Dropbox Business-Vereinbarung

Veröffentlicht am 14. September 2016

Diese Dropbox Business-Vereinbarung (die „Vereinbarung“) wurde zwischen der Dropbox International Unlimited Company (bei Unternehmen mit Hauptsitz außerhalb der Vereinigten Staaten, Kanadas oder Mexikos („Nordamerika“)) bzw. (bei Unternehmen mit Hauptsitz in Nordamerika) zwischen Dropbox, Inc., einer in Delaware eingetragenen Gesellschaft, (beide „Dropbox“) und der Organisation, die diesen Bedingungen zustimmt („Kunde“), geschlossen. Diese Vereinbarung regelt den Zugriff auf die Client-Software und Dienste von Dropbox Business (kurz „Dropbox Business“) und die Betaversionen, die Ihnen zur Verfügung gestellt werden (zusammen mit Dropbox Business: die „Dienste"). Mit dem Markieren des Kontrollkästchens „Ich stimme zu“, Ihrer Unterschrift unter dem Vertrag zu diesem Dienst oder Ihrer Verwendung der Dienste stimmen Sie dieser Vereinbarung als „Kunde“ von Dropbox zu.

Wenn Dropbox, Inc. im Namen des Kunden Kundendaten verarbeitet, die nationalen Gesetzen zur Implementierung der Richtlinie 95/46/EC der EU zum Datenschutz („EU-Datenschutzrichtlinie“) unterliegen, dann erklären Sie durch Klicken auf „Ich stimme zu“ gleichzeitig Ihr Einverständnis mit den EU-Standardvertragsklauseln mit Dropbox, Inc. für die Übertragung personenbezogener Daten an Auftragsverarbeiter gemäß Anhang 1.

Wenn Sie dieser Vereinbarung und Anhang 1 (falls zutreffend) zur Verwendung der Dienste durch ein Unternehmen zustimmen, stimmen Sie dieser Vereinbarung im Namen des Unternehmens zu. Sie müssen dazu berechtigt sein, diesen Bedingungen im Namen des Unternehmens zuzustimmen. Anderenfalls dürfen Sie das Unternehmen nicht für die Dienste registrieren.

