1 Einbezug und Geltungsbereich
(1) Die nachstehenden Allgemeinen Geschäftsbedingungen („AGB“) finden auf sämtliche gegenwärtigen und künftigen Vertragsbeziehungen Anwendung, in denen die SIGN8 GmbH, Fürstenrieder Str. 5, 80687 München, („SIGN8“) mit ihren Kunden einen Vertrag über die Nutzung der Produktpalette der SIGN8 oder einzelne Produkte hieraus („SIGN8 Lösung“) schließt. Teil der SIGN8 Lösung sind insbesondere (qualifizierte) Vertrauensdienste, sonstige Zertifizierungsleistungen sowie damit verbundene Support- und Beratungsleistungen. Die AGB finden auch auf vorvertragliche Schuldverhältnisse Anwendung.
(2) Für das Angebot der SIGN8 Lösung gelten ausschließlich diese AGB. Allgemeine Geschäftsbedingungen des Kunden, die von diesen AGB abweichen, ihnen widersprechen oder sie ergänzen, werden nicht Bestandteil des Vertrags zwischen SIGN8 und dem Kunden – auch dann nicht, wenn SIGN8 von deren Inhalt Kenntnis hat –, es sei denn, SIGN8 hat ihrer Geltung ausdrücklich und schriftlich zugestimmt. Dies gilt ebenfalls, wenn SIGN8 abweichenden Bedingungen im Einzelfall nicht ausdrücklich widerspricht oder auf Schriftwechsel Bezug genommen wird, der Allgemeine Geschäftsbedingungen des Kunden oder eines Dritten enthält oder auf solche verweist.
(3) SIGN8 erbringt, sofern nichts anderes schriftlich vereinbart ist, Leistungen ausschließlich auf Grundlage des jeweiligen Angebots und Vertrags („SIGN8 Lizenzvertrag“) in Verbindung mit den hier beschriebenen AGB, den Lizenznutzungsbedingungen, den hinzugezogenen Service Level Agreements, dem jeweils aktuellen Certificate Practice Statement und PKI Disclosure Statement sowie der jeweils aktuellen Time Stamping Policy der SIGN8, welche alle Vertragsbestandteil sind („Vertragsdokumente“). Die Nutzung unseres Dienstes ist auf die dort beschriebenen Zwecke und Anwendungsbereiche beschränkt. Eine Nutzung darüber hinaus erfolgt auf eigenes Risiko. Für Schäden, die durch eine Nutzung außerhalb dieser Beschränkungen entstehen, übernimmt SIGN8 keine Haftung.*
(4) Ein Vertrag zwischen der SIGN8 und dem Kunden¹ kommt durch zwei übereinstimmende Willenserklärungen der Vertragsparteien über im SIGN8 Lizenzvertrag (inklusiver aller Vertragsdokumente) geschlossenen Vereinbarungen zustande gem. §§ 145 ff. BGB.
(5) Weitere Informationen zu den Vertrauensdiensten von SIGN8 sind unter folgendem Link öffentlich zugänglich: https://sign8.eu/trust/. Dort befinden sich Details zu SIGN8 als qualifiziertem Vertrauensdiensteanbieter, dem Certificate Practice Statement, dem PKI Disclosure Statement und dem Conformity Assessment Report.*
2 Allgemeiner Vertragsgegenstand und Funktionsumfang der Leistungen
(6) SIGN8 bietet (qualifizierte) Vertrauensdienste gemäß der Verordnung (EU) Nr. 910/2014 („eIDAS“) und der Verordnung (EU) Nr. 2024/1183 des europäischen Parlamentes und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 hinsichtlich der Schaffung eines europäischen Rahmens für die digitale Identität („eIDAS 2.0“, gemeinsam die „eIDAS-Verordnungen“) („Vertrauensdienste“), sowie weitere Zertifizierungsdienste und unterstützende Leistungen an.
(7) Die SIGN8 Lösung richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB (hierzu zählen auch Freiberufler) und juristische Personen des öffentlichen Rechts wie Körperschaften, Anstalten, Stiftungen und Behörden; Verbraucher im Sinne des § 13 BGB sind vom Vertragsschluss ausgeschlossen. Dass Kunden entsprechend in geschäftlicher Kapazität und nicht als Privatpersonen (Verbraucher) agieren, bestätigen Kunden durch und bei Vertragsschluss, insbesondere ausdrücklich durch Bestätigen eines entsprechenden Pflichtfelds bei Anlegen einer Organisation im Rahmen des Registrierungsprozesses der SIGN8 Lösung. Die zulässige Nutzung durch Verbraucher als Unterzeichner bzw. User der SIGN8 Lösung im Rahmen eines von einem Kunden initiierten Signaturverfahrens bleibt hiervon unberührt.
(8) Einzelheiten zu den angebotenen Leistungen sind im Vertragsangebot der SIGN8 oder sonstigen Vertragsdokumenten und etwaigen Individualvereinbarungen in Schrift- oder Textform geregelt. Die dort enthaltenen Angaben sind als Leistungsbeschreibungen und nicht als Garantien zu verstehen. Eine Garantie wird nur gewährt, wenn sie als solche ausdrücklich bezeichnet worden ist.
(9) Die von SIGN8 angebotenen Vertrauensdienste umfassen fortgeschrittene („FES“) und qualifizierte elektronische Signaturen („QES“), fortgeschrittene und qualifizierte elektronische Siegel („QSeal“), qualifizierte elektronische Zeitstempel („QTimestamp“) im Sinne der eIDAS-Verordnungen sowie die nötige technische Umgebung.
(10) Zur Prüfung der Konformität mit den eIDAS-Verordnungen wird SIGN8 regelmäßig durch eine anerkannte Konformitätsbewertungsstelle gemäß Artikel 3 Nr. 18 eIDAS auditiert. Im Rahmen der Audits wird, neben der Dokumentation (Sicherheitskonzept, Certificate Practice Statement sowie weitere interne Dokumente), die Erbringung der Vertrauensdienste und Einhaltung maßgeblicher Vorgaben vorab und in regelmäßigen Abständen überprüft. Weitere Informationen zur Konformitätsprüfung finden Sie in unserem Certificate Practice Statement, abrufbar via https://sign8.eu/trust.*
(11) SIGN8 wird als qualifizierter Vertrauensdiensteanbieter gemäß den eIDAS-Verordnungen mit ihren qualifizierten Diensten in der offiziellen EU-Vertrauensliste („EU Trusted List“) geführt. Für die rechtliche Anerkennung eines Zertifikats als qualifiziert ist erforderlich, dass die Validierung durch geeignete Software anhand der in der EU Trusted List veröffentlichten Angaben zum konkreten qualifizierten Dienst erfolgt. Erfolgt die Validierung nicht unter Verwendung dieser vertrauenslistenbasierten Informationen, kann das Zertifikat nicht als qualifiziert im Sinne der eIDAS-Verordnungen gelten.
