deems appropriate for storage, not later than 30 (thirty) days after the end of the Agreement. The Client acknowledges and accepts that after expiration of this term Personal Data may become unavailable. Furthermore, in the events considered in this paragraph 0, it is the duty of the Client to take care of the erasure of Personal Data as required by the law.

12.4       The above is without prejudice to what, which may be further or otherwise established with respect to the erasure of Personal Data in the relevant DPA – Special Terms.

13.         LIABILITY

13.1.      Either Party is liable for the fulfilment of the obligations placed upon that Party under this MDPA and the relevant DPA – Special Terms as well as under the Applicable Data Protection Law.

13.2.      Without prejudice to mandatory law provisions, the Provider shall compensate the Client in case of breach of this MDPA and/or of the relevant DPA – Special Terms within the maximum extent agreed upon in the Agreement.

14.         MISCELLANEOUS

14.1.      This MDPA supersedes and replaces any other agreement, contract, or understanding between the Parties with respect to its subject matter as well as any instructions, in any form, given by the Client to the Provider prior to the date of this MDPA with reference to the processing of Personal Data in the framework of performing the Agreement.

14.2.      The Provider may amend this MDPA by means of written notice to be sent to the Client (via e-mail or with the help of computer programs or otherwise). In this event, the Client will be entitled to withdraw from the Agreement by written notice to the Provider to be sent by registered letter with return receipt within 15 days from receipt of the Provider’s notice. Failing exercise by the Client of this right of withdrawal within the terms and in the manners as described above, the amendments to this MDPA shall be deemed as acknowledged and accepted by the Client and will become finally effective and binding on the Parties.

14.3.      In the event of any inconsistency between the provisions of this MDPA and those set forth in the Agreement for the provision of the Services or in any documents of the Client that have not been expressly accepted by the Provider by departing from this MDPA and/or from the respective DPA – Special Terms, the provisions of this MDPA and of the relevant DPA – Special Terms shall prevail.

15.         GOVERNING LAW AND VENUE

15.1       This DPA shall be construed in accordance with the laws of Italy and each party hereby irrevocably submits to the non-exclusive jurisdiction of the courts of Milan (Italy), without application of any conflicts of law provisions.

---

Exhibit 1

Technical and organisational measures

In addition to the security measures set forth in the Agreement and in the MDPA, the following organizational security measures shall be applied by the Data Controller based on the type of Service through which the product is delivered or licensed: 

A –  Cloud SaaS

B –  Iaas Services

C –  BPO (Business Process Outsourcing)

D –  BPI (Business Process Insourcing)

E –  On premises

 

A – CLOUD SaaS

Organizational Security Measures

User Policies and Regulations – The Provider has adopted detailed policies and regulations, which all users having access to information systems must comply with, aimed at granting that users’ behaviour is appropriate to ensure compliance with the principles of confidentiality, availability and integrity of data while using information resources.

Logical access authorization – The Provider defines access profiles based on the least privilege necessary to carry out the assigned duties. The authorization profiles are selected and configured prior to the beginning of the processing and in such a manner that access will be restricted only to those data that are strictly necessary for the processing activities.
The profiles undergo regular audits aimed at assessing whether the requirements to maintain the assigned profiles are still met.

Assistance Interventions – Assistance interventions will be managed with the aim of ensuring that only contractual activities are performed and that any unnecessary processing in relation to Personal Data of the Client or of the Final User is prevented.

Data Protection Impact Assessment (DPIA) – In compliance with Articles 35 and 36 of the GDPR and based on the document “WP248 – Guidelines on Data Protection Impact Assessment”, adopted by the Article 29 Working Party, the Provider has prepared its own methodology for the analysis and assessments of those processing activities that, taking into account the nature, scope, context and purposes of the processing, are likely to result in a high risk for the rights and freedoms of natural persons, in order to be able to carry out an assessment of the impact on the protection of personal data prior to the processing.

Incident Management – The Provider has adopted a specific Incident Management procedure aimed at ensuring restoration of the ordinary service operations at the soonest while ensuring to maintain best service levels.