1. Dienste.
   1. Bereitstellung der Dienste – Kunden und Nutzer eines Kontos für die von Dropbox angebotenen Dienste („Endnutzer“) können in Übereinstimmung mit dieser Vereinbarung auf die Dienste zugreifen.
   2. Technische Hilfsmittel und Datenverarbeitung – Dropbox setzt bei der Übertragung, Speicherung und Verarbeitung von Kundendaten mindestens die branchenüblichen technischen und unternehmerischen Sicherheitsmaßnahmen ein. Diese Maßnahmen sollen die Integrität der Kundendaten gewährleisten und vor unzulässigem oder unrechtmäßigem Zugriff auf Kundendaten und vor der unzulässigen oder unrechtmäßigen Verwendung und Verarbeitung von Kundendaten schützen. Der Kunde nimmt zur Kenntnis, dass Dropbox Kundendaten auch in den USA und außerhalb des Landes seines Wohnsitzes übertragen, speichern und verarbeiten kann. Insofern Kundendaten den Datenschutzgesetzen der EU unterliegen und von Dropbox als Auftragsverarbeiter, der im Namen des Kunden (als Datenverantwortlicher) handelt, verarbeitet werden, wird Dropbox diese Kundendaten gemäß den Anweisungen des Kunden nutzen und verarbeiten, um die Dienste bereitzustellen und den Verpflichtungen von Dropbox gemäß der Vereinbarung nachzukommen. „Kundendaten“ bezieht sich auf gespeicherte Daten und auf Kontodaten. „Gespeicherte Daten“ bezieht sich auf die Dateien und strukturierten Daten, die von Kunden oder Endnutzern an die Dienste gesendet werden. „Kontodaten“ bezieht sich auf das Konto und die Kontaktinformationen, die von Kunden oder Endnutzern an die Dienste gesendet werden.
   3. Änderung von Diensten – Dropbox wird von Zeit zu Zeit seine Dienste aktualisieren. Sollte Dropbox die Dienste in einer Art und Weise ändern, die deren Funktionalität entscheidend reduziert, setzt Dropbox den Kunden über die mit seinem Konto verknüpfte E-Mail-Adresse davon in Kenntnis.
   4. Software – Einige Dienste gestatten Kunden, Dropbox-Software herunterzuladen, die automatisch aktualisiert werden kann. Die Software darf nur für den Zugriff auf die Dienste verwendet werden. Wenn eine Softwarekomponente unter einer quelloffenen Lizenz angeboten wird, macht Dropbox die Lizenz für seinen Kunden verfügbar und die Bestimmungen der Lizenz können einige der Bedingungen in dieser Vereinbarung ausdrücklich aufheben.
   5. Betadienste – Dropbox bietet hin und wieder Features oder Produkte an, die sich noch in der Test- und Auswertungsphase befinden. Diese Produkte und Features werden als Alpha-, Beta-, Vorabversionen, Produktvorschau oder Produktauswertung bezeichnet oder durch Begriffe und Formulierungen mit ähnlicher Bedeutung umschrieben (in ihrer Gesamtheit „Betadienste“). Unbeschadet anders lautender Bestimmungen in dieser Vereinbarung oder in Anhang 1 gelten die folgenden Bedingungen für alle Betadienste: (a) die Verwendung der Betadienste steht Ihnen frei und Sie können sie ablehnen; (b) für Betadienste wird kein Support angeboten und sie können jederzeit und ohne vorherige Ankündigung geändert werden; (c) Betadienste bieten möglicherweise nicht dieselbe Zuverlässigkeit oder Verfügbarkeit wie Dropbox Business; (d) Betadienste unterliegen nicht denselben Sicherheitsmaßnahmen und Audits wie Dropbox Business; und (e) DROPBOX ÜBERNIMMT KEINERLEI HAFTUNG FÜR UMSTÄNDE, DIE SICH IN IRGENDEINER FORM AUS DER NUTZUNG DER BETADIENSTE ODER IM ZUSAMMENHANG DAMIT ERGEBEN. DIE NUTZUNG ERFOLGT AUF IHR EIGENES RISIKO.
2. Kundenverpflichtung.
   1. Einhaltung – Der Kunde haftet für die Nutzung der Dienste durch seine Endnutzer. Der Kunde und seine Endnutzer sind verpflichtet, die Dienste in Übereinstimmung mit den Nutzungsbedingungen zu verwenden. Der Kunde erlangt von seinen Endnutzern alle Genehmigungen, die notwendig sind, damit Administratoren die in dieser Vereinbarung beschriebenen Aufgaben ausführen und Dropbox die Dienste bereitstellen kann. Der Kunde hält sich an Gesetze und Bestimmungen die auf seine Verwendung der Dienste anwendbar sind.
   2. Verwaltung der Dienste durch den Kunden – Der Kunde kann Endnutzer über die Verwaltungskonsole als „Administratoren“ festlegen. Administratoren können auf die Kundendaten in dem Konto für den von Dropbox angebotenen Dienst zugreifen, sie offenlegen, beschränken oder aus dem Konto entfernen. Administratoren können den Zugriff auf diese Konten auch nachverfolgen, beschränken oder unterbinden. Die Zuständigkeiten von Dropbox erstrecken sich nicht auf das interne Management oder die Verwaltung der Dienste. Der Kunde haftet für (i) die Geheimhaltung der Kennwörter und Administratorenkonten, (ii) die Verwaltung des Zugangs zu Administratorenkonten und (iii) die Gewährleistung, dass die Nutzung der Dienste durch Administratoren im Rahmen dieser Vereinbarung liegt. Für den Fall, dass der Kunde die Dienste über einen Vertriebspartner erworben und einen Mitarbeiter dieses Vertriebspartners zum Administrator seines Kontos mit diesen von Dropbox angebotenen Diensten bestimmt hat, bestätigt der Kunde hiermit, dass ihm bekannt ist, dass der Vertriebspartner die Möglichkeit hat, Kontoinformationen zu kontrollieren, wie beispielsweise Kundendaten, und auf das Kundenkonto mit dem von Dropbox angebotenen Dienst wie oben beschrieben zugreifen kann.
   3. Unbefugte Nutzung & Zugriffe – Der Kunde verpflichtet sich, der unbefugten Nutzung der Dienste von Seiten der Endnutzer vorzubeugen, und unbefugte Nutzer der Dienste von der weiteren Nutzung der Dienste oder des Zugriffs darauf auszuschließen. Diese Dienste sind nicht für Endnutzer unter 13 Jahren bestimmt. Der Kunde wird sicherstellen, dass Kindern unter 13 Jahren die Verwendung des Dienstes untersagt ist. Werden dem Kunden Fälle von unbefugter Nutzung der Dienste, oder unbefugten Zugriffen auf diese bekannt, so muss er Dropbox umgehend davon informieren.
   4. Eingeschränkte Verwendung – Der Kunde wird (i) die Dienste nicht verkaufen, weitervermieten oder vermieten, (ii) die Dienste nicht für Tätigkeiten nutzen, aufgrund derer es durch Versagen der Dienste zu Schaden, Tod oder Verletzungen kommen kann, und (iii) sie auch nicht zurückentwickeln oder Dritte in solchen Handlungen unterstützen, es sei denn diese Einschränkung ist rechtlich nicht haltbar.
   5. Anfragen von Dritten
      1. Als „Anfrage von Dritten“ gilt eine Anfrage einer dritten Partei hinsichtlich der Unterlagen, die mit der Verwendung der Dienste des Endnutzers in Zusammenhang stehen, wie z. B. die darunter fallenden Daten des Endnutzer- oder Kundenkontos für den von Dropbox angebotenen Dienst. Zu Anfragen von Dritten gehören gültige Durchsuchungsbefehle, gerichtliche Anordnungen, Vorladungen oder andere Verfügungen, zu denen Endnutzer die schriftliche Einwilligung für eine Offenlegung gegeben haben.