(12) Die SIGN8 Lösung dient der Beschleunigung, Vereinfachung und Digitalisierung bestehender Dokumentenprozesse des Kunden. Mit Vertragsschluss erhält der Kunde (Lizenznehmer im Sinne der Lizenznutzungsbedingungen) das vertraglich vereinbarte, nicht ausschließliche Nutzungsrecht an der SIGN8 Lösung sowie die technische Möglichkeit, auf die Anwendung zuzugreifen und deren Funktionalitäten gemäß den Lizenznutzungsbedingungen zu verwenden. Die Nutzung bestimmter Funktionen, insbesondere qualifizierter Vertrauensdienste (z. B. qualifizierte elektronische Signaturen, Siegel oder Zeitstempel), setzt eine vorherige erfolgreiche Identifizierung oder Authentifizierung voraus.
(13) Eine rechtliche oder anderweitige Beratung, in Bezug auf die Art der Signatur bzw. des Siegels oder Zeitstempels, die Art des Vertrages, etwaige Form- und Fristvorschriften fällt nicht in den Dienstleistungsbereich der SIGN8. Durch SIGN8 werden einfache, fortgeschrittene und qualifizierte elektronische Signaturen, fortgeschrittene und qualifizierte elektronische Siegel, qualifizierte elektronische Zeitstempel sowie die nötige technische Umgebung bereitgestellt. Eine Haftung für etwaige falsch oder unpassend gewählte Signatur-, Siegel- oder Zeitstempelformen schließt SIGN8 aus.
(14) Die von SIGN8 zur Bereitstellung der SIGN8 Lösung verwendeten Server liegen innerhalb der Europäischen Union.
(15) Je nach gebuchtem Produkt erfolgen qualifizierte Signaturen und Siegel von vom Hersteller unterstützten Dateitypen durch den Kunden unter Nutzung eines eigenen qualifizierten elektronischen Signaturerstellungssystems gemäß Artikel 3 Nr. 23 eIDAS (sog. „Qualified Signature/Seal Creation Device“, kurz „QSCD“) mittels einer Hardwarekomponente (etwa eines USB-Tokens) mit qualifiziertem Zertifikat („lokales Zugriffsmodell“ bzw. „lokale QSCD“) oder durch SIGN8 über ein von dieser betriebenes QSCD („Fernzugriffsmodell“ bzw. „Fern-QSCD“). Die jeweiligen Pflichten der Vertragsparteien richten sich nach dem gewählten Signaturmodell (siehe dazu insbesondere die Randziffern (45) und (59)c).*
(16) SIGN8 behält sich vor, ein lokales QSCD noch vor Ablauf des jeweiligen Nutzungszeitraums auszutauschen, sofern dies zur Wahrung des geltenden Rechts, aus Sicherheitsgründen, aus berechtigtem Interesse der SIGN8 oder sonstigen wichtigen Gründen erforderlich ist. SIGN8 wird dabei in angemessener Weise auf die Interessen betroffener Kunden Rücksicht nehmen.
(17) Die Identifizierung des Kunden für qualifizierte Dienste übernimmt die SIGN8 regelmäßig nicht selbst, sie wird durch einen externen Drittanbieter durchgeführt. Die SIGN8 erhält durch den Drittanbieter lediglich die Bestätigung der Identität des Kunden. Bei einem QSeal hingegen wird durch SIGN8 der jeweilige Handelsregisterauszug oder ein Dokument eines vergleichbaren Verzeichnisses der juristischen Person überprüft.
(18) SIGN8 bietet mit SIGN8 Ident einen Dienst zur Vor-Ort-Identifizierung an, der durch vertraglich beauftragte SIGN8 Ident Agenturen durchgeführt wird. Die Nutzung wird ergänzend durch eine gesonderte Vereinbarung geregelt.
(19) SIGN8 bietet mit der SIGN8 Trust Center Infrastruktur (TCI) eine vom Kunden betriebene Infrastruktur zur Ausstellung und Verwaltung qualifizierter elektronischer Zertifikate an. SIGN8 stellt dem Kunden hierzu eine vollständige oder teilweise ausgestattete Systemumgebung (Rechenzentrum) zur Verfügung, über die dieser unter Kontrolle und Aufsicht von SIGN8 Signaturzertifikate erstellen kann. Die Nutzung wird ergänzend durch eine gesonderte Vereinbarung geregelt.
(20) SIGN8 unterstützt die digitalen Signaturformate PAdES nach ETSI EN 319 142-1 V1.1.1 und EN 319 142-2 V1.1.1, JAdES nach ETSI TS 119 182-1 V1.1.1 sowie CAdES nach ETSI EN 319 122-1 V1.1.1 und ETSI EN 319 122-2 V1.1.1. Die Unterstützung dieser Formate ermöglicht die Erstellung fortgeschrittener und qualifizierter elektronischer Signaturen gemäß den Anforderungen der eIDAS-Verordnungen.*
(21) Für Zwecke der Abrechnung und Nachverfolgbarkeit wird die Anzahl der in Anspruch genommenen Signaturen zum Zeitpunkt des Versands eines Workflows bzw. bei Erstellung einer Signaturanfrage über die API verbindlich erfasst.
