Zurück zur Startseite

Rechtliche Hinweise

Allgemeine Geschäftsbedingungen (AGB)

Für die Nutzung der ATOKI DSGVO-/DSAR-Operations- und Nachweisplattform.

1. Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen gelten für alle Geschäftsbeziehungen zwischen der Atoki UG (haftungsbeschränkt), Melchior-Bauer-Straße 16, 14469 Potsdam, Deutschland, nachfolgend "Anbieter", und ihren Kunden, nachfolgend "Kunde".

(2) Gegenstand des Vertrages ist die Bereitstellung einer technischen Plattform zur Unterstützung von DSAR-, Datenschutz-, Dokumentations- und Nachweisprozessen sowie damit verbundene technische Integrationsleistungen und Supportleistungen.

(3) Die Plattform richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder vergleichbare Organisationen. Verbraucher im Sinne des § 13 BGB sind nicht Zielgruppe des Angebots.

(4) Abweichende Bedingungen des Kunden gelten nur, wenn der Anbieter ihnen ausdrücklich in Textform zugestimmt hat. Vorrangig gelten abweichende individualvertragliche Regelungen.

2. Leistungsbeschreibung und Produktgrenzen

(1) Der Anbieter betreibt eine Software-as-a-Service-Plattform zur technischen und organisatorischen Unterstützung datenschutzrechtlicher Nachweis- und Umsetzungsprozesse.

(2) Die Plattform kann insbesondere folgende Funktionen enthalten:

  • Bearbeitung und Dokumentation von Betroffenenanfragen, insbesondere Auskunftsersuchen sowie entscheidungsbasierten weiteren Anfragearten.
  • Automatisierung standardisierter ACCESS-/Auskunftsprozesse, soweit keine individuelle rechtliche Bewertung erforderlich ist.
  • Entscheidungsbasierte Unterstützung weiterer Betroffenenrechte wie Löschung, Berichtigung, Einschränkung, Widerspruch, Beschwerde oder sonstige Anfragen.
  • Erstellung strukturierter System-, Entscheidungs-, Verarbeitungs- und Evidence-Nachweise.
  • Audit-Logging von system-, sicherheits- und DSAR-relevanten Ereignissen.
  • Mandantenbezogene Zugriffskontrollen und technische Trennung von Organisationsdaten.
  • Backup- und Wiederherstellungsprozesse zur operativen Systemwiederherstellung.
  • Monitoring und technische Prüfprozesse für Systemintegrität und Betriebsstabilität.

(3) Vollständig automatisierte Verarbeitung ist nur für standardisierte ACCESS-/Auskunftsprozesse vorgesehen, soweit keine individuelle rechtliche Bewertung erforderlich ist. Andere Betroffenenrechte werden entscheidungsbasiert verarbeitet und erfordern eine Bewertung durch den Kunden als Verantwortlichen.

(4) Nachweise beziehen sich auf System-, Entscheidungs- und Verarbeitungsschritte innerhalb der Plattform. Sie ersetzen keinen separaten Zustell- oder Kommunikationsnachweis, sofern ein solcher nicht ausdrücklich technisch erzeugt und dokumentiert wird.

(5) Backups dienen der operativen Wiederherstellung. Langfristige Nachweisaufbewahrung bezieht sich nur auf einen separaten minimierten Audit-Proof-/Accountability-Layer. Es wird keine Immutable-, WORM- oder Object-Lock-Retention zugesichert.

2a. Paketgrenzen, Nutzung und Kontaktverifikation

Das gebuchte Paket definiert die enthaltene Anzahl aktiver Mandanten und das monatlich enthaltene Anfragevolumen.

Die monatliche Anfragezahl zählt alle im jeweiligen Kalendermonat erstellten Datenschutzanfragen über alle aktiven Mandanten des Accounts hinweg.

Paketgrenzen sind kommerzielle Nutzungsgrenzen. Eine Überschreitung führt nicht automatisch zur Sperrung der DSAR-Bearbeitung. ATOKI kann bei Überschreitung auf Upgrade, Nachbuchung oder vertragliche Klärung hinweisen.

Der Kunde ist verantwortlich für die korrekte, eindeutige und rechtlich zulässige Benennung seiner Mandanten. Mandantennamen dürfen keine unnötigen personenbezogenen Daten enthalten.

ATOKI kann technische Funktionen zur Kennzeichnung verifizierter Kontaktattribute bereitstellen. Die manuelle Kontaktverifikation erfolgt durch den Betreiber beziehungsweise Kunden.

Der Betreiber bestätigt durch die manuelle Kontaktverifikation, dass die betreffende E-Mail-Adresse nach interner Prüfung als Kontaktadresse der betroffenen Person verwendet werden darf.

Die Kontaktverifikation ist kein automatischer Zustellnachweis und ersetzt keine eigenständige rechtliche Prüfung durch den Verantwortlichen.

3. Keine Rechtsberatung und Verantwortung des Kunden

(1) Der Anbieter erbringt keine Rechtsberatung und trifft keine rechtlichen Entscheidungen über Betroffenenrechte, Rechtsgrundlagen, Fristverlängerungen, Ablehnungen, Interessenabwägungen oder sonstige rechtliche Bewertungen.

(2) Die rechtliche Verantwortung für Zwecke und Mittel der Verarbeitung, für die Rechtmäßigkeit der verarbeiteten Daten, für die Beantwortung von Betroffenenanfragen sowie für die Einhaltung gesetzlicher Fristen verbleibt beim Kunden.

