Stand: 14. Februar 2024

§ 1        OTTO Market

1.1        Die Otto (GmbH & Co KG), Werner-Otto-Strasse 1-7, 22179 Hamburg, Deutschland („OTTO“), ermöglicht es Unternehmen im Sinne des § 14 BGB („HÄNDLER“) Produkte im eigenen Namen und auf eigene Rechnung über die auf der Website http://www.otto.de von OTTO betriebene Verkäuferplattform („Marktplatz“) an Verbraucher im Sinne des § 13 BGB zu vertreiben. OTTO stellt den HÄNDLERN hierfür über die URL portal.otto.market eine zentrale Plattform für die Verwaltung der Aktivitäten auf dem Markplatz zur Verfügung („OTTO Partner Connect“ oder „OPC“). Zudem ermöglicht OTTO den HÄNDLERN unter bestimmten Voraussetzungen ihre bewirtschaftungsrelevanten Prozesse auf dem Marktplatz (insbesondere Produktdatenpflege, Auftragsabwicklung, etc.) („Marktplatzaktivitäten“) über eine technische Schnittstelle („API“) abzuwickeln.

§ 2        Gegenstand dieser Nutzungsbedingungen

2.1        OTTO ermöglicht Unternehmen im Sinne des § 14 BGB („DIENSTLEISTER“) nach Maßgabe dieser Nutzungsbedingungen einen Zugang zu OPC und/ oder zu der API zu erhalten, um für den HÄNDLER dessen Marktplatzaktivitäten steuern zu können („Dienstleisterprogramm“).

2.2        Zwischen HÄNDLER und DIENSTLEISTER ist daher ein gesondertes Vertragsverhältnis erforderlich, welches die Befugnisse des DIENSTLEISTERS und seine rechtliche Verantwortlichkeit im Verhältnis zum HÄNDLER regelt. Der DIENSTLEISTER agiert bei der Steuerung der Marktplatzaktivitäten als Stellvertreter für den HÄNDLER. Der HÄNDLER bleibt gegenüber OTTO zur Steuerung der Marktplatzaktivitäten und aller damit zusammenhängenden vertraglichen Verpflichtungen verantwortlich.

2.3        Änderungsvorbehalt

2.3.1     Änderungsprozess bei unwesentlichen Änderungen

OTTO ist berechtigt, diese Nutzungsbedingungen nach dem folgenden Prozess mit Wirkung für die Zukunft zu ändern, soweit die Änderungen unwesentlich sind und das Äquivalenzverhältnis zwischen den Parteien unberührt lassen. In diesem Fall wird OTTO den DIENSTLEISTER auf die Änderungen der Nutzungsbedingungen mindestens 30 Tage vor ihrem Inkrafttreten in Textform hinweisen. Der DIENSTLEISTER kann den Änderungen bis spätestens zum Datum des Inkrafttretens widersprechen. Alternativ kann der DIENSTLEISTER den Vertrag vor Inkrafttreten der Änderungen mit sofortiger Wirkung oder mit Wirkung zum Inkrafttreten der Änderungen kündigen. Widerspricht der DIENSTLEISTER den Änderungen nicht oder kündigt der DIENSTLEISTER den Vertrag nicht spätestens bis zum Datum ihres Inkrafttretens, gelten die Änderungen als akzeptiert. OTTO wird den DIENSTLEISTER in der Mitteilung auf dieses Kündigungsrecht und die Rechtsfolgen des Schweigens hinweisen. Im Falle eines Widerspruchs des DIENSTLEISTERS behält sich OTTO eine ordentliche Kündigung des Vertrages vor.