(22) Dritte, die sich auf von SIGN8 erbrachte Vertrauensdienste verlassen („Relying Parties“), sind verpflichtet, vor Verwendung die Gültigkeit des jeweiligen Zertifikats oder Signatur-, Siegel- bzw. Zeitstempel-Prüfergebnisses zu überprüfen. Dies kann beispielsweise über den von der Europäischen Kommission bereitgestellten Prüfdienst, DSS Demonstration WebApp, erfolgen (abrufbar unter: https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation). Im Fall qualifizierter elektronischer Zeitstempel ist insbesondere zu prüfen, ob der Zeitstempel korrekt erstellt wurde und ob das bei der Signatur verwendete Zertifikat der Time Stamping Unit („TSU“) zum Zeitpunkt der Prüfung gültig war und nicht gesperrt oder kompromittiert wurde. Während der Gültigkeitsdauer des zugehörigen TSU-Zertifikats kann dies anhand des aktuellen Sperrstatus (z. B. über OCSP) erfolgen; nach Ablauf der Gültigkeit gelten die in Anhang D der ETSI EN 319 421 beschriebenen Maßgaben. Zudem sind die in den Lizenznutzungsbedingungen und der Vertrauensdienstrichtlinie maßgeblichen Nutzungs- und Gültigkeitsbeschränkungen zu beachten. Insbesondere sind etwaige Beschränkungen der Verwendung qualifizierter Zeitstempel, wie sie in der jeweils gültigen SIGN8 Time Stamping Policy dokumentiert sind, verbindlich zu berücksichtigen. Darüber hinaus sind auch alle weiteren Vorgaben, Sicherheitshinweise und Nutzungseinschränkungen zu beachten, die sich aus geltenden Vereinbarungen, Richtlinien oder sonstigen begleitenden Dokumenten ergeben. Eine Nutzung über diese Grenzen hinaus erfolgt auf eigenes Risiko.*
(23) SIGN8 ist, auch ohne vorherige Genehmigung des Kunden, berechtigt Subunternehmer einzusetzen. Eine Liste der Subunternehmer, die als Auftragsverarbeiter agieren, kann bei Bedarf von SIGN8 zur Verfügung gestellt werden. Der Wechsel von Subunternehmern, u. a. auch der eingesetzten Identifizierungsanbieter, steht der SIGN8 grundsätzlich frei. SIGN8 ist in diesem Fall dazu verpflichtet, den vertraglich vereinbarten Funktionsumfang und die Sicherheitsstandards weiterhin uneingeschränkt zu gewährleisten.
(24) Während des Bestellprozesses werden Kunden auf die Website eines Online-Zahlungsdiensteanbieters weitergeleitet. Um den Rechnungsbetrag bezahlen zu können, müssen sie dort den Anweisungen des Online-Zahlungsdienstanbieters folgen und ihre für die Bezahlung benötigten Daten angeben sowie die Zahlungsanweisung bestätigen. Die Zahlungstransaktion wird durch den Online-Zahlungsdienstanbieter unmittelbar danach automatisch durchgeführt. Weitere Informationen erhalten Sie beim Bestellvorgang sowie in unserer Datenschutzerklärung. Beachten Sie weiterhin, dass die Allgemeinen Geschäftsbedingungen des Online-Zahlungsdienstanbieters ebenso gelten.
(25) Wenn nicht schriftlich oder in Textform an die SIGN8 (per E-Mail an customerservice@sign8.eu) mitgeteilt wurde, dass die in diesem Abschnitt sowie den Lizenznutzungsbedingungen aufgeführte Nutzung des Firmenlogos des Kunden nicht gewünscht ist oder es nicht ausdrücklich im Angebot vereinbart und erwähnt wurde, erlaubt und autorisiert der Kunde SIGN8 dazu, dessen Name und Logo für werbliche Referenzen in jeder Form und auf jedem Medium von SIGN8 für die Laufzeit der Services und bis zu drei Jahre über die Laufzeit hinaus zu nutzen. SIGN8 wird für diese Zwecke und in diesem Umfang von der Verpflichtung zur Wahrung der Verschwiegenheit entbunden.
(26) Alle Workflow-Dokumente werden nach einer Frist von 6 Monaten nach Erstellung und Senden des Workflows gelöscht. Der Kunde/Nutzer stimmt hiermit zu, dass SIGN8 berechtigt ist, vor Löschung des/r Dokuments/e dem Kunden/Nutzer an die bei der Anmeldung/Signatur angegebene Adresse eine Erinnerungs-E-Mail zu senden.
3 Nutzungs- und Urheberrechte
(27) Die dem Kunden gewährten Nutzungs- und Urheberrechte an der SIGN8 Lösung richten sich nach den Lizenznutzungsbedingungen der SIGN8, die der Kunde bei Vertragsschluss akzeptiert.
(28) Der Kunde erhält dabei das nicht ausschließliche, auf die Laufzeit dieses Vertrags zeitlich beschränkte Recht, auf die SIGN8 Lösung zuzugreifen und mittels einer Anwendung oder einer von SIGN8 bereitgestellten Schnittstelle die mit der SIGN8 Lösung verbundenen Funktionalitäten gemäß der Bestellung und des SIGN8 Lizenzvertrags zu nutzen. Darüber hinaus gehende Rechte, insbesondere an der SIGN8 Lösung, der Anwendung oder der Betriebssoftware erhält der Kunde nicht. Der Kunde erkennt ausdrücklich an, dass er kein geistiges Eigentumsrecht an der SIGN8 Lösung oder Teilen daran erhält, welche ausschließlich im Eigentum der SIGN8 verbleibt.
(29) Der Kunde ist nicht berechtigt, SIGN8 über die nach Maßgabe des zwischen den Parteien abgeschlossenen SIGN8 Lizenzvertrags, der SIGN8 Lizenznutzungsbedingungen sowie dieser AGB erlaubte Nutzung hinaus zu nutzen oder von Dritten über die nach Maßgabe der genannten Dokumente und sonstigen zwischen den Parteien getroffenen Vereinbarungen erlaubte Nutzung hinaus nutzen zu lassen bzw. diesen zugänglich zu machen. Insbesondere ist es dem Kunden nicht gestattet, die SIGN8 Lösung oder Teile davon zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, vor allem nicht zu vermieten, zu verleihen oder zu verleasen. Der Kunde ist nicht berechtigt, die SIGN8 Lösung oder einzelne Komponenten zu dekompilieren, disassemblieren oder jegliche Form des Reverse Engineering vorzunehmen (vgl. §§ 69d ff. UrhG).
(30) Wird die vertragsgemäße Nutzung von SIGN8 ohne Verschulden von SIGN8 durch Schutzrechte Dritter beeinträchtigt, so ist SIGN8 berechtigt, die hierdurch betroffenen Leistungen zu verweigern. SIGN8 wird den Kunden hiervon unverzüglich unterrichten und ihm in geeigneter Weise den Zugriff auf seine Daten ermöglichen. Der Kunde ist in diesem Fall nicht zur Zahlung verpflichtet. Sonstige Ansprüche oder Rechte des Kunden bleiben unberührt.
(31) Eine Selbstvornahme zur Behebung eines Mangels widerspricht dem eindeutigen Willen der SIGN8. Der Kunde wird dazu verpflichtet, SIGN8 über jegliche, auch mögliche, ihm bekannte Mängel in Kenntnis zu setzen.