(3) Die Plattform stellt technische Unterstützung, strukturierte Dokumentation und Nachweisprozesse bereit. Sie garantiert keine vollständige Rechtskonformität und ersetzt keine Prüfung durch den Verantwortlichen oder dessen Rechtsberatung.

4. Vertragsschluss

(1) Ein Vertrag kommt durch Annahme eines Angebots, elektronische Bestätigung, individualvertragliche Vereinbarung oder bestätigte Registrierung auf der Plattform zustande.

(2) Eine Registrierung begründet nur dann einen Vertrag, wenn sie durch eine vertretungsberechtigte Person erfolgt oder vom Anbieter bestätigt wird.

(3) Der Anbieter ist berechtigt, Anfragen oder Aufträge ohne Angabe von Gründen abzulehnen.

5. Vergütung und Preisanpassung

(1) Die Vergütung richtet sich nach der jeweils aktuellen Preisliste oder nach einem individuellen Angebot. Rechnungen sind innerhalb von 14 Tagen ohne Abzug zahlbar und können elektronisch übermittelt werden.

(2) Bei Zahlungsverzug gelten die gesetzlichen Verzugszinsen gemäß § 288 BGB.

(3) Der Anbieter ist berechtigt, die Vergütung für laufende Verträge anzupassen, wenn sich wesentliche Kostenfaktoren, insbesondere Infrastruktur, Personal, Versicherungen oder externe Dienstleister, erheblich verändern. Über eine Preisanpassung wird der Kunde mindestens sechs Wochen vorher in Textform informiert. Dem Kunden steht bei einer wesentlichen Preiserhöhung ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens zu, sofern keine abweichende individualvertragliche Regelung besteht.

6. Mitwirkungspflichten des Kunden

(1) Der Kunde stellt alle notwendigen Informationen, Zugriffe, Konfigurationen, Weisungen und Prüfentscheidungen rechtzeitig zur Verfügung.

(2) Verzögerungen aufgrund fehlender oder fehlerhafter Mitwirkung gehen nicht zu Lasten des Anbieters.

(3) Der Kunde ist für die Rechtmäßigkeit der von ihm eingebrachten Daten, Inhalte und Weisungen verantwortlich.

7. Systemverfügbarkeit

(1) Der Anbieter strebt für die Core-SaaS-Anwendung eine Systemverfügbarkeit von 99 Prozent im Vertragsjahr an, soweit nichts anderes vereinbart wurde.

(2) Ausgenommen sind angekündigte Wartungsarbeiten, kundenseitige Störungen, Drittanbieter- oder Integrationsstörungen, E-Mail-Zustellung, Force-Majeure-Ereignisse sowie Störungen außerhalb des Einflussbereichs des Anbieters.

(3) Die Verfügbarkeit bezieht sich auf die Erreichbarkeit der zentralen Plattformfunktionen, nicht auf externe Systeme, Netze oder vom Kunden betriebene Komponenten. Berechnungsgrundlage ist die Gesamtzeit des jeweiligen Vertragsjahres abzüglich ausgeschlossener Zeiten.

8. Wartung und Support

(1) Wartungsarbeiten können erforderlich sein, um Sicherheit und Stabilität zu gewährleisten.

(2) Geplante Wartungsarbeiten erfolgen in der Regel zwischen 22:00 und 06:00 Uhr deutscher Ortszeit (Europe/Berlin, MEZ/MESZ), soweit dies technisch möglich ist.

(3) Support wird grundsätzlich Montag bis Freitag von 09:00 bis 15:00 Uhr deutscher Ortszeit (Europe/Berlin, MEZ/MESZ) angeboten, sofern nichts anderes vereinbart wurde.

(4) Support erfolgt über E-Mail oder andere vereinbarte Kommunikationskanäle.

9. Datenschutz und Auftragsverarbeitung

(1) Der Anbieter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

(2) Soweit der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, erfolgt dies im Rahmen eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO.

(3) Details ergeben sich aus der Datenschutzerklärung und dem Auftragsverarbeitungsvertrag.

10. Vertraulichkeit

(1) Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erhaltenen vertraulichen Informationen geheim zu halten.

(2) Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

11. Haftung

(1) Der Anbieter haftet unbeschränkt bei Vorsatz, grober Fahrlässigkeit sowie bei Schäden an Leben, Körper oder Gesundheit.

(2) Bei einfacher Fahrlässigkeit haftet der Anbieter nur für die Verletzung wesentlicher Vertragspflichten. In diesem Fall ist die Haftung auf den vertragstypischen vorhersehbaren Schaden begrenzt.

(3) Im Übrigen ist die Haftung auf den Gesamtbetrag der im laufenden Vertragsjahr gezahlten Vergütung begrenzt.

(4) Die Haftungsbegrenzung gilt nicht für Fälle nach Abs. 1 und nicht für zwingende gesetzliche Haftungstatbestände.

(5) Die Haftungsbeschränkungen gelten auch zugunsten von gesetzlichen Vertretern, Mitarbeitenden und Erfüllungsgehilfen des Anbieters.

12. Vertragslaufzeit und Schlussbestimmungen

(1) Verträge werden für eine Mindestlaufzeit von 12 Monaten geschlossen, sofern nichts anderes vereinbart wurde. Danach verlängert sich der Vertrag jeweils um weitere 12 Monate, wenn er nicht mit einer Frist von vier Wochen zum Ende der Laufzeit gekündigt wird.

(2) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist Potsdam, sofern der Kunde Kaufmann ist.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Der Auftragsverarbeitungsvertrag ist unter https://atoki-core.de/avv abrufbar oder wird auf Anfrage bereitgestellt.