Allgemeine Geschäftsbedingungen (AGB) für dms-secure.de
§ 1 Geltungsbereich und Anbieter
(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") regeln die vertraglichen Beziehungen zwischen Adam Koch (Weißensteinstr. 44, 58093 Hagen, Deutschland; USt-IdNr.: DE460595161), nachfolgend "Anbieter" genannt, und den Nutzern der cloudbasierten Softwarelösung unter der Domain dms-secure.de (nachfolgend "Plattform" oder "DMS-System"). (2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts sowie Berufsgeheimnisträger (insb. Steuerberater, Wirtschaftsprüfer, Rechtsanwälte), nachfolgend "Kunde" genannt. (3) Der Anbieter unterhält zur Absicherung seiner Dienstleistungen umfassende Versicherungen bei der Hiscox SA (Niederlassung Deutschland) mit folgenden Deckungssummen: Vermögensschadenhaftpflicht (1.000.000,00 €), Betriebshaftpflicht (5.000.000,00 €) und Cyber-Versicherung (100.000,00 €).
§ 2 Leistungsbeschreibung
(1) Der Anbieter stellt dem Kunden ein mandantenfähiges (Multi-Tenant) Document Management System (DMS) als Software-as-a-Service (SaaS) zur Verfügung. (2) Das DMS-System ermöglicht die sichere Speicherung, Verwaltung und den Austausch von Dokumenten unter Berücksichtigung höchster Sicherheitsstandards und kryptografischer Verfahren (Zero-Knowledge-Architektur). (3) Zu den Kernfunktionen gehören unter anderem White-Labeling, Immutable Audit-Trails (GoBD-konforme Protokollierung) sowie Module für den digitalen Notfallzugriff (Digital Inheritance).
§ 3 "Zero-Knowledge"-Architektur und Mitwirkungspflichten des Kunden
(1) End-to-End-Verschlüsselung: Das DMS-System basiert auf einer strikten Zero-Knowledge-Architektur. Alle sensiblen Daten und Dokumente des Kunden werden clientseitig (im Browser des Nutzers) verschlüsselt, bevor sie an die Server des Anbieters übertragen werden. (2) Verlust von Zugangsdaten (WICHTIGER HINWEIS): Der Anbieter hat keinen Zugriff auf die unverschlüsselten Daten, Passwörter oder kryptografischen Schlüssel des Kunden. Der Kunde erkennt ausdrücklich an, dass bei einem Verlust des Master-Passworts, des Recovery-Keys oder des Hardware-Tokens (FIDO2/Passkeys, OTPC-N) eine Wiederherstellung oder Entschlüsselung der Daten durch den Anbieter technisch unmöglich ist. Der Datenverlust in einem solchen Fall obliegt allein der Verantwortung des Kunden. (3) Der Kunde ist verpflichtet, sämtliche Zugangsdaten und Hardware-Tokens sicher vor dem Zugriff unbefugter Dritter zu verwahren. (4) Zur Nutzung ist eine starke Multi-Faktor-Authentifizierung (MFA) zwingend erforderlich.
§ 4 Datensicherheit, GoBD-Konformität und Datenschutz (AVV)
(1) Die Speicherung der verschlüsselten Daten erfolgt ausschließlich auf Servern in zertifizierten Rechenzentren innerhalb der Bundesrepublik Deutschland (Data Residency), welche sich an den Standards BSI C5 und ISO 27001 orientieren. (2) GoBD-Konformität: Das System unterstützt den Kunden bei der Einhaltung der GoBD. Jede Aktion im System (z.B. Upload, Versionierung, Löschung) wird unveränderbar in einem Audit-Trail (Logbuch) erfasst. Der Kunde nimmt zur Kenntnis, dass diese Audit-Logs aus Compliance-Gründen während der Vertragslaufzeit systemseitig nicht manipuliert oder nachträglich gelöscht werden können. (3) Soweit der Kunde personenbezogene Daten von Dritten (z.B. seinen Mandanten) in das DMS-System einstellt, fungiert der Anbieter als Auftragsverarbeiter. Die Parteien schließen hierzu vorab zwingend einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab.
§ 5 Nutzungseinschränkungen und Rechte
(1) Der Kunde verpflichtet sich, das DMS-System nur für rechtmäßige Zwecke zu nutzen. Es ist untersagt, rechtswidrige, strafbare oder urheberrechtsverletzende Inhalte zu speichern. (2) Die ordnungsgemäße Konfiguration der internen Rechteverwaltung (z.B. das Vier-Augen-Prinzip für Freigaben) obliegt allein dem Kunden. Der Anbieter haftet nicht für Schäden, die aus einer fehlerhaften Rechtevergabe durch den Kunden (z.B. im Organisations-Modul) resultieren.
§ 6 Entgelt und Zahlungsbedingungen
(1) Die Nutzung der produktiven Plattform ist kostenpflichtig. Die Höhe der Vergütung (z.B. nutzer- oder speicherplatzbasiert) richtet sich nach dem gebuchten Abonnement, welches im Billing-Modul der Plattform ausgewiesen wird. (2) Rechnungen werden elektronisch bereitgestellt. Der Rechnungsbetrag ist sofort nach Rechnungsstellung ohne Abzug fällig. (3) Bei Zahlungsverzug behält sich der Anbieter das Recht vor, den Zugang zum System bis zur vollständigen Begleichung zu sperren. Die Pflicht zur GoBD-konformen Aufbewahrung der bereits gespeicherten Daten bleibt im Rahmen der gesetzlichen Fristen unberührt.
§ 7 Haftungsbeschränkung
(1) Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit. (2) Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). In diesem Fall ist die Haftung auf den typischerweise vorhersehbaren Schaden begrenzt, maximal jedoch auf die Höhe der in § 1 Abs. 3 genannten Versicherungssummen bzw. der vom Kunden in den letzten 12 Monaten gezahlten Abonnementgebühren. (3) Der Anbieter schließt jegliche Haftung für den Verlust von Daten aus, der darauf beruht, dass der Kunde seine kryptografischen Schlüssel, Passwörter oder Hardware-Tokens verliert oder diese von Dritten kompromittiert werden. (4) Für die inhaltliche Richtigkeit und rechtliche Zulässigkeit der vom Kunden gespeicherten Dokumente ist ausschließlich der Kunde verantwortlich.
§ 8 Vertragslaufzeit, Kündigung und Datenexport
(1) Der Vertrag wird auf unbestimmte Zeit geschlossen und kann von beiden Parteien gemäß den im gebuchten Plan definierten Fristen (z.B. monatlich oder jährlich) gekündigt werden. (2) Nach Beendigung des Vertrages hat der Kunde für eine Übergangsfrist von 30 Tagen die Möglichkeit, seine Daten sowie die GoBD-Audit-Logs aus dem System zu exportieren (Daten-Export-Phase). (3) Nach Ablauf dieser Frist werden alle (verschlüsselten) Daten des Kunden sowie sämtliche zugehörigen Zugangsschlüssel unwiderruflich und DSGVO-konform von den Systemen des Anbieters gelöscht.
§ 9 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). (2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Hagen, Deutschland. (3) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.