Data Breach – The Provider has implemented a special procedure, aimed at the management of events and incidents that are likely to have an impact on personal data, which defines the roles and responsibilities, the process for detection of the (suspected or actual) incident/breach, the implementation of remedial actions, the response to, and containment of, such incident/breach as well as the formalities to inform the Client of personal data breaches.

Training: The Provider will periodically offer training courses on proper handling of personal data to members of its personnel that are involved in the processing activities.

Technical Security Measures      

Firewall, IDPS – Personal data shall be protected against the risk of a criminal intrusion by means of Intrusion Detection & Prevention Systems (IDPS), to be kept updated based on the best available technologies.

Security of communication lines – Within the extent of its responsibilities, the Provider shall implement secure communication protocols that are in line with the available technology.

Protection from malware – The systems shall be protected against the risk of an intrusion and of the activity of certain programs by activation of appropriate electronic tools to be periodically updated.

Antivirus features shall be implemented and kept constantly updated.

Authentication Credentials – The systems shall be configured in such a manner that access will be granted exclusively to those provided with authentication credentials allowing unique identification of the user. This include: a code associated to a confidential password that shall only be known by the user, or an authentication device that shall only be held and used by the user, which may, in certain cases, be associated with an ID code or a password.

Password – The use of a password, as far as concerns its basic features, being the obligation to change it at the first access, the minimum length, the absence of elements that may be easily referred to its holder, the rules about its complexity, the expiration, history, assessment of strength in context, display and storage, will comply with the best practices. Users being provided with credentials shall also receive specific instructions concerning the measures that must be adopted to ensure that such credentials remain secret.

Logging – The systems may be configured in such a manner as to track access requests and, where appropriate, other activities that are carried out, in relation to the different types of users (Administrator, Super User, etc.), and shall be protected by appropriate security measures ensuring their integrity.

Backup & Restore – Appropriate measures shall be implemented aimed at ensuring restoration of access to data in case of damages to such data or to electronic tools, within terms that are certain and consistent with the rights of the data subjects.
If so required by any agreement, a continuity operation plan shall be implemented and, where necessary, integrated with the disaster recovery plan. These plans ensure the availability and access to the systems also in the event of serious adverse events that may persist in time.

Vulnerability Assessment & Penetration Test – The Provider shall regularly carry out vulnerability analyses aimed at assessing the level of exposure to known vulnerabilities, in relation to both the infrastructures and the operations framework, taking into account either already operating systems and systems that are under development.
When deemed appropriate, in relation to those potential risks that have been identified, the assessments above are complemented, from time to time, by special Penetration Test technics, simulating unauthorized access in various scenarios of attack, with the aim of controlling the level of security attained by applications/systems/networks by using the identified vulnerabilities to circumvent the physic/logic security mechanisms and gain access to them.
The outcome of such assessments is thoroughly examined in order to detect and implement improvements that are necessary to ensure the high level of security that is required.

System Administrators – All users operating as System Administrators shall be indicated in a list to be regularly updated and the duties assigned to them shall be duly defined in special documents of appointment. The activity performed by System Administrators shall be monitored by means of a log management system allowing to accurately trace all performed activities and to store such data in an immutable manner in order to allow the monitoring also after performance. The behaviour of System Administrators shall be audited to verify compliance with the organizational, technical and security measures in relation to the processing of personal data as required by current regulations.

Data Centre – The physical access to the Data Centre is restricted to authorized persons only.
For further details on the security measures adopted in relation to the data centre services provided by the Data Sub-Processor specified in the DPA – Special Terms please refer to the descriptions of such security measures prepared by the same Data Sub-Processors and made available in the relevant official sites, at the address specified in the following (or at the address that may be made available in the future by the same Data Sub-Processors):

With reference to Data Centre services provided by Amazon Web Services:
https://aws.amazon.com/it/compliance/data-center/controls/

With reference to Data Centre services provided by Microsoft:
https://www.microsoft.com/en-us/trustcenter

 

B – Iaas Services

Organizational Security Measures

Certifications – The Provider has obtained the following certifications/assessments:
ISO/IEC 27001:2013: “Delivery of services for the design and management of ICT infrastructure, management of applications within the Group and management of Cloud infrastructure (IaaS)”.
ISO/IEC 27018:2014 for the protection of personal data in Public Cloud services.