4 Datenschutz und Datensicherheit
(32) Personenbezogene Daten werden datenschutzkonform nach geltendem Datenschutzrecht verarbeitet; dies gilt insbesondere in Bezug auf Verordnung (EU) 2016/679. Mehr zum Datenschutz bei Inanspruchnahme der SIGN8 Lösung finden Sie in unserer Datenschutzerklärung auf unserer Website, abrufbar unter https://www.sign8.eu/.*
(33) SIGN8 sowie ihre Kunden bzw. Nutzer werden die jeweils geltenden datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag eingesetzten Beschäftigten schriftlich zur Einhaltung des Datengeheimnisses und der Vertraulichkeit verpflichten, soweit diese nicht bereits entsprechend verpflichtet worden sind.*
(34) SIGN8 darf personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen staatlichen Stellen (etwa Behörden und Gerichten) übermitteln, soweit diese die Übermittlung auf Grundlage der hierfür geltenden gesetzlichen Vorschriften verlangen, da die Übermittlung erforderlich ist
a. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,
b. zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung,
c. zur Erfüllung gesetzlicher Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder
d. soweit Gerichte oder Behörden die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen.
Die Berechtigung zur Datenübermittlung gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist. SIGN8 hat die Übermittlung personenbezogener Daten zu dokumentieren. Die Dokumentation wird mindestens zwölf Monate aufbewahrt.*
(35) Hat die zuständige Stelle ein Verlangen nach Datenübermittlung gestellt, so unterrichtet sie die betroffene Person über die erfolgte Übermittlung der Daten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben gefährdet würde und solange das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt. Fünf Jahre nach der Übermittlung kann endgültig von der Benachrichtigung abgesehen werden, wenn die Voraussetzungen für die Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht eintreten werden.*
(36) Erhebt, verarbeitet oder nutzt der Kunde selbst oder durch SIGN8 personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insb. datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes SIGN8 von Ansprüchen Dritter frei.*
(37) Es wird klargestellt, dass der Kunde sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne die Kontrolle über die Daten behält. Der Kunde ist hinsichtlich der Verfügungsbefugnis und des Eigentums an sämtlichen kundenspezifischen Daten (eingegebene, verarbeitete, gespeicherte und ausgegebene Daten) Alleinberechtigter. SIGN8 übernimmt keinerlei Kontrolle der für den Kunden gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit der Erhebung, Verarbeitung und Nutzung; diese Verantwortung übernimmt ausschließlich der Kunde.
(38) Der Kunde erteilt SIGN8 die Erlaubnis, die zur Vertragsabwicklung erforderlichen Daten des Kunden unter Beachtung der datenschutzrechtlichen Vorschriften zu verarbeiten.
(39) Bei Bedarf werden die Parteien den erforderlichen Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvereinbarung nach Artikel 28 DSGVO) des Kunden gesondert abschließen und den vertraglichen Dokumenten als Anlage beifügen.
(40) SIGN8 trifft technische und organisatorische Sicherheitsvorkehrungen und Maßnahmen zur Gewährleistung des Datenschutzes. Der Kunde ist grundsätzlich nicht berechtigt, Zugang zu den Räumlichkeiten, Servern und Betriebssoftware sowie sonstigen Systemkomponenten von SIGN8 zu verlangen.
(41) Der Inhalt der Dokumente des Kunden, die auf das Portal von SIGN8 hochgeladen werden, ist für die Mitarbeiter der SIGN8 zugänglich. Jedoch sind die berechtigten Mitarbeiter lediglich in Ausnahmefällen (bspw. bei Supportanfragen) befugt, auf die Dateien zuzugreifen. Der Kunde wird über einen notwendigen Zugriff auf die genannten Dokumente informiert.
5 Pflichten und Verantwortung der SIGN8*
(42) SIGN8 sichert zu, die Zertifizierungs- und Vertrauensdienste im Rahmen des vom Kunden ausgewählten und bei Vertragsschluss von SIGN8 bestätigten Leistungsumfangs entsprechend den jeweils geltenden gesetzlichen Vorgaben oder vertraglich vereinbarten Regelwerken – etwa der eIDAS-Verordnung, der Zertifizierungsrichtlinie sowie des Certificate Practice Statements – bereitzustellen.
(43) SIGN8 verpflichtet sich, dem Kunden alle Unterlagen, Angaben, Daten und Informationen vorzulegen, die dieser für die Nutzung der SIGN8 Lösung benötigt.
(44) SIGN8 weist ausdrücklich darauf hin, dass sowohl ein fortgeschrittenes als auch ein qualifiziertes Siegel lediglich den Ursprung und die Unversehrtheit gemäß Artikel 3 Nr. 25 eIDAS eines Dokumentes bestätigt. Für ein QSeal gilt die Vermutung der Unversehrtheit der Daten, mit denen das QSeal verbunden ist, sowie der Richtigkeit der Angabe des Siegelerstellers gemäß Artikel 36 eIDAS. Eine QES hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (siehe Artikel 25 eIDAS). Ein QSeal hat die gleiche Rechtswirkung wie ein Unternehmensstempel (siehe Artikel 35 eIDAS). Ein QTimestamp belegt zuverlässig den Zeitpunkt, zu dem ein elektronisches Dokument vorlag, und begründet die Vermutung der Richtigkeit von Datum und Uhrzeit des Zeitstempels sowie dessen Integrität (siehe Artikel 41 eIDAS).