      2. Der Kunde ist dafür verantwortlich, sämtliche Anfragen von Dritten mittels der ihm zugänglichen Informationen zu beantworten. Der Kunde wird versuchen, die erfragten Informationen selbst ausfindig zu machen, und Dropbox nur dann kontaktieren, wenn er diese Informationen auch trotz gewissenhafter Bemühungen nicht selbst erlangen kann.
      3. Dropbox wird alle wirtschaftlich zumutbaren Anstrengungen und Schritte unternehmen, die unter den geltenden Gesetzen und den für die Anfrage von Dritten geltenden Bedingungen möglich sind, um: (A) den Kunden umgehend über den Eingang einer Anfrage von Dritten zu informieren; (B) zumutbaren Forderungen von Seiten des Kunden bezüglich der Ablehnung von Anfragen von Dritten entgegenzukommen; und (C) dem Kunden die Informationen oder Hilfsmittel zukommen zu lassen, die zur Beantwortung der Anfrage von Dritten erforderlich sind (für den Fall, dass der Kunde nicht selbst in der Lage ist, auf diese Informationen zuzugreifen). Sollte der Kunde die Anfrage von Dritten nicht zeitnah beantworten können, so kann dies durch Dropbox geschehen. Dropbox ist hierzu aber nicht verpflichtet.
3. Dienste von Drittanbietern – Verwendet ein Kunde die Dienste im Zusammenhang mit den Diensten eines Drittanbieters (z. B. einen Dienst, der eine Dropbox-API verwendet), (a) übernimmt Dropbox keinerlei Verantwortung für die Tätigkeiten oder das Unterlassen einer Tätigkeit des Drittanbieters, einschließlich dessen Zugriff auf Kunden- oder Endnutzerdaten oder die Verwendung derselben, und (b) Dropbox bietet weder Gewährleistung noch Unterstützung für die Dienste des Drittanbieters.
4. Suspendierung
   1. Des Kontos eines Endnutzers durch Dropbox – In dem Fall, dass ein Endnutzer (i) gegen diese Vereinbarung verstößt oder (ii) die Dienste in einer Art und Weise nutzt, durch die es nach Ansicht von Dropbox zu Haftungsansprüchen kommen könnte, so kann Dropbox den Kunden dazu auffordern, das betroffene Endnutzerkonto zu suspendieren oder kündigen. Sollte der Kunde dieser Aufforderung nicht zeitnah nachkommen, kann die Kündigung des Kontos durch Dropbox erfolgen.
   2. Sicherheitsverstöße – Unabhängig davon, was in dieser Vereinbarung steht, kann Dropbox im Falle eines Sicherheitsverstoßes seine Dienste automatisch einstellen. Dropbox wird alle angemessenen Schritte unternehmen, die Suspendierung auf die Beseitigung oder Prävention eines Sicherheitsverstoßes zu beschränken. Als „Sicherheitsverstoß“ wird bezeichnet: (i) Die Nutzung der Dienste, die die Dienste, die Dienstnutzung anderer Kunden oder die Infrastruktur zur Bereitstellung der Dienste unterbricht oder unterbrechen könnte, und (ii) den unbefugten Zugriff auf die Dienste durch Dritte.
5. Recht des geistigen Eigentums 
   1. Eigentumsvorbehalt – Sofern hierin nicht anders angegeben, gewährt diese Vereinbarung (i) Dropbox weder das Recht des geistigen Eigentums an den Kundendaten noch (ii) dem Kunden das Recht des geistigen Eigentums an den Diensten, den Dropbox-Schutzmarken, und Markenkennzeichen. „Recht des geistigen Eigentums“ umfasst derzeitige und zukünftige weltweite durch Patent, Copyright, Geschäftsgeheimnis, Schutzmarke, Urheberpersönlichkeitsrecht und Ähnliches begründete Rechte.
   2. Beschränkte Berechtigung – Der Kunde erteilt Dropbox die beschränkten Rechte ausschließlich in dem Rahmen, in dem es für die Bereitstellung der Dienste erforderlich ist (z. B. für das Hosten gespeicherter Daten). Diese Genehmigung ist auf unsere Partnerunternehmen und auf Drittanbieter übertragbar, die mit Dropbox an der Bereitstellung des Dienstes arbeiten, wie beispielsweise Zahlungsanbieter für die Bearbeitung anfallender Gebühren.
   3. Anregungen – Dropbox behält sich das Recht vor, nach eigenem Ermessen und zu jeglichem Zweck, Bewertungen, Kommentare oder Anregungen, die Kunden oder Endnutzer eingesandt oder in den Dropbox-Foren gepostet haben, zu nutzen, zu ändern oder in seinen Produkten und Diensten, Lizenzen und Sublizenzen einzubinden, ohne dafür eine Verpflichtung gegenüber dem Kunden einzugehen.
   4. Kundenliste – Dropbox hat das Recht, den Namen des Kunden in einer Liste mit Dropbox-Kunden auf seiner Website oder in Werbeunterlagen zu veröffentlichen.
6. Gebühren und Zahlung 
   1. Gebühren – Der Kunde muss alle anfallenden Gebühren zahlen, indem er Dropbox bzw. dem vom Kunden gewählten Vertriebspartner gestattet, die dafür angegebenen Zahlungsmittel zu belasten. Gebühren können nur erstattet werden, sofern dies gesetzlich vorgeschrieben ist. Der Kunde verpflichtet sich, Dropbox bzw. dem vom Kunden gewählten Vertriebspartner seine Zahlungs- und Kontaktinformationen vollständig und korrekt mitzuteilen. Sollte die Zahlung der Gebühren überfällig sein, so kann Dropbox dem Kunden den Zugriff auf die Dienste verweigern oder kündigen.
   2. Automatische Verlängerung und Probeabos – WENN FÜR EIN KUNDENKONTO DIE EINSTELLUNG „AUTOMATISCHE VERLÄNGERUNG“ GEWÄHLT WURDE ODER ES SICH IM GÜLTIGKEITSZEITRAUM EINES PROBEABOS BEFINDET, KANN DROPBOX (BZW. DER VOM KUNDEN GEWÄHLTE VERTRIEBSPARTNER) NACH ABLAUF DES PROBEABOS ODER FÜR DIE VERLÄNGERUNG DES ABOS DIE ZAHLUNGSMITTEL DES KUNDEN AUTOMATISCH BELASTEN, ES SEI DENN, DER KUNDE FORDERT DROPBOX (BZW. DEN VOM KUNDEN GEWÄHLTEN VERTRIEBSPARTNER) AUF, DIE EINSTELLUNG „AUTOMATISCHE VERLÄNGERUNG“ AUFZUHEBEN ODER ZU DEAKTIVIEREN. Dropbox kann die Gebühren für die Dienste ändern, sofern der Kunde mindestens 30 Tage vor der nächsten fälligen Zahlung davon unterrichtet wird.
   3. Steuern – Der Kunde übernimmt die Zahlung sämtlicher anfallender Steuern. Dropbox bzw. der vom Kunden gewählte Vertriebspartner erhebt nur dann Steuern, wenn dies gesetzlich vorgeschrieben ist. Sollte der Kunde von der Zahlung von Steuern gesetzlich ausgenommen sein, so muss der Kunde Dropbox oder dem vom Kunden gewählten Vertriebspartner dies durch eine offizielle Steuerbescheinigung oder anderweitig belegen.
   4. Bestellungen – Wenn ein Kunde eine Auftragsbestätigung oder eine Bestellnummer benötigt, muss der Kunde (i) die Bestellnummer zum Zeitpunkt des Kaufs bereitstellen und (ii) bestätigen, dass keine der Bedingungen auf der Auftragsbestätigung des Kunden für diese Vereinbarung gilt und sie null und nichtig sind. Wenn der Kunde die Dienste über einen Vertriebspartner erworben hat, sind diejenigen Bestimmungen der Allgemeinen Geschäftsbedingungen des Vertriebspartners oder eines Kaufvertrags zwischen den beiden Parteien null und nichtig, die im Widerspruch zu der Dropbox Business-Vereinbarung stehen.