2.3.2     Änderungsprozess bei wesentlichen Änderungen

Unbeschadet Ziffer 2.3.1 und Ziffer 14.1 ist OTTO jederzeit berechtigt, diese Nutzungsbedingungen nach dem folgenden Prozess mit Wirkung für die Zukunft zu ändern, soweit die Änderungen wesentlich sind und das Äquivalenzverhältnis zwischen den Parteien berühren. OTTO schlägt dem DIENSTLEISTER in diesem Fall die gewünschten Änderungen in Textform vor. Der DIENSTLEISTER ist verpflichtet, OTTO innerhalb von 30 Tagen nach Mitteilung durch OTTO in Textform oder über eine zur Verfügung gestellte Benutzeroberfläche mitzuteilen, ob der DIENSTLEISTER den vorgeschlagenen Änderungen zustimmt oder diese ablehnt. Stimmt der DIENSTLEISTER den Änderungen zu, entfalten diese ab dem Zeitpunkt der Zustimmung ihre Wirkung. Stimmt der DIENSTLEISTER den vorgeschlagenen Änderungen nicht zu, gelten die Nutzungsbedingungen in ihrer bisherigen Fassung fort; in diesem Fall behält sich OTTO eine ordentliche Kündigung des Vertrages vor.

2.4        Verhältnis zu anderen Nutzungsbedingungen

Die Teilnahme der HÄNDLER am Marktplatz unterliegt den gesonderten Nutzungsbedingungen und einem Zahlungsdiensterahmenvertrag in ihrer jeweils gültigen Fassung („Marktplatznutzungsbedingungen“). Die Nutzung von OPC unterliegt den gesonderten „Nutzungsbedingungen OTTO Partner Connect“. Zusätzliche unter OPC angebotene Services, die der DIENSTLEISTER für den HÄNDLER beauftragen kann, unterliegen ggf. zusätzlichen Bedingungen. Sämtliche zwischen HÄNDLER und OTTO bestehenden vertraglichen Beziehungen bleiben durch diese Nutzungsbedingungen unberührt.

§ 3        Nutzung des Dienstleisterprogramms

3.1        Registrierung / Zugangsdaten

3.1.1     OTTO stellt dem DIENSTLEISTER nach dessen Anmeldung Zugangsdaten zu einem Account für das Dienstleisterprogramm zur Verfügung. Die Gewährung des Zugangs zum Dienstleisterprogramm liegt im alleinigen Ermessen von OTTO. Der DIENSTLEISTER wird die zur Verfügung gestellten Zugangsdaten sicher verwahren und vor unbefugtem Zugriff durch Dritte schützen.

3.1.2     Der DIENSTLEISTER benennt OTTO eine funktionsfähige E-Mail-Adresse, die von OTTO zur Kommunikation mit dem DIENSTLEISTER verwendet werden kann.

3.2        Testphase (nur im Falle einer API-Anbindung)

Der DIENSTLEISTER hat die Konfiguration der API in einer Testumgebung mit seiner Software abzugleichen, um die Kompatibilität zwischen der API und der Software des DIENSTLEISTERS sicherzustellen.

3.3        Überprüfung und Abnahme durch OTTO (nur im Falle einer API-Anbindung)

3.3.1     OTTO überprüft die vom DIENSTLEISTER genutzte Software hinsichtlich Kompatibilität, Qualität und (Daten)Sicherheit. Bei positivem Ausgang dieser Prüfung, schickt OTTO eine Bestätigung an die vom DIENSTLEISTER bei Registrierung hinterlegte E-Mail-Adresse. Die Parteien stellen klar, dass der DIENSTLEISTER trotz der von OTTO durchgeführten Prüfung allein für die Sicherheit und Kompatibilität seiner Software verantwortlich bleibt.

3.3.2     Sollte der DIENSTLEISTER nach der erfolgten Überprüfung eine grundlegende Anpassung oder Erweiterung der Software vornehmen wollen, die die Steuerung der Marktplatzaktivitäten des HÄNDLERS einschränkt oder verbessert, hat der DIENSTLEISTER dies OTTO über die E-Mail-Adresse partnerintegration@otto.market mitzuteilen. OTTO behält sich je nach Art und Umfang der Anpassung oder Erweiterung eine erneute Qualitätsprüfung des Nutzungsumfangs der API vor. Grundlegende Anpassungen sind z.B. die Erweiterung um zusätzliche Schnittstellen (products, receipts, orders, etc.).