Logical access authorization – The Provider defines access profiles based on the least privilege necessary to carry out the assigned duties. The authorization profiles are selected and configured prior to the beginning of the processing and in such a manner that access will be restricted only to those data that are strictly necessary for the processing activities.
The profiles undergo regular audits aimed at assessing whether the requirements to maintain the assigned profiles are still met.

Users – Users of the services are divided into administrative users of the virtualization infrastructure and administrative users of the console for the management of TeamSystem cloud infrastructure.
The VMs shall be configured in such a manner that access will be granted exclusively to those provided with authentication credentials allowing unique identification of the user.

Security of communication lines – Within the extent of its responsibilities, the Provider shall implement secure communication protocols that are in line with the available technology in relation to the authentication process.

Change Management – The Provider has implemented a specific procedure to regulate the Change Management process in view of the introduction (if any) of technological innovations or in case of modifications (if any) of its basic and organizational structure.

Training: The Provider will periodically offer training courses on proper handling of personal data to members of its personnel that are involved in the processing activities.

Protection from malware – The VMs shall be protected against the risk of an intrusion and of the activity of certain programs by activation of appropriate electronic tools to be periodically updated.
All VMs shall be managed through antivirus features (at both hypervisor and infrastructure level).

Backup & Restore – If so required by any agreement, appropriate measures shall be implemented aimed at ensuring restoration of access to data in case of damages to such data or to electronic tools, within terms that are certain and consistent with the rights of the data subjects.
It remains the responsibility of the Data Controller to decide whether to independently make backup copies during the term of the agreement and for a 60-day period following its termination.

Logging – The systems may be configured in such a manner as to track access requests and, where appropriate, other activities that are carried out, in relation to the different types of users (Administrator, Super User, etc.), and shall be protected by appropriate security measures ensuring their integrity.

Firewall, IDS/IPS – The systems for preventing intrusions, such as Firewall and IDS/IPS shall be placed in the network segment connecting the cloud infrastructure with the internet in order to intercept any malicious activity aimed at debasing, in full or in part, the provision of the service. In the case at issue, the adopted equipment belongs to the type UTM SourceFire (Cisco), which includes both the Firewall and the IDS/IPS component.

Incident Management – The Provider has adopted a specific Incident Management procedure aimed at ensuring restoration of the ordinary service operations at the soonest while ensuring to maintain best service levels.

High Reliability – The Provider ensures high reliability in the following terms:
•             The Server Architecture shall be based on the VMWare virtualization solution and be implemented by creating physical and virtual redundancies of each system, in order to ensure fault-tolerance and removal of single points of failure. In particular, in case of system failure, the virtual environment managing software shall be able to reallocate current activities to other systems (principles of high availability and load balancing), minimizing service inefficiencies and ensuring persistence of existing connections.
•             Each Server is placed on a SAN connected via high-speed iSCSI.
•             All infrastructure components, including servers, security and network equipment, Storage systems and SAN infrastructure, have been duplicated in full, in order to eliminate each single point of failure.
•             The network infrastructure has been designed to protect front-end systems from the Internet and from internal networks using a DMZ shielded by means of two-layer separate firewalls (Defence-in-Depth strategy): a boundary firewall connected to the Internet and a second firewall, including Intrusion Prevention and antimalware features and belonging to the organization, setup to protect the DMZ and backend systems.

Data centre – The virtualization environment (including the SAN – Storage Area Network) is placed on servers that are hosted in a data centre located in Italy and managed by a certified ISO 27001 provider. In particular, the following security measures shall be implemented to protect the Data Centre:
Exterior perimeter security:
•             External fence marking the boundary of the property not lower than 3 meters’ height, equipped with passive anti climb protection
•             Monitoring of external areas by means of infrared barriers and/or video analysis systems and by video surveillance with recording systems
•             Restricted/individual pedestrian access
•             Restricted vehicle access
•             Armed patrols
Interior perimeter security:
•             Surveillance room for the control of internal and external areas, supervision
•             Use of alarms, management of visitors by delivering badges according to company policies and to specific regulations for data centres
•             Reception desk for entry control
•             Three-arm turnstiles placed opposite to the surveillance room and reception desk
High security inner perimeter:
•             Interlocked access to system rooms equipped with passive protection
•             Entry control system based on lists of “AUTHORIZED” people
•             Magnetic sensors detecting the state of doors
•             Emergency exits with sensors detecting the state of door
All alarms are remotely linked to the surveillance room.