(45) SIGN8 verpflichtet sich, im Rahmen qualifizierter Signaturdienste ausschließlich qualifizierte elektronische Signatur-, Siegel- bzw. Zeitstempel-Erstellungssysteme (QSCD) gemäß Artikel 3 Nr. 23 eIDAS einzusetzen, sollte der Kunde ein Fernzugriffsmodell über ein von SIGN8 betriebenes QSCD buchen. Die Erstellung qualifizierter Signaturen, Siegel und Zeitstempel erfolgt in diesen Fällen ausschließlich mittels eines durch SIGN8 kontrollierten und entsprechend zertifizierten QSCD, etwa in Form eines Hardware Security Modells („HSM“), das den Anforderungen gemäß den eIDAS-Verordnungen und den anwendbaren Sicherheitsprofilen genügt. SIGN8 stellt sicher, dass QES, QSeals und QTimestamps im Rahmen dieses Dienstes nicht außerhalb eines solchen QSCD erzeugt werden. Die Verwendung privater (Signatur-)Schlüssel erfolgt ausschließlich im Auftrag und unter alleiniger Kontrolle des (Signatur-)Schlüsselinhabers sowie zur Erstellung qualifizierter elektronischer Signaturen, Siegel und Zeitstempel. Die Kontrolle des Kunden über die Erzeugung der qualifizierten elektronischen Signaturen, Siegel oder Zeitstempel wird durch den Einsatz starker Authentifizierungsverfahren sichergestellt. SIGN8 stellt zudem sicher, dass bei durch SIGN8 verwalteten Schlüsselmaterialien zur Erzeugung von QSeals die Schlüssel ausschließlich zur Erzeugung elektronischer Siegel verwendet werden; die Verwendung für andere Zwecke, insbesondere für Signatur- oder Verschlüsselungszwecke, wird technisch ausgeschlossen;
(46) SIGN8 verpflichtet sich, von einer über die den vertraglichen Bestimmungen hinausgehende Benutzung der Informationen, Unterlagen, Daten und allgemein sämtlicher Elemente, die ihr im Rahmen dieses Vertrags einzig zum Zwecke seiner Erfüllung übermittelt werden, Abstand zu nehmen. SIGN8 verpflichtet sich, diese Elemente nicht an Dritte weiterzugeben oder mit ihnen zu teilen, es sei denn, es handelt sich um ihre Subunternehmer im Rahmen der Erfüllung dieses Vertrags oder es liegt diesbezüglich ein ausdrücklicher Auftrag oder eine ausdrückliche Genehmigung des Kunden vor. Ebenso ist SIGN8 von der Verpflichtung des Stillschweigens entbunden, soweit gesetzliche Bestimmungen dies erfordern.
(47) SIGN8 verpflichtet sich, die ihr aufgrund dieses Vertrags obliegenden Pflichten sorgfältig und fachgerecht zu erfüllen. Sie garantiert für sich und verpflichtet ihre Subunternehmer, dass die in diesem Vertrag beschriebenen Dienste auf einem Sicherheits- und Vertraulichkeitsniveau erbracht werden, das den Anforderungen der eIDAS-Verordnungen entspricht. Gleichwohl erkennt der Kunde ausdrücklich an und akzeptiert, dass SIGN8 vorbehaltlich dieser Standards einer Pflicht zur Leistungserbringung unter Anwendung der erforderlichen Sorgfalt, unter Ausschluss jeglicher Erfolgsschuld, unterliegt.
(48) SIGN8 verpflichtet sich, alles daran zu setzen, um die Sicherheit von SIGN8 und der auf den Namen des Kunden angelegten Nutzerkonten zu gewährleisten. Die Haftung von SIGN8 ist jedoch bei mangelnder Wachsamkeit als auch bei mangelnden Sicherheitsvorkehrungen des Kunden bzw. der Nutzer hinsichtlich der Wahrung der Vertraulichkeit ihrer Nutzerkennung und ihres Passworts ausgeschlossen.
(49) SIGN8 verpflichtet sich, regelmäßige Kontrollen vorzunehmen, um die Funktion und die Zugänglichkeit von SIGN8 zu überprüfen. Im Hinblick darauf behält sich SIGN8 vor, den Zugang zur Anwendung aus Gründen der planmäßigen Wartung vorübergehend zu unterbrechen.
(50) SIGN8 haftet als Vertrauensdiensteanbieter gemäß Artikel 13 Absatz 1 eIDAS für alle Schäden, die natürlichen oder juristischen Personen vorsätzlich oder fahrlässig durch eine Verletzung der in den eIDAS-Verordnungen festgelegten Pflichten zurückzuführen sind. Da SIGN8 ein qualifizierter Vertrauensdiensteanbieter ist, wird gemäß Artikel 13 Absatz 1 Unterabsatz 2 eIDAS vermutet, dass eine schuldhafte Pflichtverletzung (Vorsatz oder Fahrlässigkeit) vorliegt, es sei denn, der qualifizierte Vertrauensdiensteanbieter weist nach, dass der Schaden nicht durch vorsätzliches oder fahrlässiges Verhalten entstanden ist. Gegenüber Unternehmern haftet SIGN8 bei leicht fahrlässiger Verletzung unwesentlicher Vertragspflichten nicht. Eine Haftung über die gesetzlich geregelten Ansprüche hinaus erfolgt generell nicht.
(51) Gemäß § 6 Vertrauensdienstegesetz (VDG) haftet SIGN8 für Dritte, die sie mit ihren originären Aufgaben nach den eIDAS-Verordnungen, nach dem VDG und nach der Rechtsverordnung gem. § 20 VDG beauftragt, wie für eigenes Handeln. § 831 Absatz 1 Satz 2 BGB findet dabei keine Anwendung.
(52) SIGN8 haftet nicht dafür, dass die von den Nutzern gebuchten Lizenzpakete und die darin enthaltenen Formen elektronischer Signaturen, Siegel, Zeitstempel oder sonstiger Validierungen für den jeweiligen Verwendungszweck geeignet sind oder richtig eingesetzt werden. Es liegt ausschließlich in der Verantwortung des Kunden bzw. Nutzers sicherzustellen, dass für jedes Dokument die passende Form der Signatur, des Siegels, des Zeitstempels oder der sonstigen Validierung verwendet wird.
(53) SIGN8 strebt eine Verfügbarkeit der angebotenen Vertrauensdienste von 99 % im Jahresdurchschnitt an. Geplante Wartungszeiten und Störungen aufgrund höherer Gewalt (z.B. Naturkatastrophen, Kriegshandlungen) sind hiervon ausgenommen. SIGN8 haftet insbesondere nicht bei vorübergehenden Schwierigkeiten oder der Unmöglichkeit des Zugangs zur SIGN8 Lösung, wenn dies durch Umstände verursacht wurde, auf die SIGN8 keinen Einfluss hat, welche SIGN8 nicht zu vertreten hat, durch höhere Gewalt oder durch Störungen in den Telekommunikationsnetzen entstanden sind.