3.4        Betriebsphase

3.4.1     Im Falle einer API-Anbindung ermöglicht OTTO nach erfolgreichem Abschluss der Testphase und der erfolgten Abnahme dem DIENSTLEISTER unter Mitwirkung des jeweiligen HÄNDLERs durch Generieren von Authentifizierungsschlüsseln und Tokens auf Grundlage des sog. OAuth-Standard eine sichere Verbindung zwischen DIENSTLEISTER und HÄNDLER sowie zwischen DIENSTLEISTER und der API herzustellen.

3.4.2     Die DIENSTLEISTER, die Zugriff auf OPC im Auftrag eines HÄNDLERS erhalten wollen, erfolgt die Freischaltung des Zugangs durch den HÄNDLER unter Verwendung des vom DIENSTLEISTER geneierten Einladungslinks.

3.4.3     Den inhaltlichen und zeitlichen Umfang, in dem der DIENSTLEISTER Zugriff auf die Steuerung der Marktplatzaktivitäten erhält, bestimmt der jeweilige HÄNDLER. Eine Erweiterung des Umfangs der vom DIENSTLEISTER gesteuerten Marktplatzaktivitäten des jeweiligen HÄNDLERS erfordert dessen gesonderte Zustimmung.

3.4.4     Der HÄNDLER hat jederzeit die Möglichkeit dem DIENSTLEISTER über OPC den Zugriff zu entziehen oder diesen einzuschränken.

3.4.5     Der DIENSTLEISTER ist für sämtliche Nutzer verantwortlich, die das Dienstleisterprogramm über den Zugang des DIENSTLEISTERS nutzen.  

3.5        Garantien des DIENSTLEISTERS

Der DIENSTLEISTER garantiert,

3.5.1     für jeden Datenaustausch mit der API den OAuth-Standard zu nutzen;

3.5.2     im oder über das Dienstleisterprogramm keinerlei Inhalte oder Daten hochzuladen, bereitzustellen oder anderweitig verarbeiten zu lassen, die das Dienstleisterprogramm, die API, OPC, den Marktplatz oder andere Services von OTTO beeinträchtigen könnten, insbesondere rechtswidrige Inhalte oder Malware;

3.5.3     vom jeweiligen HÄNDLER zur Steuerung der Marktplatzaktivitäten im dafür erforderlichen Umfang bevollmächtigt zu sein;

3.5.4     dafür Sorge zu tragen, dass innerhalb des Unternehmens des DIENSTLEISTERS nur die dafür qualifizierten und vorgesehenen Mitarbeiter Zugang zur Nutzung des Dienstleisterprogramms bekommen;

3.5.5     innerhalb der von OTTO kommunizierten angemessenen Frist die technischen Voraussetzungen für die Umstellung auf eine neue API-Version zu schaffen;

3.5.6     dem HÄNDLER bei der Wahrnehmung der Marktplatzaktivitäten zu ermöglichen, die jeweils gültigen Marktplatznutzungsbedingungen einhalten zu können;

3.5.7     im Zusammenhang mit der Nutzung des Dienstleisterprogramms von OTTO oder Dritten geforderte Angaben, vollständig und wahrheitsgemäß zu beantworten und zur Verfügung zu stellen und OTTO unverzüglich über Änderungen dieser Angaben zu informieren.

3.6        Verfügbarkeit

OTTO ist bemüht, das Dienstleisterprogramm, OPC und die API 24h/365 Tage zur Verfügung zu stellen. Jedoch kann die Verfügbarkeit des Dienstleisterprogramms, von OPC und der API durch höhere Gewalt oder durch Wartungsarbeiten oder andere downtimes eingeschränkt sein.

3.7        Änderungen am Dienstleisterprogramm, OPC oder der API

3.7.1     OTTO wird von Zeit zu Zeit Änderungen am Dienstleisterprogramm, an OPC oder der API vornehmen, wozu auch gelegentlich auch Änderungen gehören können, die nicht rückwärtskompatibel sind. Soweit diese Änderungen planbar sind, wird OTTO den DIENSTLEISTER vorab über die Änderungen informieren.

3.7.2     Der DIENSTLEISTER ist dafür verantwortlich, aufgrund solcher Änderungen eventuell erforderliche Anpassungen an seiner Soft- und Hardware auf eigene Kosten vorzunehmen.