             

C – BUSINESS PROCESS OUTSOURCING (BPO)

Organizational Security Measures

Certifications – The Provider has obtained the following certifications/assessments:
ISO/IEC 27001:2013: “Delivery of services for the design and management of ICT infrastructure, management of applications within the Group and management of Cloud infrastructure (IaaS)”.
ISO/IEC 27018:2014 for the protection of personal data in Public Cloud services.

User Policies and Regulations – The Provider has adopted detailed policies and regulations, which all users having access to information systems must comply with, aimed at granting that users’ behaviour is appropriate to ensure compliance with the principles of confidentiality, availability and integrity of data while using information resources.

Logical access authorization – The Provider defines access profiles based on the least privilege necessary to carry out the assigned duties. The authorization profiles are selected and configured prior to the beginning of the processing and in such a manner that access will be restricted only to those data that are strictly necessary for the processing activities.
The profiles undergo regular audits aimed at assessing whether the requirements to maintain the assigned profiles are still met.

Assistance interventions – The Provider shall manage assistance interventions with the aim of ensuring that only contractual activities are performed and that any unnecessary processing in relation to Personal Data of the Client or of the Final User is prevented.

Change Management – The Provider has implemented a specific procedure to regulate the Change Management process in view of the introduction (if any) of technological innovations or in case of modifications (if any) of its basic and organizational structure.

Data Protection Impact Assessment (DPIA) – In compliance with Articles 35 and 36 of the GDPR and based on the document “WP248 – Guidelines on Data Protection Impact Assessment”, adopted by the Article 29 Working Party, the Provider has prepared its own methodology for the analysis and assessments of those processing activities that, taking into account the nature, scope, context and purposes of the processing, are likely to result in a high risk for the rights and freedoms of natural persons, in order to be able to carry out an assessment of the impact on the protection of personal data prior to the processing.

Incident Management – The Provider has adopted a specific Incident Management procedure aimed at ensuring restoration of the ordinary service operations at the soonest while ensuring to maintain best service levels.

Data Breach – The Provider has implemented a special procedure, aimed at the management of events and incidents that are likely to have an impact on personal data, which defines the roles and responsibilities, the process for detection of the (suspected or actual) incident/breach, the implementation of remedial actions, the response to, and containment of, such incident/breach as well as the formalities to inform the Client of personal data breaches.

Training: The Provider will periodically offer training courses on proper handling of personal data to members of its personnel that are involved in the processing activities.

Technical Security Measures

High Reliability – The Provider ensures high reliability in the following terms:
•             The Server Architecture shall be based on the VMWare virtualization solution and be implemented by creating physical and virtual redundancies of each system, in order to ensure fault-tolerance and removal of single points of failure. In particular, in case of system failure, the virtual environment managing software shall be able to reallocate current activities to other systems (principles of high availability and load balancing), minimizing service inefficiencies and ensuring persistence of existing connections.
•             Each Server is placed on a SAN connected via high-speed iSCSI.
•             All infrastructure components, including servers, security and network equipment, Storage systems and SAN infrastructure, have been duplicated in full, in order to eliminate each single point of failure.
•             The network infrastructure has been designed to protect front-end systems from the Internet and from internal networks using a DMZ shielded by means of two-layer separate firewalls (Defence-in-Depth strategy): a boundary firewall connected to the Internet and a second firewall, including Intrusion Prevention and antimalware features and belonging to the organization, setup to protect the DMZ and backend systems.