(54) SIGN8 kann nicht für einen Verzug haftbar gemacht werden, der auf die verspätete oder schadhafte Übermittlung der für die Umsetzung der Dienste erforderlichen Informationen und Daten durch den Kunden oder auf Fehler, die nicht unmittelbar und ausschließlich von SIGN8 verschuldet wurden, zurückzuführen sind. SIGN8 haftet insbesondere nicht für die schadhafte Übermittlung und den Empfang der von SIGN8 übermittelten Informationen und Daten zum Kunden. SIGN8 haftet insbesondere nicht für den Umstand, falls die dem Kunden und/oder den Unterzeichnern im Rahmen der Erfüllung der Dienste zugesandten E-Mails in ihren Spam-Postfächern landen und sich daraus eine Verzögerung/Nichteinhaltung von Fristen ergibt.
(55) Solange SIGN8 noch kein qualifizierter Vertrauensdiensteanbieter im Sinne der eIDAS-Verordnungen ist, gilt die in Randziffer (50) der AGB genannte Beweislast zugunsten eines Anspruchstellers nicht. Die natürliche oder juristische Person, die einen Schaden nach Artikel 13 Absatz 1 Unterabsatz 1 eIDAS geltend macht, muss das Vorliegen einer Pflichtverletzung sowie eines vorsätzlichen oder fahrlässigen Handelns von SIGN8 selbst nachweisen.
(56) SIGN8 behält sich das Recht vor, ausgestellte Zertifikate zu widerrufen, sofern:
a. sie Kenntnis darüber erlangt, dass ein Zertifikat aufgrund falscher Angaben (gegenüber einer Person) erwirkt wurde; in diesem Fall kann der Grund für den Widerruf des Zertifikats zusätzlich kenntlich gemacht werden;
b. SIGN8 ihre Tätigkeit einstellt und das Zertifikat nicht von einem anderen Vertrauensdiensteanbieter fortgeführt wird;
c. ein hinreichend begründeter Verdacht des Missbrauchs eines Zertifikats besteht;
d. das Signaturschlüsselzertifikat der Zertifizierungsstelle oder das der zuständigen Behörde widerrufen wurde;
e. Tatsachen die Annahme rechtfertigen, dass die verwendeten elektronischen Signaturerstellungseinheiten Sicherheitsmängel aufweisen;
f. SIGN8 als Zertifizierungs- und Vertrauensdiensteanbieter aus sonstigen Gründen gesetzlich zum Widerruf verpflichtet ist;
g. der Kunde sich mit der Zahlung, seit mehr als 30 Tagen nach vorheriger Abmahnung und Fristsetzung zur Erfüllung seiner Zahlungsverpflichtung in Verzug befindet;
h. weitere Widerrufsgründe gemäß Artikel 14 VDG vorliegen.
i. SIGN8 bekannt wird, dass das zugrundeliegende Stammzertifikat („Root Certificate“) oder das Zertifikat selbst kompromittiert ist oder von der zuständigen Behörde widerrufen wurde. SIGN8 ist verpflichtet dies dem Kunden unmittelbar nach Kenntnisnahme mitzuteilen.
(57) SIGN8 behält sich das Recht vor, einen Antrag auf Erstellung eines Zertifikats abzulehnen, wenn die Antragsunterlagen nicht oder nicht vollständig vorliegen oder inkorrekt sind oder wenn Identifikationsunterlagen unvollständig, beschädigt bzw. inkorrekt sind. Nachdem alle Daten korrekt erfasst wurden, wird das Zertifikat aktiviert und ausgestellt.
(58) Einmal widerrufene Zertifikate können nicht erneut aktiviert werden. Für ein widerrufenes Zertifikat erfolgt keine Ersatzbereitstellung. Soll ein neues Zertifikat ausgestellt werden, ist dies gesondert zu vereinbaren.
6 Pflichten und Verantwortung des Kunden
(59) Der Kunde wird verpflichtet, die ihn zur Leistungserbringung und -abwicklung des SIGN8 Lizenzvertrags treffenden Pflichten zu erfüllen. Er wird insbesondere dazu verpflichtet:
a. die vereinbarten Preise fristgerecht zu zahlen;
b. die ihm zugeordneten Nutzungs- und Zugangsberechtigungen, das Schlüsselpaar sowie Identifikations- und Authentifikations-Sicherungen vor dem Zugriff durch Dritte zu schützen und nicht an unberechtigte Dritte weiterzugeben. Der Kunde wird insbesondere sicherstellen, dass die Benutzer keinem Dritten die Benutzung der Benutzerkonten an ihrer Stelle oder in ihrem Auftrag ermöglichen, es sei denn, sie übernehmen in diesem Rahmen die uneingeschränkte Haftung. Der Kunde bestätigt ausdrücklich, dass davon ausgegangen werden kann, dass die etwaige Nutzung der Dienste mit diesen Verbindungsdaten durch die entsprechenden Benutzer erfolgt;*
c. im Falle eines lokalen Zugriffsmodells bzw. einer lokal eingesetzten QSCD (im Sinne der Randziffer (15) der AGB), QES ausschließlich mittels eines QSCD gemäß Artikel 3 Nr. 23 eIDAS Verordnung zu erzeugen und zu verwenden. Das vom Kunden eingesetzte QSCD wird von SIGN8 bereitgestellt und entspricht den Anforderungen der eIDAS-Verordnungen sowie den jeweils anwendbaren Durchführungsrechtsakten und ist entsprechend zertifiziert. Der Kunde stellt zudem sicher, dass der private Schlüssel ausschließlich zur Erstellung elektronischer Signaturen genutzt wird und jegliche anderweitige Nutzung des Schlüssels, insbesondere zu Authentifizierungs- oder Verschlüsselungszwecken, ausgeschlossen ist. Der Kunde verpflichtet sich, das mit dem qualifizierten Zertifikat für elektronische Siegel verknüpfte Schlüsselpaar ausschließlich zur Erzeugung von QSeals zu verwenden; die Nutzung für andere Zwecke, insbesondere für elektronische Signaturen, Zeitstempel oder Datenverschlüsselung, ist zu unterlassen;*
d. im Rahmen seiner Nutzung der Dienste die geltenden Rechtsvorschriften einhält und Abstand von der etwaigen Verletzung der Rechte Dritter oder gesetzlicher Verordnungen nimmt. Zudem wird er dafür Sorge tragen, dass (z. B. bei der Übernahme von Texten und Daten Dritter auf von SIGN8 genutzten Servern) alle gewerblichen Schutz- und Urheberrechte beachtet werden. SIGN8 kann bei Verletzung der genannten Rechte durch den Kunden in keiner Weise haftbar gemacht werden;
e. die erforderliche Einwilligung des jeweils Betroffenen einzuholen, soweit er im Rahmen der Nutzung der SIGN8 Lösung personenbezogene Daten erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand eingreift;