§ 4        Vergütung

Die Nutzung des Dienstleisterprogramms ist grundsätzlich kostenfrei.

§ 5        Meldung von Datenleaks

Der DIENSTLEISTER ist verpflichtet, erkannte oder vermutete Datenleaks oder andere Vorkommnisse, die geeignet sind, die Sicherheit und Integrität des Dienstleisterprogramms, OPC der API, des Marktplatzes oder der Markplatzaktivitäten zu beeinträchtigen, unverzüglich per Telefon (+49 040 6461-1666) und/ oder per E-Mail incident-alert@otto.de an OTTO zu melden.

§ 6        Zugangsbeschränkungen und sonstige Einschränkungen der Nutzung des Dienstleisterprogramms, von OPC und der API

6.1        Im Falle einer Verletzung dieser Nutzungsbedingungen, oder soweit dies aus Gründen der Sicherheit oder Integrität des Dienstleisterprogramms, von OPC, der API, des Marktplatzes oder der Markplatzaktivitäten erforderlich oder wegen begründeter Verdachtsfälle geboten sein sollte, ist OTTO berechtigt, den Zugang zum Dienstleisterprogramm, von OPC und/ oder der API zeitweise oder dauerhaft zu beschränken.

6.2        Einschränkungen oder Auswirkungen in der Nutzung des Dienstleisterprogramms, von OPC und/ oder der API können sich auch dadurch ergeben, dass die Nutzung des Marktplatzes für den jeweiligen HÄNDLER nach Maßgabe der Marktplatznutzungsbedingungen eingeschränkt (bspw. im Falle von Produktsperrungen wegen Verletzung der Marktplatznutzungsbedingungen) oder in Folge einer Beendigung des Vertrages zwischen OTTO und dem HÄNDLER die Verbindung des HÄNDLERS zur API und/ oder OPC deaktiviert wird. 

§ 7        Laufzeit und Kündigung

7.1        Der Vertrag läuft auf unbestimmte Zeit und kann jederzeit mit einer Frist von einem (1) Monat zum Ende eines jeden Kalendermonats gekündigt werden. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.

7.2        Die Kündigung hat mindestens in Textform zu erfolgen. Der DIENSTLEISTER kann seine Kündigung richten an partnerintegration@otto.market.

§ 8        Haftung von OTTO und Freihaltung von Ansprüchen

8.1        Soweit die Nutzung des Dienstleisterprogramms unentgeltlich erfolgt, richtet sich die Haftung von OTTO nach §§ 599, 600 BGB. Andernfalls gelten für die Haftung von OTTO die nachfolgenden Ziffern 8.2 bis 8.5.

8.2        OTTO haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, für die Verletzung von Leben, Leib oder Gesundheit, nach den Vorschriften des Produkthaftungsgesetzes und bei Übernahme einer Garantie. OTTO haftet nicht für leicht fahrlässige Verletzungen nicht wesentlicher Vertragspflichten (Kardinalpflichten). Die Verletzung einer Kardinalpflicht liegt vor, wenn eine Vertragspflicht nicht erbracht wird, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der ENTWICKLER regelmäßig vertrauen darf. In diesem Fall ist die Haftung jedoch auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.

8.3        Vorbehaltlich von Ziff. 8.2 Satz 1, haftet OTTO nicht für entgangenen Gewinn, ausgebliebene Einsparungen, mittelbare Schäden und Folgeschäden.

8.4        Vorbehaltlich von Ziff. 8.2 Satz 1, wird die Haftung von OTTO für Datenverlust auf den gewöhnlichen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und den Risiken angemessener Anfertigung von Sicherheitskopien durch den DIENSTLEISTER eingetreten wäre. Angemessen ist insoweit, dass der DIENSTLEISTER mindestens einmal täglich eine gesonderte Sicherung seiner Daten durchführt.

