Allgemeine Geschäftsbedingungen (AGB) für dms-secure.de
§ 1 Geltungsbereich und Anbieter
(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") regeln die vertraglichen Beziehungen zwischen Adam Koch (Weißensteinstr. 44, 58093 Hagen, Deutschland; USt-IdNr.: DE460595161), nachfolgend "Anbieter" genannt, und den Nutzern der cloudbasierten Softwarelösung unter der Domain dms-secure.de sowie der zugehörigen mobilen Anwendung „Vaultix" (Android), bereitgestellt über den Google Play Store (nachfolgend „Plattform" oder „DMS-System").. (2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts sowie Berufsgeheimnisträger (insb. Steuerberater, Wirtschaftsprüfer, Rechtsanwälte), nachfolgend „Kunde" genannt. Das Angebot richtet sich nicht an Verbraucher i.S.d. § 13 BGB. Der Abschluss kostenpflichtiger Abonnements – auch über die mobile App – setzt die Bestätigung des Kunden voraus, dass er den Vertrag in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit (als Unternehmer) abschließt. (3) Der Anbieter unterhält zur Absicherung seiner Dienstleistungen umfassende Versicherungen bei der Hiscox SA (Niederlassung Deutschland) mit folgenden Deckungssummen: Vermögensschadenhaftpflicht (1.000.000,00 €), Betriebshaftpflicht (5.000.000,00 €) und Cyber-Versicherung (100.000,00 €). (4) Tarife. Der Anbieter bietet einen kostenlosen Basis-Tarif („Free") mit eingeschränktem Funktionsumfang (u. a. begrenzte Anzahl an Dokumenten pro Monat und begrenztem Speicher) sowie kostenpflichtige Tarife an. Der jeweilige Leistungsumfang ergibt sich aus der Tarifübersicht in der App bzw. Plattform.
(5) In-App-Käufe (Google Play). Über die mobile App abgeschlossene Abonnements werden ausschließlich über Google Play (In-App-Kauf) abgewickelt. Es gelten die im Store ausgewiesenen Preise und Abrechnungszeiträume. Abonnements verlängern sich automatisch um den gebuchten Zeitraum, sofern sie nicht vor Ablauf über die Abo-Verwaltung des Google-Play-Kontos gekündigt werden. Rückerstattungen richten sich nach den Richtlinien von Google.
§ 2 Leistungsbeschreibung
(1) Der Anbieter stellt dem Kunden ein mandantenfähiges (Multi-Tenant) Document Management System (DMS) als Software-as-a-Service (SaaS) zur Verfügung. (2) Das DMS-System ermöglicht die sichere Speicherung, Verwaltung und den Austausch von Dokumenten unter Berücksichtigung höchster Sicherheitsstandards und kryptografischer Verfahren (Zero-Knowledge-Architektur), mobilne Belegerfassung (Foto/Scan), Offline-Erfassung, verschlüsselte Freigabe an Dritte (z. B. Steuerberater). (3) Zu den Kernfunktionen gehören unter anderem White-Labeling, Immutable Audit-Trails (GoBD-konforme Protokollierung) sowie Module für den digitalen Notfallzugriff (Digital Inheritance).
§ 3 "Zero-Knowledge"-Architektur und Mitwirkungspflichten des Kunden
(1) End-to-End-Verschlüsselung: Das DMS-System basiert auf einer strikten Zero-Knowledge-Architektur. Alle sensiblen Daten und Dokumente des Kunden werden clientseitig (im Browser des Nutzers) verschlüsselt, bevor sie an die Server des Anbieters übertragen werden. (2) Verlust von Zugangsdaten (WICHTIGER HINWEIS): Der Anbieter hat keinen Zugriff auf die unverschlüsselten Daten, Passwörter oder kryptografischen Schlüssel des Kunden. Der Kunde erkennt ausdrücklich an, dass bei einem Verlust des Master-Passworts, des Recovery-Keys oder des Hardware-Tokens (FIDO2/Passkeys, OTPC-N) eine Wiederherstellung oder Entschlüsselung der Daten durch den Anbieter technisch unmöglich ist. Der Datenverlust in einem solchen Fall obliegt allein der Verantwortung des Kunden. (3) Der Kunde ist verpflichtet, sämtliche Zugangsdaten und Hardware-Tokens sicher vor dem Zugriff unbefugter Dritter zu verwahren. (4) Zur Nutzung ist eine starke Multi-Faktor-Authentifizierung (MFA) zwingend erforderlich.