7. Laufzeit und Kündigung 
   1. Laufzeit – Diese Vereinbarung bleibt in Kraft bis das Abonnement des Kunden abläuft oder gekündigt wird, oder diese Vereinbarung gekündigt wird.
   2. Kündigung wegen Vertragsverletzung – Beide Parteien, sowohl Dropbox als auch der Kunde, sind berechtigt, den Vertrag zu kündigen, wenn die jeweils andere Partei (i) gegen eine wesentliche Vertragspflicht verstößt und die Pflichtverletzung trotz Fristsetzung nicht binnen 30 Tagen ab Eingang der schriftlichen Benachrichtigung behebt, oder (ii) seine Tätigkeit einstellt oder sich in einem Insolvenzverfahren befindet und dieses Verfahren innerhalb von 90 Tagen nicht abgewiesen wurde.
   3. Wirkung der Kündigung – Wird diese Vereinbarung gekündigt, (i) erlöschen die von Dropbox an den Kunden übermittelten Rechte mit sofortiger Wirkung (soweit im folgenden Abschnitt nicht anders vereinbart); (ii) kann Dropbox dem Kunden, zu den zu diesem Zeitpunkt aktuellen Gebühren Zugriff auf sein Konto ermöglichen, sodass der Kunde seine gespeicherten Daten exportieren kann; und (iii) Dropbox kann nach einem wirtschaftlich zumutbaren Zeitraum sämtliche mit diesem Kundenkonto in Verbindung stehende Daten löschen. Die folgenden Abschnitte bleiben auch nach Kündigung dieser Vereinbarung gültig: 2(e) (Anfragen von Dritten), 5 (Recht des geistigen Eigentums), 6 (Gebühren und Zahlung), 7(c) (Wirkung der Kündigung), 8 (Freistellung), 9 (Ausschlussklausel), 10 (Haftungsbeschränkung) und 12 (Weitere Bestimmungen).
8. Freistellung 
   1. Durch den Kunden – Der Kunde verpflichtet sich, Dropbox in Bezug auf alle Ansprüche, Schäden und Kosten, (einschließlich angemessener Kosten für Anwälte und die Beilegung des Rechtsstreits), die sich aus Ansprüchen Dritter in Bezug auf (i) Kundendaten, (ii) die hinsichtlich dieser Vereinbarung unrechtmäßige Nutzung der Dienste durch den Kunden oder (iii) die hinsichtlich dieser Vereinbarung unrechtmäßige Nutzung der Dienste durch den Endnutzer ergeben, freizustellen, zu verteidigen und schadlos zu halten.
   2. Durch Dropbox – Dropbox verpflichtet sich, den Kunden in Bezug auf alle Ansprüche, Verluste, Schäden, Strafen oder Kosten, (einschließlich angemessener Kosten für Anwälte und die Beilegung des Rechtsstreits), die sich aus Ansprüchen Dritter gegen den Kunden ergeben und auf der Behauptung basieren, dass die Technologie, die von Dropbox zur Bereitstellung der Dienste verwendet wird, das Copyright, ein Geschäftsgeheimnis, US-Patent oder Markenschutzrecht einer Drittpartei verletzt, freizustellen, zu verteidigen und schadlos zu halten. Gemäß dieses Abschnitts übernimmt Dropbox keinerlei Verantwortung oder Haftung für Sachverhalte, die sich (i) aus der Nutzung modifizierter Dienste oder in Verbindung mit Materialien ergeben, die nicht von Dropbox zur Verfügung gestellt werden, oder (ii) auf Inhalten, Informationen oder Daten von Kunde, Endnutzer oder Dritten beruhen.
   3. Mögliche Verletzung der Rechte Dritter – Wenn Dropbox angemessenen Grund zu der Annahme hat, dass die Dienste die gewerblichen Schutzrechte eines Dritten verletzen, kann Dropbox folgende Schritte unternehmen: (i) auf Kosten von Dropbox das Recht zur weiteren Verwendung der Dienste einholen, (ii) einen funktional gleichwertigen Ersatz bereitstellen, der keine Rechte Dritter verletzt, oder (iii) die Dienste so ändern, dass sie keine Rechte Dritter mehr verletzen. Wenn Dropbox nicht der Ansicht ist, dass die vorstehenden Optionen wirtschaftlich angemessen sind, ist Dropbox berechtigt, die Verwendung der betroffenen Dienste durch den Kunden zu sperren bzw. zu beenden. Wenn Dropbox die betroffenen Dienste beendet, stellt Dropbox eine anteilige Rückerstattung der vom Kunden bereits für diese Dienste gezahlten Gebühren bereit.
   4. Allgemeines – Die Partei, die Haftungsfreistellung anstrebt, unterrichtet die andere Partei unverzüglich über die Forderungen und arbeitet mit ihr zur Abwendung der Forderung zusammen. Die zur Haftungsfreistellung verpflichtete Partei hat die vollständige Kontrolle und Weisungsgewalt über die Verteidigung, mit folgenden Ausnahmen: (i) Für jeden Vergleich, bei dem die Partei, die die Haftungsfreistellung anstrebt, verpflichtet ist, die Haftung einzugestehen oder Geld zu bezahlen, ist die vorherige schriftliche Zustimmung der betreffenden Partei erforderlich, wobei eine solche Zustimmung nicht in unangemessener Weise zurückgehalten oder verzögert werden darf. (ii) Die andere Partei darf sich mit eigenem Rechtsbeistand und auf eigene Kosten an der Verteidigung beteiligen. DIE OBEN STEHENDEN HAFTUNGSFREISTELLUNGEN SIND DAS EINZIGE RECHTSMITTEL FÜR DROPBOX UND SEINE KUNDEN AUS DIESER VEREINBARUNG BEI EINER VERLETZUNG DER GEWERBLICHEN SCHUTZRECHTE DRITTER DURCH DIE ANDERE PARTEI.
9. Ausschlussklausel – DIE DIENSTE WERDEN „WIE HIER BESCHRIEBEN“ ANGEBOTEN. SOWEIT GESETZLICH ERLAUBT UND SOWEIT IN DIESER VEREINBARUNG NICHT ANDERS AUSDRÜCKLICH FESTGELEGT, WERDEN WEDER DER KUNDE NOCH DROPBOX UND SEINE VERTRAGSPARTNER IRGENDWELCHE GEWÄHRLEISTUNGEN GEBEN, WEDER AUSDRÜCKLICH, STILLSCHWEIGEND, GESETZLICH NOCH SONSTIGER NATUR, INKLUSIVE DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTVERLETZUNG VON RECHTEN. DER KUNDE HAFTET FÜR DIE PFLEGE UND SICHERUNG ALLER GESPEICHERTEN DATEN.
10. Haftungsbeschränkung 
    1. Beschränkung der indirekten Haftung – SOWEIT RECHTLICH ZULÄSSIG HAFTEN WEDER DROPBOX NOCH SEIN KUNDE, DIE VERTRAGSPARTNER, ZULIEFERER UND VERTEILER VON DROPBOX ÜBER DIE VERPFLICHTUNGEN DER HAFTUNGSFREISTELLUNG VON DROPBOX ODER SEINEM KUNDEN HINAUS FÜR (I) INDIREKTE SCHÄDEN, SPEZIELLE SCHÄDEN, FOLGESCHÄDEN, EXEMPLARISCHE SCHÄDEN ODER SCHADENERSATZ ODER (II) ENTGANGENE NUTZUNG, DATEN-, EINKOMMENS- ODER GEWINNVERLUST (GLEICHGÜLTIG OB DIREKT ODER INDIREKT) ODER GESCHÄFTSAUSFALL, SELBST WENN DIE PARTEI WUSSTE ODER HÄTTE WISSEN SOLLEN, DASS SOLCHE SCHÄDEN MÖGLICH WAREN, UND SELBST WENN DIE DIREKTEN SCHÄDEN KEINE RECHTSMITTEL RECHTFERTIGEN.
    2. Beschränkung der Haftungshöhe – SOWEIT GESETZLICH ZULÄSSIG, IST DER GESAMTHAFTUNGSUMFANG VON DROPBOX IM RAHMEN DIESER VEREINBARUNG AUF DEN NIEDRIGEREN BETRAG BESCHRÄNKT, DER SICH ENTWEDER AUF 100.000 USD ODER AUF DEN VOM KUNDEN FÜR DIE DIENSTE GEZAHLTEN BETRAG BELÄUFT. ALS BERECHNUNGSZEITRAUM GELTEN DIE ZWÖLF MONATE VOR DEM ZUR HAFTUNG FÜHRENDEN EREIGNIS GEMÄSS DIESER VEREINBARUNG.
11. Streitigkeiten