8.5        Mit Ausnahme der Haftung nach Ziff. 8.2 Satz 1, gelten die vorstehenden Haftungsbeschränkungen für alle Schadensersatzansprüche, unabhängig von deren Rechtsgrund und einschließlich von Schadensersatzansprüchen aus unerlaubter Handlung. Die vorstehenden Haftungsbeschränkungen gelten auch im Falle etwaiger Schadensersatzansprüche gegen Mitarbeiter, Vertreter oder Organe von OTTO.

8.6        Der DIENSTLEISTER hat OTTO auf erstes Anfordern von Ansprüchen freizuhalten, die Dritte, insbesondere die HÄNDLER, wegen einer Verletzung der unter Ziff. 3.5 genannten Garantien oder wegen einer schuldhaften Verletzung von Pflichten aus diesen Nutzungsbedingungen geltend machen.

§ 9        Vertraulichkeit

9.1        Die Parteien sind zur strengsten Verschwiegenheit hinsichtlich aller ihm im Rahmen dieses Vertrages und der Nutzung des Dienstleisterprogramms zur Kenntnis gelangenden vertraulichen Informationen verpflichtet und die Parteien werden die Vertraulichen Informationen ausschließlich im Zusammenhang mit dem Entwicklerprogramm verwenden.

9.2        Die jeweilige Partei darf die vertraulichen Informationen innerhalb ihres Geschäftsbetriebes nur der Geschäftsleitung und solchen Mitarbeitern, Beratern, Subunternehmern und sonstigen Beauftragten des eigenen Geschäftsbetriebs oder eines Geschäftsbetriebs eines verbundenen Unternehmens offenbaren, soweit dies für die erlaubte Nutzung der vertraulichen Informationen nach diesem Vertrag erforderlich ist.

9.3        Vertrauliche Informationen sind solche Informationen, die entweder als vertraulich gekennzeichnet oder bei denen sich aus ihrem Inhalt oder der Umstände vernünftigerweise ergibt, dass diese vertraulich zu behandeln sind. Insbesondere folgende Daten gelten als vertrauliche Informationen: a) Informationen über aktuelle und künftige Produkte oder Services; b) finanzielle, technische, betriebliche, vertriebliche und Marketing-Informationen; c) Informationen zu gewerblichen Schutzrechte, Ideen, Designs, Software, Analysen und Know-how; d) Geschäftsgeheimnisse, -pläne, -prognosen und -berichte, Pläne, Strategien, Angebote, Budgets, Preise und Kosten sowie Informationen über Vertragspartner und Kunden; e) Informationen in Bezug auf die Fähigkeiten, Kompetenzen und Vergütung von Mitarbeitern, Beratern und Dienstleistern und f) Daten des DIENSTLEISTERS aus der Selbstauskunft und dem Datensicherheitscheck.

9.4        Die Parteien werden ihre Angestellten, freien Mitarbeiter und andere beteiligte Unternehmen entsprechend der vorstehenden Regelung verpflichten und sie beaufsichtigen.

9.5        Die Geheimhaltungspflicht gilt über den Zeitraum dieses Vertrages hinaus für eine Dauer von drei (3) Jahren.

§ 10      Nutzung von Logos / Werbung

Der DIENSTLEISTER ist nur nach vorheriger ausdrücklicher per E-Mail erfolgender Zustimmung von OTTO berechtigt, Logos von OTTO oder „OTTO Market“ oder die Marke „OTTO“ zu verwenden. Gleiches gilt für etwaige Werbemaßnahmen in Bezug auf OTTO, insbesondere mit dem Namen „OTTO“ oder „OTTO Market“.

§ 11      Datenschutz und Datensicherheit

11.1      OTTO übermittelt die Kauf-/Bestellinformationen (Kaufdaten) der HÄNDLER, die über den Marktplatz im eigenen Namen und auf eigene Rechnung Produkte verkaufen, im Rahmen einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO ua. via OPC und/ oder der API an die HÄNDLER.

11.2      Entscheidet sich ein HÄNDLER die Kaufdaten durch einen DIENSTLEISTER über OPC und/ oder die API abzunehmen, so wird der DIENSTLEISTER insoweit als Auftragsverarbeiter im Sinne des Art 28 DSGVO für den HÄNDLER tätig. OTTO betrifft diese vertragliche und datenschutzrechtliche Situation nicht.