f. SIGN8 nicht missbräuchlich zu nutzen oder nutzen zu lassen, insbesondere keine rechts- oder sittenwidrigen Inhalte übermittelt oder auf solche Informationen hinweist, die unter den Straftatbestand der Volksverhetzung fallen, zu Straftaten anleiten oder Gewalt verherrlichen oder verharmlosen, sexuell anstößig bzw. pornographisch sind, geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden oder in ihrem Wohl zu beeinträchtigen oder das Ansehen von SIGN8 schädigen können. Es liegt darüber hinaus in der Verantwortung des Kunden, die Gesetzmäßigkeit und die Gültigkeit der innerhalb der SIGN8 Lösung genutzten Kundendokumente sicherzustellen, die Gegenstand der Dienste sind. Diesbezüglich bestätigt der Kunde ausdrücklich, dass SIGN8 keine Kenntnis über die vom Kunden im Kundenbereich gespeicherten Daten oder die Kundendokumente besitzt, für die SIGN8 keine Moderation, Auswahl, Prüfung oder Kontrolle irgendeiner Art vornimmt. Für die Inhalte der Kundendokumente kann SIGN8 nicht haftbar gemacht werden;*
g. den Versuch zu unterlassen, selbst oder durch nicht autorisierte Dritte Informationen oder Daten unbefugt abzurufen oder in Programme, die von SIGN8 betrieben werden, einzugreifen oder eingreifen zu lassen oder in Datennetze von SIGN8 unbefugt einzudringen;
h. SIGN8 von sämtlichen Ansprüchen Dritter freizustellen, die auf einer rechtswidrigen Verwendung der SIGN8 Lösung durch den Kunden beruhen oder mit seiner Billigung erfolgen, oder die sich insbesondere aus datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der SIGN8 Lösung verbunden sind. Erkennt der Kunde oder drängt sich ihm auf, dass ein solcher Verstoß droht, besteht die Pflicht zur unverzüglichen Unterrichtung gegenüber SIGN8;
i. die an SIGN8 übermittelten Daten regelmäßig und gefahrentsprechend, mindestens jedoch einmal täglich, zu sichern und eigene Sicherungskopien zu erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben gewährleisten zu können.* Eine über die angebotenen Dienste hinausgehende Archivierung der Daten durch SIGN8 wird nicht angeboten, kann aber auf Nachfrage angeboten werden. SIGN8 haftet nicht für einen Verlust der Daten, so dass der Kunde in diesem Rahmen keine Entschädigung beanspruchen kann.
j. die Anlage, Pflege und Löschung von Kundenkonten zu verantworten. SIGN8 übernimmt keine Verantwortung für diese Bereiche, auch nicht für einen möglichen Datenverlust, beispielsweise durch fehlerhaftes Löschen von Kundenkonten;
k. zu gewährleisten, dass der Kunde bzw. Lizenznehmer und die Nutzer allein für die Wahrung der Vertraulichkeit ihrer Identifikationsdaten und ihres Passworts haften. Er verpflichtet sich, SIGN8 umgehend schriftlich und insbesondere per E-Mail zu benachrichtigen, sofern deutlich wird, dass ein Nutzerkonto ohne jedes Wissen seines Nutzers benutzt wurde;*
l. SIGN8 zu informieren, wenn die Angaben der Zertifikate nicht mehr den Tatsachen entsprechen oder begründeter Verdacht der Kenntnisnahme Dritter von den Identifizierungs- bzw. Authentifizierungsdaten besteht und die betroffenen Zertifikate zu widerrufen;*
m. wenn ein Kundendokument von einem oder mehreren Drittunterzeichnern unterzeichnet werden muss, SIGN8 die Kontaktdaten inklusive Nachname, Vorname, E-Mail-Adresse und Telefonnummer der besagten zeichnungsberechtigten Drittunterzeichner über SIGN8 zu übermitteln. Der Kunde trägt die Verantwortung für die Korrektheit der Daten. Der Kunde garantiert SIGN8, dass insbesondere die Identität der die Benutzer und Drittunterzeichner betreffenden Daten, der Richtigkeit entsprechen, aktuell und wahrhaftig sind und keinen trügerischen Charakter aufweisen. Er verpflichtet sich im Fall von Änderungen zur Aktualisierung dieser Daten im Kundenbereich, damit sie jederzeit den vorstehenden Kriterien Rechnung tragen;*
n. Daten und Informationen vor deren Versendung auf Viren zu prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen.* Dem Kunden obliegt es zudem, SIGN8 über sämtliche Cyber-Attacken, potenzielle Bedrohungen oder Intrusionsversuche Dritter auf das Kundenkonto und/oder die Nutzerkonten zu unterrichten;
o. mindestens bis eine Woche vor dem Zeitpunkt der Beendigung des SIGN8 Lizenzvertrags seine im System vorhandenen Datenbestände sowie die durch SIGN8 vorgenommenen Auswertungen durch Download zu sichern, da nach Beendigung des Vertrags auf diese Datenbestände kein Zugriff durch den Kunden mehr möglich ist;
p. einen eigenen Unterzeichnerpool anzulegen, bevor er beim Erstellen eines Workflows die berechtigten Unterzeichner aus diesem Unterzeichnerpool festlegt. Der Kunde bzw. Lizenznehmer wird dazu verpflichtet, die Listen von berechtigten Unterzeichnern in seinem Unternehmen intern zu führen. SIGN8 weist explizit die Verantwortung für die Führung der nachvollziehbaren und rechtlich validen Listen von berechtigten Unterzeichnern des Unternehmens dem Kunden zu. Eine Überprüfung durch SIGN8, ob ein Unterzeichner unterzeichnungsberechtigt ist, erfolgt demnach nicht;
q. den ihm zugeordneten privaten Signaturschlüssel ausschließlich für kryptographische Funktionen innerhalb des bereitgestellten sicheren kryptographischen Geräts (z. B. QSCD oder HSM) zu verwenden. Ein Export oder die Nutzung des privaten Schlüssels außerhalb des sicheren Geräts ist untersagt;*
r. bei der Nutzung von Zeitstempeln die jeweils geltende Time Stamping Policy der SIGN8 zu beachten, insbesondere etwaige Einschränkungen hinsichtlich der Verwendung oder Gültigkeit des Zeitstempels, wie sie in der Time Stamping Policy der SIGN8 festgelegt sind, einzuhalten.*
(60) Der Kunde ist außerdem dazu verpflichtet, SIGN8 unverzüglich zu informieren, wenn eines der folgenden Ereignisse vor Ablauf der im Zertifikat angegebenen Gültigkeitsdauer eintritt:*
a. Der private Schlüssel des Benutzers ist verloren gegangen, gestohlen oder möglicherweise kompromittiert worden.
b. Die Kontrolle über den privaten Schlüssel des Nutzers ist aufgrund einer Kompromittierung der Aktivierungsdaten (z. B. PIN-Code) oder aus anderen Gründen verloren gegangen.
c. Es gibt Ungenauigkeiten oder Änderungen am Inhalt des Zertifikats, die dem Kunden oder dem Benutzer mitgeteilt wurden.