    1. Informelle Lösung – Dropbox möchte Ihre Probleme mit Dropbox gerne ohne Unterstützung eines Gerichts aus der Welt schaffen. Daher stimmen die Parteien überein, eine Streitigkeit vor Einreichung einer Klage zu lösen, indem die eine die andere Partei entsprechend dem in Abschnitt 12 (e) erläuterten Verfahren kontaktiert. Sollte eine Streitigkeit nicht innerhalb von 30 Tagen nach Benachrichtigung beigelegt sein, kann der Kunde oder Dropbox ein formelles Verfahren einleiten.
    2. Schiedsvereinbarung – Der Kunde und Dropbox kommen überein, alle diese Bedingungen oder die Dienste betreffenden Ansprüche, mit Ausnahme der unter Ausnahmen von der Schiedsvereinbarung erläuterten Situationen, durch ein abschließendes und verbindliches Schiedsverfahren zu klären. Die American Arbitration Association (AAA) wird das Schiedsverfahren im Rahmen seiner Commercial Arbitration Rules (Handelsschiedsgerichtsordnung) entscheiden. Das Schiedsverfahren wird in San Francisco (CA) oder einem anderen, schriftlich und einvernehmlich bestimmten Standort durchgeführt.
    3. Ausnahmen von der Schiedsvereinbarung – Jede der beiden Parteien kann eine Klage im Bundes- oder Landesgericht von San Francisco County, Kalifornien mit dem ausschließlichen Ziel eines Unterlassungsanspruchs anstrengen, um die unzulässige Verwendung oder den Missbrauch der Dienste oder eine Rechtsverletzung des geistigen Eigentums ohne das oben beschriebene informelle Benachrichtigungsverfahren zu unterbinden. Sowohl der Kunde als auch Dropbox stimmen dem Schiedsort zu und erkennen die dortige Gerichtshoheit an.
    4. KEINE GEMEINSCHAFTSKLAGEN – Kunden dürfen Streitigkeiten mit Dropbox nur einzeln beilegen und keine gemeinschaftliche, konsolidierte oder Verbandsklage anstrengen. Gruppenschiedsverfahren, Sammelklagen, Private Attorney General-Klagen und Konsolidierung mit anderen Schiedsverfahren sind nicht gestattet.
12. Weitere Bestimmungen 
    1. Änderungen der Bedingungen – Dropbox kann diese Vereinbarung von Zeit zu Zeit ändern. Die aktuelle Version ist stets von der Website für Dropbox Business abrufbar. Bei nach eigenem Ermessen wesentlichen Änderungen erfolgt eine schriftliche Benachrichtigung per E-Mail an die mit dem betreffenden Konto verknüpfte Adresse. Andere Änderungen werden auf dem Dropbox-Blog oder der Seite mit den Rechtsinformationen veröffentlicht. Es liegt in der Verantwortung des Kunden, diese Stellen auf Veröffentlichungen zu überprüfen. Mit seiner Nutzung des Dienstes nach Inkrafttreten der Änderungen stimmt der Kunde der geänderten Vereinbarung zu. Wenn der Kunde der geänderten Vereinbarung nicht zustimmt, steht es ihm frei, die Dienste zu kündigen.
    2. Gesamte Vereinbarung – Diese Vereinbarung, die Kundenrechnung und das Bestellformular von Dropbox (falls zutreffend) stellen hinsichtlich des hier festgelegten Gegenstands die gesamte Vereinbarung zwischen dem Kunden und Dropbox dar und heben alle vorherigen oder gleichzeitig vorhandenen, schriftlichen oder mündlichen Vereinbarungen zu diesem Gegenstand auf. Wenn ein Widerspruch zwischen den Dokumenten besteht, aus denen sich diese Vereinbarung zusammensetzt, gilt folgende Rangfolge der Dokumente: zuerst die von Dropbox ausgestellte Rechnung, dann das Bestellformular von Dropbox und schließlich die Vereinbarung.
    3. Geltendes Recht – DIE VEREINBARUNG UNTERSTEHT KALIFORNISCHEM RECHT UNTER AUSSCHLUSS DER REGELUNGEN DES INTERNATIONALEN PRIVATRECHTS.
    4. Salvatorische Klausel – Falls eine der Bedingungen in dieser Vereinbarung nicht durchsetzbar ist, wird sie gemäß den Absichten der Partei in dem Maße geändert, in dem sie durchgesetzt werden kann und die übrige Vereinbarung bleibt unbeschadet dessen nach wie vor wirksam.
    5. Mitteilungen – Mitteilungen müssen in den USA per First Class, außer Landes per Luftpost oder Kurierdienst geschickt werden, und gelten bei Aushändigung als erhalten: Mitteilungen können außerdem an die mit dem entsprechenden Konto verknüpfte E-Mail-Adresse gesendet werden und gelten nach dem Senden als erhalten. Mitteilungen an Dropbox sind mit Kopie an die Rechtsabteilung (Legal Department) zu senden an Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, USA.
    6. Verzichtserklärung – Der Verzicht auf die Geltendmachung einer Bestimmung dieser Vereinbarung stellt keinen Verzicht auf eine nachfolgende Geltendmachung dar.
    7. Abtretung – Der Kunde darf keinen Teil dieser Vereinbarung oder darin erläuterte Rechte oder Verpflichtungen ohne schriftliche Zustimmung von Dropbox abtreten oder übertragen. Dropbox darf diese Vereinbarung nur nach Benachrichtigung des Kunden übertragen, es sei denn, Dropbox überträgt diese Vereinbarung oder darin erläuterte Rechte oder Verpflichtungen auf einen Vertragspartner oder in Verbindung mit einer Fusion, einer Übernahme, einer Neuorganisation des Unternehmens oder dem vollständigen oder teilweisen Verkauf aller Vermögenswerte. Jeder anderweitige Versuch der Abtretung oder Übertragung ist nichtig.
    8. Keine Geschäftsbesorgung – Dropbox und Kunde sind unabhängige Vertragspartner und diese Vereinbarung gilt nicht als Begründung einer (Handels-)Vertretung oder einer Partnerschaft zwischen den beiden Parteien.
    9. Höhere Gewalt – Mit Ausnahme der Zahlungsverpflichtungen sind weder Dropbox noch der Kunde haftbar für unzureichende Vertragserfüllung, soweit diese durch einen Umstand wie Naturkatastrophen, Kriegshandlungen oder terroristische Handlungen, Unruhen, Arbeitsbedingungen, staatliche Maßnahmen und Störungen des Internets verursacht wurde, die außerhalb der zumutbaren Einflussmöglichkeiten der Partei lagen.
    10. Keine Drittbegünstigung – Aus diesem Vertrag ergeben sich keine Drittbegünstigten. Ohne diesen Abschnitt zu begrenzen, gelten die Endnutzer eines Kunden nicht als Drittbegünstigte der Rechte des Kunden im Rahmen dieser Vereinbarung.
    11. Ausfuhrbeschränkungen – Die Ausfuhr und Wiederausfuhr von Daten im Rahmen der Dienste unterliegen den Bestimmungen der Ausfuhrverordnung des amerikanischen Exportkontrollrechts (Export Administration Regulations, EAR) und anderen geltenden Ausfuhrbeschränkungen oder Sanktionen. Die Verwendung dieser Dienste ist in Kuba, dem Iran, Nordkorea, dem Sudan, Syrien und allen anderen Ländern untersagt, über die von den Vereinigten Staaten Sanktionen verhängt wurden, und es liegt in der Verantwortung des Kunden sicherzustellen, dass die Dienste nicht so verwendet werden, dass sie gegen die US-amerikanischen Ausfuhrbeschränkungen bzw. Sanktionen oder andere geltende Gesetze verstoßen. Außerdem obliegt es dem Kunden sicherzustellen, dass die Dienste nicht Personen auf der Table of Denial Orders (Schwarze Liste), der US Entity List oder der Specially Designated Nationals List bereitgestellt werden.

gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist

Bezeichnung der Organisation (Datenexporteur): Der Kunde, der Vertragspartei der Dropbox Business-Vereinbarung mit der Dropbox International Unlimited Company ist
(der Datenexporteur)

und

Bezeichnung der Organisation (Datenimporteur): Dropbox, Inc.
Anschrift: 333 Brannan Street, San Francisco, CA 94107 USA
(der Datenimporteur)

(die „Partei“, wenn eine dieser Organisationen gemeint ist, die „Parteien“, wenn beide gemeint sind)

VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

1. die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr¹;
2. der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
3. der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten, und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
4. der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;
5. der Begriff „ anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;
6. die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

1. Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Der Datenexporteur erklärt sich bereit und garantiert, dass:

1. die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
2. er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
3. der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
4. die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
5. er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
6. die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;
7. er jede vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5(b) und Klausel 8(3) erhaltene Benachrichtigung der Kontrollstelle des Datenexporteurs melden wird, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Suspendierung aufzuheben;
8. er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls eine Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
9. bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
10. er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Der Datenimporteur erklärt sich bereit und garantiert, dass:

1. er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
2. er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
3. er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
4. er den Datenexporteur unverzüglich informiert über
   1. alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
   2. jeden zufälligen oder unberechtigten Zugang und
   3. alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
5. er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;
6. er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;
7. er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
8. er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;
9. der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;
10. er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen
2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in Klausel 3 oder 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.
   Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
   1. die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
   2. die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Kontrollstellen

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
2. Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss³. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
3. Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

In den Abschnitten A und C und in den Anhängen verwendete Kernbegriffe, die hier nicht definiert sind, werden in der Bedeutung verwendet, die in der Dropbox Business-Vereinbarung zwischen dem Datenexporteur und der Dropbox International Unlimited Company festgelegt wurde.

1. Sicherheits-Audit – Der Datenimporteur ist nach ISO/IEC 27001:2013 und ISO/IEC 27018:2014 zertifiziert und behält diese durch eine unabhängige externe Prüfstelle ausgestellten Zertifizierungen bei. Der Datenimporteur unterzieht sich für die gesamte Vertragslaufzeit auch weiterhin regelmäßigen ISO/IEC 27001:2013- und ISO/IEC 27018-Audits, die zur Beibehaltung dieser Zertifizierungen erforderlich sind. Der Datenimporteur unterzieht sich darüber hinaus regelmäßig Service Organization Control 2 (SOC 2) Typ II-Audits. Unter Einhaltung der Datenschutzverpflichtungen des Datenimporteurs, jedoch nicht mehr als einmal im Jahr, stellt der Datenimporteur dem Datenexporteur auf schriftliche Anfrage eine Ausfertigung des SOC 2 Typ II-Berichts zur Verfügung. Der Datenimporteur stellt neue SOC 2-Berichte bei deren Abschluss unter Einhaltung seiner Vertraulichkeitsrichtlinien zur Verfügung. Der Datenimporteur prüft regelmäßig seine externen Subservice-Partner, die Audits gemäß den Standards for Attestation Engagements No. 16 (SSAE 16) / International Standard on Assurance Engagements No. 3402 (ISAE 3402) Service Organization Control 1 (SOC 1) Type II oder Service Organization Control 2 (SOC 2) Type II zur Beurteilung von Struktur und Wirksamkeit ihrer Sicherheitsrichtlinien, -verfahren und -kontrollen unterlaufen.

   Der Datenexporteur stimmt zu, dass die in diesem Abschnitt A aufgeführten Verpflichtungen des Datenimporteurs den Auditrechten gemäß Klausel 5(f) und Klausel 12 (2) der Klauseln in vollem Umfang genügen.