Hardening – Specially designed hardening activities shall be implemented with the aim of preventing security incidents by minimizing the architectural weaknesses of the operating systems, of the applications and of network equipment by taking into due account, in particular, the reduction of the risks relating to system vulnerabilities, the reduction of the risks relating to the applications installed on the systems, and the increase of the protection level covering the services provided.

Firewall, IDS/IPS – The systems for preventing intrusions, such as Firewall and IDS/IPS shall be placed in the network segment connecting the cloud infrastructure with the internet in order to intercept any malicious activity aimed at debasing, in full or in part, the provision of the service. In the case at issue, the adopted equipment belongs to the type UTM SourceFire (Cisco), which includes both the Firewall and the IDS/IPS component.

Security of communication lines – Within the extent of its responsibilities the Provider shall implement secure communication protocols that are in line with the available technology.

Protection from malware – The VMs shall be protected against the risk of an intrusion and of the activity of certain programs by activation of appropriate electronic tools to be periodically updated.
All VMs shall be managed through antivirus features (at both hypervisor and infrastructure level).

Authentication Credentials – The systems shall be configured in such a manner that access will be granted exclusively to those provided with authentication credentials allowing unique identification of the user. This include: a code associated to a confidential password that shall only be known by the user, or an authentication device that shall only be held and used by the user, which may, in certain cases, be associated with an ID code or a password.

Password – The use of a password, as far as concerns its basic features, being the obligation to change it at the first access, the minimum length, the absence of elements that may be easily referred to its holder, the rules about its complexity, the expiration, history, assessment of strength in context, display and storage, will comply with the best practices. Users being provided with credentials shall also receive specific instructions concerning the measures that must be adopted to ensure that such credentials remain secret.

Logging – The systems may be configured in such a manner as to track access requests and, where appropriate, other activities that are carried out, in relation to the different types of users (Administrator, Super User, etc.), and shall be protected by appropriate security measures ensuring their integrity.

Backup & Restore – Appropriate measures shall be implemented aimed at ensuring restoration of access to data in case of damages to such data or to electronic tools, within terms that are certain and consistent with the rights of the data subjects.
It remains the responsibility of the Data Controller to decide whether to independently make backup copies during the term of the agreement and for a 60-day period following its termination.
If so required by any agreement, a continuity operation plan shall be implemented and, where necessary, integrated with the disaster recovery plan. These plans ensure the availability and access to the systems also in the event of serious adverse events that may persist in time.

Vulnerability Assessment & Penetration Test – The Provider shall regularly carry out vulnerability analyses aimed at assessing the level of exposure to known vulnerabilities, in relation to both the infrastructures and the operations framework, taking into account either already operating systems and systems that are under development.
When deemed appropriate, in relation to those potential risks that have been identified, the assessments above are complemented, from time to time, by special Penetration Test technics, simulating unauthorized access in various scenarios of attack, with the aim of controlling the level of security attained by applications/systems/networks by using the identified vulnerabilities to circumvent the physic/logic security mechanisms and gain access to them.
The outcome of such assessments is thoroughly examined in order to detect and implement improvements that are necessary to ensure the high level of security that is required.

System Administrators – All users operating as System Administrators shall be indicated in a list to be regularly updated and the duties assigned to them shall be duly defined in special documents of appointment. The activity performed by System Administrators shall be monitored by means of a log management system allowing to accurately trace all performed activities and to store such data in an immutable manner in order to allow the monitoring also after performance. The behaviour of System Administrators shall be audited to verify compliance with the organizational, technical and security measures in relation to the processing of personal data as required by current regulations.

Data centre – The virtualization environment (including the SAN – Storage Area Network) is placed on servers that are hosted in a data centre located in Italy and managed by a certified ISO 27001 provider. In particular, the following security measures shall be implemented to protect the Data Centre:

Exterior perimeter security:
•             External fence marking the boundary of the property not lower than 3 meters’ height, equipped with passive anti climb protection
•             Monitoring of external areas by means of infrared barriers and/or video analysis systems and by video surveillance with recording systems
•             Restricted/individual pedestrian access
•             Restricted vehicle access
•             Armed patrols
Interior perimeter security:
•             Surveillance room for the control of internal and external areas, supervision
•             Use of alarms, management of visitors by delivering badges according to company policies and to specific regulations for data centres
•             Reception desk for entry control
•             Three-arm turnstiles placed opposite to the surveillance room and reception desk
High security inner perimeter:
•             Interlocked access to system rooms equipped with passive protection
•             Entry control system based on lists of “AUTHORIZED” people
•             Magnetic sensors detecting the state of doors
•             Emergency exits with sensors detecting the state of door
All alarms are remotely linked to the surveillance room.