11.3      Der DIENSTLEISTER verpflichtet sich im Falle der Ziffer 11.2 S.1 dazu,

- mit dem HÄNDLER eine entsprechende Abrede zur Auftragsverarbeitung abzuschließen, die den gesetzlichen Ansprüchen des Art 28 DSGVO genügt, sowie

- bei der Datenverarbeitung gemäß Art 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, zu berücksichtigen. Näheres zu den zu berücksichtigenden Maßnahmen ergibt sich aus Anlage A.

- Sollte der DIENSTLEISTER im Rahmen der Verarbeitung der Daten Subunternehmer einsetzen und werden diese Subunternehmer als Auftragsverarbeiter im Sinne des Art 28 DSGVO tätig, schließt der DIENSTLEISTER mit den Subunternehmern eine den gesetzlichen Vorgaben entsprechende Abrede zur Auftragsverarbeitung. Verarbeitet ein Dritter die Daten als datenschutzrechtlich Verantwortlicher, schließt die Partei mit dem Dritten Regelungen zum Datenschutz, die den vorliegenden Regelungen entsprechen. Eine Übermittlung der Daten an Dritte ist nur unter Einhaltung der einschlägigen gesetzlichen Vorgaben zulässig.

Der DIENSTLEISTER verpflichtet sich, eine Strategie oder ein Handlungsleitfaden zu konzipieren und auf dem neuesten Stand zu halten, um potenzielle Sicherheitslücken aufzudecken und zu eliminieren. Der DIENSTLEISTER ist zudem verpflichtet, physische Hardware, welche personenbezogene Daten speichert, gegen technische Gefahren abzusichern, indem der DIENSTLEISTER regelmäßig Schwachstellenscans durchführt und identifizierte Risiken adressiert. Mindestens alle 180 Tage sind Scans zur Aufdeckung von Schwachstellen oder mindestens alle 365 Tage Penetrationstests durchzuführen. Vor jeder Code-Veröffentlichung ist eine Überprüfung auf potenzielle Schwachstellen obligatorisch. Der DIENSTLEISTER hat Änderungen an Speicherhardware zu überwachen.

§ 12      Auditrecht

OTTO oder ein von OTTO ausgewähltes Unternehmen kann auf Anfrage Aufzeichnungen, Einrichtungen, Abläufe, Software und Sicherheitssysteme auf Informationssicherheit prüfen, die in Verbindung mit der Nutzung der vom DIENSTLEISTER zur Verfügung gestellten Software oder sonstiger vom DIENSTLEISTER zu verantwortenden Systeme stehen. Der DIENSTLEISTER stellt OTTO etwaige vorliegende Prüfberichte auf Anforderung zur Verfügung. Vertrauliche Informationen, die im Rahmen solcher Prüfungen offengelegt werden, werden von OTTO vertraulich behandelt. Der DIENSTLEISTER unterstützt bei der Prüfung und wird eventuelle Mängel innerhalb eines angemessenen Zeitraums beheben. Der DIENSTLEISTER hat Nachweise für die Behebung in der von OTTO geforderten Form vorzulegen und von OTTO bestätigen zu lassen.

§ 13      Feedback

OTTO kann den DIENSTLEISTER um Feedback zum Dienstleisterprogramm bitten. Die Verwendung von Feedback des DIENSTLEISTERS steht im alleinigen Ermessen von OTTO. Soweit Feedback des DIENSTLEISTERS schutzrechtsfähige Inhalte enthalten sollte, räumt der DIENSTLEISTER OTTO an den entsprechenden Bestandteilen des Feedbacks ein einfaches, zeitlich unbefristetes, inhaltlich unbeschränktes, nicht widerrufliches und kostenfreies Recht zur Nutzung ein.

§ 14      Schlussbestimmungen

14.1      Änderungen und Ergänzungen dieses Vertrages – ausgenommen Ziff. 2.3 dieser Nutzungsbedingungen, einschließlich dieser Klausel – bedürfen der Schriftform.