2. Vergabe von Unteraufträgen – Der Datenimporteur ist berechtigt, andere Unternehmen mit der Bereitstellung eingeschränkter Teile der Dienste im Namen des Datenimporteurs zu beauftragen (einschl. Supportdiensten), und der Datenexporteur stimmt der Vergabe von Unteraufträgen für die Verarbeitung personenbezogener Informationen an in den Klauseln beschriebene Unterauftragsverarbeiter zu. Der Datenimporteur sorgt dafür, dass jeder Unterauftragsverarbeiter nur wie in einer schriftlichen Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter festgehalten auf personenbezogene Daten zugreifen und diese nutzen wird. Der Datenexporteur erkennt an, dass jegliche Anforderungen, die gemäß der Klauseln in Bezug auf Vereinbarungen mit Unterauftragsverarbeitern für den Datenimporteur gelten, in vollem Umfang einzuhalten sind, vorausgesetzt, die zwischen dem Datenimporteur und dem Unterauftragsverarbeiter geschlossene Vereinbarung für die Unterauftragsverarbeitung bietet mindestens dasselbe Maß an Datenschutz, das die Dropbox Business-Vereinbarung vorschreibt.
3. Haftung – Die Klauseln unterliegen den Haftungsbeschränkungen und -ausschlüssen im Abschnitt „Haftungsbeschränkung“ der Dropbox Business-Vereinbarung, sodass die Gesamthaftung des Datenimporteurs und der Dropbox International Unlimited Company zusammengenommen die in der Dropbox Business-Vereinbarung festgehaltene maximale Haftung nicht überschreiten. Zur Vermeidung von Missverständnissen ist der Datenexporteur nicht berechtigt, denselben Schaden beim Datenimporteur und bei der Dropbox International Unlimited Company geltend zu machen.

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können entsprechend den nationalen Verfahren diesen Anhang um erforderliche Zusatzangaben ergänzen.

Datenexporteur:

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):

Der Kunde im Rahmen der Dropbox Business-Vereinbarung mit der Dropbox International Unlimited Company.

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):

Dropbox, Inc., ein globaler Anbieter von Clouddiensten für Einzelpersonen und Unternehmen. Dropbox, Inc. und seine Partner stellen eine Website, Software und Anwendungen für Mobilgeräte bereit, mit deren Hilfe Nutzer Dateien speichern, Dateien über mehrere Geräte hinweg synchronisieren und mit anderen gemeinsam bearbeiten können. Auf die Dienste von Dropbox, Inc. kann auch über Anwendungsprogrammierschnittstellen (APIs) zugegriffen werden.

Betroffene Personen

Die übermittelten personenbezogenen Daten gelten für folgende Kategorien betroffener Personen (bitte genau angeben):

Die Endnutzer des Datenexporteurs und die Endnutzer der Partner des Datenexporteurs, u. a. Mitarbeiter, Berater und Auftragnehmer des Datenexporteurs, sowie jegliche Einzelpersonen, die mit Endnutzern der Dienste des Datenimporteurs zusammenarbeiten oder Inhalte mit diesen teilen. 

Kategorien von Daten

Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben):

Informationen, die Endnutzer identifizieren, Unternehmensdaten (online und offline) sowie Dokumente, Bilder und andere Inhalte oder Daten, die in elektronischem Format gespeichert oder vom Endnutzer über die Dienste des Datenimporteurs übertragen werden.

Verarbeitung

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben):

Der Datenimporteur bzw. dessen Unterauftragsverarbeiter nutzen und verarbeiten personenbezogene Daten und der Datenexporteur weist den Datenimporteur an, personenbezogene Daten zur Bereitstellung von Diensten gemäß der Dropbox Business-Vereinbarung zu nutzen und zu verarbeiten.

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Ansprechpartner für Datenschutzfragen

Der Datenschutzbeauftragte des Datenimporteurs ist erreichbar unter privacy@dropbox.com.

Sicherheitsvorkehrungen

Der Datenimporteur hat angemessene administrative, technische und physische Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen, die im Sicherheits-Whitepaper zu Dropbox Business (verfügbar ab dem Datum des Inkrafttretens unter: https://www.dropbox.com/…/Security_Whitepaper.pdf) erläutert und unten ausgeführt sind, und wird diese weiterhin aufrechterhalten. Der Datenimporteur kann diese Sicherheitsvorkehrungen von Zeit zu Zeit aktualisieren. Die jeweils aktuelle Version wird unter der obigen URL (bzw. einer anderen vom Datenimporteur mitgeteilten URL) zur Verfügung gestellt, wobei der Datenimporteur den Datenexporteur zu benachrichtigen hat, wenn der Datenimporteur die Sicherheitsvorkehrungen auf eine Art und Weise ändert, die eine erhebliche Beeinträchtigung der administrativen, technischen oder physischen Sicherheitsmerkmale darstellt, die darin oder in diesem Anhang 2 festgehalten sind.