 

D – BPI (BUSINESS PROCESS INSOURCING)

Organizational Security Measures

User Policies and Regulations – The Provider has adopted detailed policies and regulations, which all users having access to information systems must comply with, aimed at granting that users’ behaviour is appropriate to ensure compliance with the principles of confidentiality, availability and integrity of data while using information resources.

Logical access authorization – The Provider defines access profiles based on the least privilege necessary to carry out the assigned duties. The authorization profiles are selected and configured prior to the beginning of the processing and in such a manner that access will be restricted only to those data that are strictly necessary for the processing activities.
The profiles undergo regular audits aimed at assessing whether the requirements to maintain the assigned profiles are still met.

Data Breach – The Provider has implemented a special procedure, aimed at the management of events and incidents that are likely to have an impact on personal data, which defines the roles and responsibilities, the process for detection of the (suspected or actual) incident/breach, the implementation of remedial actions, the response to, and containment of, such incident/breach as well as the formalities to inform the Client of personal data breaches.

Training: The Provider will periodically offer training courses on proper handling of personal data to members of its personnel that are involved in the processing activities.

Technical Security Measures       Security of communication lines – Within the extent of its responsibilities the Provider shall implement secure communication protocols that are in line with the available technology in relation to the authentication process.

Backup & Restore – If so required by any agreement, appropriate measures shall be implemented aimed at ensuring restoration of access to data in case of damages to such data or to electronic tools, within terms that are certain and consistent with the rights of the data subjects.

 

E – ON PREMISES

Organizational Security Measures

User Policies and Regulations – The Provider has adopted detailed policies and regulations, which all users having access to information systems must comply with, aimed at granting that users’ behaviour is appropriate to ensure compliance with the principles of confidentiality, availability and integrity of data while using information resources.

Logical access authorization – The Provider defines access profiles based on the least privilege necessary to carry out the assigned duties. The authorization profiles are selected and configured prior to the beginning of the processing and in such a manner that access will be restricted only to those data that are strictly necessary for the processing activities.
The profiles undergo regular audits aimed at assessing whether the requirements to maintain the assigned profiles are still met.

Assistance interventions – The Provider shall manage assistance interventions with the aim of ensuring that only contractual activities are performed and that any unnecessary processing in relation to Personal Data of the Client is prevented.

Incident Management & Data Breach – The Provider has implemented a special procedure, aimed at the management of events and incidents that are likely to have an impact on personal data, which defines the roles and responsibilities, the process for detection of the (suspected or actual) incident/breach, the implementation of remedial actions, the response to, and containment of, such incident/breach as well as the formalities to inform the Client of personal data breaches.

Training: The Provider will periodically offer training courses on proper handling of personal data to members of its personnel that are involved in the processing activities.

Technical Security Measures

Security of communication lines – Within the extent of its responsibilities, during the technical assistance phase, the Provider shall implement secure communication protocols that are in line with the available technology.

Protection from malware – Workstations used during the technical assistance phase shall be protected against the risk of an intrusion and of the activity of certain programs by activation of appropriate electronic tools to be periodically updated.

All VMs are managed through antivirus features (at both hypervisor and infrastructure level).

System Administrators – All users operating as System Administrators shall be indicated in a list to be regularly updated and the duties assigned to them shall be duly defined in special documents of appointment. The activity performed by System Administrators shall be monitored by means of a log management system allowing to accurately trace all performed activities and to store such data in an immutable manner in order to allow the monitoring also after performance. The behaviour of System Administrators shall be audited to verify compliance with the organizational, technical and security measures in relation to the processing of personal data as required by current regulations.