§ 4 Datensicherheit, GoBD-Konformität und Datenschutz (AVV)
(1) Die Speicherung der verschlüsselten Daten erfolgt ausschließlich auf Servern in zertifizierten Rechenzentren innerhalb der Bundesrepublik Deutschland (Data Residency), welche sich an den Standards BSI C5 und ISO 27001 orientieren. (2) GoBD-Konformität: Das System unterstützt den Kunden bei der Einhaltung der GoBD. Jede Aktion im System (z.B. Upload, Versionierung, Löschung) wird unveränderbar in einem Audit-Trail (Logbuch) erfasst. Der Kunde nimmt zur Kenntnis, dass diese Audit-Logs aus Compliance-Gründen während der Vertragslaufzeit systemseitig nicht manipuliert oder nachträglich gelöscht werden können. (3) Soweit der Kunde personenbezogene Daten von Dritten (z.B. seinen Mandanten) in das DMS-System einstellt, fungiert der Anbieter als Auftragsverarbeiter. Die Parteien schließen hierzu vorab zwingend einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab.
§ 5 Nutzungseinschränkungen und Rechte
(1) Der Kunde verpflichtet sich, das DMS-System nur für rechtmäßige Zwecke zu nutzen. Es ist untersagt, rechtswidrige, strafbare oder urheberrechtsverletzende Inhalte zu speichern. (2) Die ordnungsgemäße Konfiguration der internen Rechteverwaltung (z.B. das Vier-Augen-Prinzip für Freigaben) obliegt allein dem Kunden. Der Anbieter haftet nicht für Schäden, die aus einer fehlerhaften Rechtevergabe durch den Kunden (z.B. im Organisations-Modul) resultieren.
§ 6 Entgelt und Zahlungsbedingungen
(1) Die Nutzung der produktiven Plattform ist kostenpflichtig. Die Höhe der Vergütung (z.B. nutzer- oder speicherplatzbasiert) richtet sich nach dem gebuchten Abonnement, welches im Billing-Modul der Plattform ausgewiesen wird. (2) Rechnungen werden elektronisch bereitgestellt. Der Rechnungsbetrag ist sofort nach Rechnungsstellung ohne Abzug fällig. (3) Bei Zahlungsverzug behält sich der Anbieter das Recht vor, den Zugang zum System bis zur vollständigen Begleichung zu sperren. Die Pflicht zur GoBD-konformen Aufbewahrung der bereits gespeicherten Daten bleibt im Rahmen der gesetzlichen Fristen unberührt.
§ 7 Haftungsbeschränkung
(1) Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit. (2) Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). In diesem Fall ist die Haftung auf den typischerweise vorhersehbaren Schaden begrenzt, maximal jedoch auf die Höhe der in § 1 Abs. 3 genannten Versicherungssummen bzw. der vom Kunden in den letzten 12 Monaten gezahlten Abonnementgebühren. (3) Der Anbieter schließt jegliche Haftung für den Verlust von Daten aus, der darauf beruht, dass der Kunde seine kryptografischen Schlüssel, Passwörter oder Hardware-Tokens verliert oder diese von Dritten kompromittiert werden. (4) Für die inhaltliche Richtigkeit und rechtliche Zulässigkeit der vom Kunden gespeicherten Dokumente ist ausschließlich der Kunde verantwortlich.
§ 8 Vertragslaufzeit, Kündigung und Datenexport
(1) Der Vertrag wird auf unbestimmte Zeit geschlossen und kann von beiden Parteien gemäß den im gebuchten Plan definierten Fristen (z.B. monatlich oder jährlich) gekündigt werdenÜber die mobile App abgeschlossene Abonnements können jederzeit über die Abo-Verwaltung des Google-Play-Kontos gekündigt werden und enden zum Ablauf des bereits bezahlten Zeitraums.
(2) Kontolöschung. Der Kunde kann sein Konto jederzeit in der App (Einstellungen → „Konto löschen") löschen. Dabei werden Zugang, Stammdaten und kryptografische Schlüssel gelöscht.
(3) Datenexport. Vor der Löschung bzw. nach Vertragsende besteht eine Übergangsfrist von 30 Tagen zum Export der Daten und der GoBD-Audit-Logs. Aufgrund der Zero-Knowledge-Architektur ist ein Export nur mit den Schlüsseln des Kunden möglich; nach deren Löschung ist eine Entschlüsselung technisch ausgeschlossen.
(4) Gesetzliche Aufbewahrung. Dokumente und Audit-Logs, die gesetzlichen Aufbewahrungspflichten unterliegen (insb. GoBD/§ 147 AO), werden – soweit eine Löschung diesen Pflichten entgegensteht – für die Dauer der gesetzlichen Aufbewahrungsfrist (in verschlüsselter Form) aufbewahrt und erst nach deren Ablauf unwiderruflich gelöscht. Im Übrigen werden Daten DSGVO-konform gelöscht.
§ 9 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). (2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Hagen, Deutschland. (3) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.