1. Sicherheit des Dienstes
   1. Dropbox-Systemarchitektur – Der Dienst des Datenimporteurs verfügt über mehrere Sicherheitsebenen, einschließlich Datentransfer, Verschlüsselung, Netzwerkkonfiguration sowie Steuerelemente auf Anwendungsebene, die über eine skalierbare, sichere Infrastruktur verteilt sind. Endnutzer des vom Datenimporteur angebotenen Dienstes können jederzeit über den Desktop, online und über mobile Clients auf Dateien und Ordner zugreifen. Alle diese Clients stellen Verbindungen mit sicheren Diensten her, über die Zugriff auf Dateien gewährt wird, die Freigabe von Dateien für andere Nutzer ermöglicht wird sowie die Aktualisierung verknüpfter Geräte durchgeführt wird, wenn Dateien hinzugefügt, verändert oder gelöscht werden. Der Dienst kann über eine Reihe von Benutzeroberflächen genutzt werden. Jede einzelne besitzt Sicherheitseinstellungen und Funktionen, die die Daten verarbeiten und schützen und dem Nutzer gleichzeitig einfachen Zugriff bieten.
   2. Zuverlässigkeit – Der Dienst des Datenimporteurs ist mit mehreren Redundanzebenen versehen, um Nutzer vor Datenverlusten zu schützen und die Verfügbarkeit zu gewährleisten.
   3. Verschlüsselung – Um Daten bei der Übertragung zwischen dem Datenexporteur und dem Datenimporteur zu schützen, verwendet der Datenimporteur Secure Sockets Layer (SSL)/Transport Layer Security (TLS) und richtet einen sicheren Tunnel ein, der durch eine AES-Verschlüsselung (Advanced Encryption Standard) mit mindestens 128 Bit geschützt ist. Dokumente werden mit einer 256-Bit-AES-Verschlüsselung gespeichert. Die Infrastruktur zur Schlüsselverwaltung des Datenimporteurs umfasst betriebliche, technische und prozesstechnische Sicherheitsmaßnahmen und bietet nur sehr begrenzten Direktzugriff auf Schlüssel. Erzeugung, Austausch und Speicherung des Schlüssels werden für eine dezentralisierte Verarbeitung verteilt.
   4. Nutzerverwaltungsfunktionen – Endnutzer des vom Datenimporteur angebotenen Dienst können verloren gegangene Dateien und frühere Dateiversionen wiederherstellen. Damit ist sichergestellt, dass Änderungen an diesen Dateien nachverfolgt und abgerufen werden können. Der Dienst des Datenimporteurs ermöglicht die Nutzung eines zweistufigen Authentifizierungsverfahrens, das zusätzlichen Schutz bietet.
   5. Rechenzentren – Die Unternehmens- und Produktionssysteme des Datenimporteurs befinden sich in Rechenzentren externer Subservice-Anbieter in den USA. Alle Service Organization Control-Berichte, d. h. SOC 1- und SOC 2-Berichte, aus den Rechenzentren von Subservice-Unternehmen werden mindestens einmal jährlich vom Datenimporteur auf hinreichende Sicherheitsmaßnahmen überprüft.
2. Informationssicherheit
   1. Richtlinien – Der Datenimporteur hat umfassende Sicherheitsrichtlinien festgelegt, die Bereiche der Informationssicherheit, der physischen Sicherheit, des Umgangs mit Sicherheitsverletzungen, des logischen Zugriffs, des Zutritts in die Produktionsumgebung, des Änderungsmanagements und des Supports abdecken. Diese Richtlinien werden mindestens einmal im Jahr überprüft und genehmigt. Die Mitarbeiter des Datenimporteurs werden über Aktualisierungen dieser Richtlinien benachrichtigt und nehmen an entsprechenden Sicherheitsschulungen teil.
   2. Personalrichtlinien und Zugang – Die internen Richtlinien des Datenimporteurs erfordern Verfahren für die Integration von Mitarbeitern einschließlich Zuverlässigkeitsüberprüfungen (soweit zulässig gemäß örtlich geltenden Gesetzen), Anerkennung der Sicherheitsrichtlinien, Übermittlung von Aktualisierungen der Sicherheitsrichtlinien und Geheimhaltungsvereinbarungen. Der Zugang wird Mitarbeitern und Auftragnehmern sofort entzogen, sobald diese das Unternehmen verlassen. Der Datenimporteur wendet technische Zugangskontrollen und interne Richtlinien an, um Mitarbeiter daran zu hindern, willkürlich auf Dateidaten zuzugreifen, und um den Zugang zu Metadaten und sonstigen Informationen zu Endnutzerkonten einzuschränken. Damit Schutz und Sicherheit der Endnutzerdaten gewährleistet sind, ist es nur sehr wenigen Mitarbeitern oder Auftragnehmern gestattet, auf die Umgebung zuzugreifen, in der die Endnutzerdateien gespeichert sind. Ein Nachweis der Zutrittsanfrage, der Begründung und der Genehmigung werden von der leitenden Stelle verwahrt und der Zutritt wird vom zuständigen Personal gewährt.
   3. Netzwerksicherheit – Der Datenimporteur unterhält Mechanismen zur Sicherung der Netzwerksicherheit und zur Überwachung, die mehrere Ebenen des Schutzes und der Verteidigung bieten. Der Datenimporteur wendet branchenübliche Schutztechniken an, einschließlich Firewalls, Überwachung der Netzwerksicherheit sowie Einbruchmeldesysteme, damit nur zulässiger Datenverkehr die Infrastruktur des Datenimporteurs erreichen kann.
   4. Änderungsmanagement – Der Datenimporteur gewährleistet, dass alle sicherheitsrelevanten Änderungen vor der Implementierung in die Produktionsumgebung autorisiert wurden. Quellcode-Änderungen werden von Entwicklern angefordert, die eine Verbesserung an einer Anwendung oder einem Dienst des Datenimporteurs vornehmen möchten. Änderungen an der Infrastruktur des Datenimporteurs können nur von befugtem Personal durchgeführt werden. Alle Änderungen an der Anwendungsebene der Dienste müssen einer automatisierten Qualitätssicherung (QS) unterzogen werden, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Bei erfolgreichem Abschluss des QS-Verfahrens werden die Änderungen implementiert.
   5. Compliance (Konformität) – Der Datenimporteur, dessen Rechenzentrumspartner und Managed Service Provider unterziehen sich regelmäßigen Sicherheits-Audits, die von einem unabhängigen Drittanbieter durchgeführt werden. Der Datenimporteur nimmt weiterhin an regelmäßigen Audits gemäß ISO/IEC 27001:2013 und ISO/IEC 27018:2014 teil. Der Datenimporteur überprüft auch alle SOC 1- und SOC 2-Berichte für sämtliche Subservice-Unternehmen. Falls der SOC 1- bzw. SOC 2-Bericht eines Subservice-Partners nicht zur Verfügung stehen sollte, führt der Datenimporteur persönliche Sicherheitsprüfungen vor Ort durch, um zu gewährleisten, dass die geltenden physischen, umgebungsbedingten und betrieblichen Sicherheitsmaßnahmen den Kontrollkriterien und vertraglichen Anforderungen entsprechen. Der Datenimporteur überprüft laufend weitere Zertifizierungen und Konformitätsversicherungen, die dem Datenimporteur von Subservice-Partnern zur Verfügung gestellt werden.
3. Physische Sicherheit
   1. Infrastruktur – Zutritt zu Subservice-Unternehmenseinrichtungen, in denen sich Produktionssysteme befinden, ist auf vom Datenimporteur autorisierte Mitarbeiter beschränkt und gilt nur soweit, wie der Zutritt für die Ausübung der Aufgaben dieser Mitarbeiter notwendig ist. Einzelpersonen, die außerdem Zutritt zu den Einrichtungen der Produktionsumgebung benötigen, ist dies nur nach ausdrücklicher Genehmigung von der zuständigen leitenden Stelle gestattet.
   2. Büroräume – Der Datenimporteur unterhält ein Team für die physische Sicherheit, das dafür zuständig ist, die Richtlinien für physische Sicherheit durchzusetzen und für die Einhaltung aller Sicherheitsbestimmungen in den Büroräumen des Datenimporteurs zu sorgen. Zugang zu Bereichen, die Unternehmensdienste bereitstellen, ist auf autorisiertes Personal mit erhöhten Rechten beschränkt, die über das Badge-Zugriffssystem gewährt werden.