14.2      Sollte eine Bestimmung dieses Vertrags ganz oder teilweise gegen gesetzliche Regelungen verstoßen oder aus sonstigen Gründen nichtig sein, wird dadurch die Gültigkeit dieser Nutzungsbedingungen ansonsten nicht berührt. Die nichtige oder unwirksame Bestimmung ist im gegenseitigen Einvernehmen durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlich angestrebten Zweck der unwirksamen Regelung am nächsten kommt.

14.3      Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts und des Internationalen Privatrechts. Ausschließlicher Gerichtsstand ist das jeweils zuständige Gericht am Firmensitz von OTTO.

Anlage A

Technische und Organisatorische Maßnahmen

Der DIENSTLEISTER gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die gesetzlich geforderten Sicherheitsmaßnahmen und wird sie auf Verlangen von OTTO nachweisen. Folgende besonderen technischen und organisatorischen Maßnahmen werden bei der Verarbeitung eingehalten:

1.            Vertraulichkeit

a)      Zutrittskontrolle (beispielsweise für Gebäude und Räume; an Schränke und Schächte)

Mindestmaßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird:

-    Sichere Schließanlage

-    Zutrittskontrollsystem

-    Überwachungseinrichtung, evtl. Einrichtung von Sicherheitszonen

b)      Zugangskontrolle (keine unbefugte Systembenutzung, beispielsweise unerlaubtes Hochfahren oder unbefugte Anmeldung in Systemen) Mindestmaßnahmen mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert werden:

-    sichere Authentifizierungsmechanismen (sicheres Passwort plus erweiterte Funktionen, wie Multi-Faktor-Authentifizierung)

-    Automatisches Sperren, Abmelden bei längerem Nicht-Gebrauch

-    Firewall

-    Virenschutz

c)       Zugriffskontrolle (Anwendungen ausführen, unerlaubte Tätigkeiten in DV-Systemen und Zugriffe auf Daten, Applikationen und Schnittstellen verhindern)

Mindestmaßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können.:

-    Differenzierte Berechtigungen für die DV-Systeme (Profile, Rollen)

-     Schwachstellenmanagement inkl. regelmäßiger Sicherheitsupdates (mindestens monatlich nach Updates suchen, bei schwerwiegenden Schwachstellen ad hoc

-    Implementierte und wirksame Löschkonzepte

-    Verwendung einer geeigneten Verschlüsselung (Verschlüsselung im Ruhezustand, innerhalb der Anwendung, im Transport)

-    Protokollierung, Überwachung und Alarmierung von Anmeldeversuchen

d)            Trennungskontrolle Mindestmaßnahmen, die gewährleisten, dass personenbezogene Daten, die zu unterschiedlichen Zwecken und für verschiedene Auftraggeber erhoben wurden, getrennt verarbeitet werden.

-    Logische Speicherung der Kundendaten nach Mandant

-    Test und Produktionsdaten müssen in getrennten Systemen verarbeitet werden

2.            Integrität

a)      Weitergabekontrolle

Mindestmaßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

-    modernste verschlüsselte Übertragung (in, innerhalb und außerhalb von Cloud-Umgebungen) und Speicherung

-    aktives Monitoring und Log-Management

b)      Eingabekontrolle (Nachvollziehbarkeit, Dokumentation)

Mindestmaßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:

-    Datenänderung nur möglich, wenn authentifiziert und autorisiert

-    Protokollierung, Überwachung und Alarmierung von Datenänderungen

-    Authentifizierte und autorisierte Zugangskontrollen

3.            Verfügbarkeit

Mindestmaßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust, gegen technische Störungen durch das Versagen der Betriebs-/Anwendungssoftware, vor fahrlässigen/vorsätzlichen Handlungen, vor schadenstiftender Software geschützt sind:

-    regelmäßige Backups, regelmäßige Wiederherstellungsübungen

-    Software, die Schutz vor Malware bietet

-    Business Impact Analyse und angemessene Skalierbarkeit von Infrastruktur und Services

-    Notfallplan zum Wiederaufbau von IT-Systemen, die personenbezogene Daten verarbeiten

-    DDoS-Schutz