(61) Im Falle einer Kompromittierung des privaten Schlüssels des Benutzers muss der Kunde die Verwendung dieses Schlüssels sofort und dauerhaft einstellen, mit Ausnahme der Entschlüsselung des Schlüssels.*
(62) Wenn der Kunde darüber informiert wird, dass das Zertifikat eines Benutzers widerrufen wurde oder kompromittiert wurde, ist er verpflichtet, dafür zu sorgen, dass der private Schlüssel nicht mehr vom Benutzer verwendet wird.*
(63) Der Einsatz von Hard- und Software, die nicht dem Vertragsverhältnis mit SIGN8 unterliegt bzw. nicht Teil der SIGN8 Lösung ist, durch den Kunden fällt in dessen Risikobereich.
(64) Voraussetzungen für die Nutzung der Webanwendung der SIGN8 Lösung sind ein funktionsfähiger Internetzugang und ein aktueller Browser/Client. Bei veralteten oder nicht unterstützten Versionen des Browsers/Clients kann es zu Darstellungsfehlern oder Funktionsstörungen kommen.
(65) Die Bereitstellung dieser Voraussetzungen sowie der Telekommunikationsdienste einschließlich der Übermittlungsleistungen vom Leistungsübergabepunkt bis zu den von dem Kunden eingesetzten Geräten sind nicht Gegenstand dieses Vertrags, sondern obliegen dem Kunden.
(66) Der Kunde erkennt ausdrücklich an, dass die signierten, gesiegelten oder gestempelten Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel und Zeitstempel durch Zeitablauf geringer wird.*
(67) Ein Kunde, welcher als juristische Person die Berechtigung für fortgeschrittene und qualifizierte Siegel bei SIGN8 beantragt und erhalten hat, hat den AGB, dem Datenschutz und den Lizenznutzungsbedingungen von SIGN8 zugestimmt. Die zum Siegeln berechtigte juristische Person ist ebenso berechtigt weitere Personen aus ihrem Unternehmen zum fortgeschrittenen und qualifizierten Siegeln zu berechtigen. Die zum Siegeln berechtigte juristische Person verpflichtet sich dazu, die von der juristischen Person selbst zum Siegeln berechtigten weiteren Personen gemäß den AGB, dem Datenschutz und den Lizenznutzungsbestimmungen (welchen die juristische Person zugestimmt hat) zu verpflichten. Das Unternehmen haftet für die von ihm ausgewählten Siegelberechtigten, welche im Namen der juristischen Person fortgeschritten oder qualifiziert siegeln.
(68) Ein Kunde darf ein von SIGN8 ausgegebenes, qualifiziertes Zertifikat nur im zulässigen und geltenden gesetzlichen Rahmen nutzen. Er handelt insoweit auf eigene Verantwortung. Dies gilt auch für die Benutzung von Stapelsignaturen. Die Einschätzung, ob dieses Zertifizierungskonzept den Anforderungen einer Anwendung entspricht und ob die Benutzung des betreffenden qualifizierten Zertifikats einem bestimmten Zweck geeignet ist, obliegt dem Zertifikatsinhaber.*
(69) Dem Zertifikatsinhaber obliegt die Verantwortung, die Validität eines ausgestellten Zertifikates eigenständig zu überprüfen, mittels der aktuellen Wiederrufstatusinformationen. Ferner obliegt dem Kunden die Verantwortung die Validität eines ausgestellten Zeitstempels mittels der aktuellen Wiederrufstatusinformationen eigenständig zu überprüfen.*
7 Zahlungsbedingungen
(70) Die Vergütung für die vertraglich vereinbarten Leistungen wird dem Kunden nach Ausstellung des Zertifikats und Übermittlung der Identifizierungsdaten in Rechnung gestellt. Sämtliche Preise von SIGN8 verstehen sich zuzüglich der jeweils gesetzlich geltenden Umsatzsteuer.
(71) Kunden, die ihren Unternehmenssitz außerhalb Deutschlands haben, sind verpflichtet, spätestens bei Auftragserteilung sowie mindestens zehn Tage vor Ablauf der vereinbarten Leistungszeit einen gültigen Nachweis ihrer Unternehmereigenschaft (etwa eine behördliche Bescheinigung oder eine gültige Umsatzsteuer-Identifikationsnummer) vorzulegen. Wird dieser Nachweis nicht fristgerecht erbracht, ist SIGN8 berechtigt, auf die vertraglichen Leistungen die deutsche Umsatzsteuer zu erheben, soweit dies nach den deutschen Umsatzsteuervorschriften erforderlich ist. Eine nachträgliche Erhebung der Umsatzsteuer kann auch rückwirkend erfolgen.
(72) Soweit der Kunde Änderungen an den im Rahmen seiner Bestellung gemachten Angaben verlangt, hat er die hierdurch entstehenden Kosten entsprechend den vereinbarten Preisen zu tragen. Dies gilt, wenn er für die fehlerhaften Angaben, etwa aufgrund einer schuldhaften Falschangabe oder Übermittlungsfehlers, verantwortlich ist.
(73) Der Kunde darf nur mit Forderungen aufrechnen, die unbestritten oder rechtskräftig festgestellt sind. Ein Zurückbehaltungsrecht kann er ausschließlich wegen Ansprüchen aus dem betreffenden Vertragsverhältnis mit der SIGN8 geltend machen.
8 Datenspeicherung
(74) SIGN8 speichert Dokumente seiner Kunden in Westeuropa mit einer AES-256 Verschlüsselung.
(75) Folgende Aufzeichnungen werden für die gesamte Betriebszeit der SIGN8 aufbewahrt:*
a. Aufzeichnungen über bei der Registrierung oder der Bereitstellung von fortgeschrittenen und qualifizierten Signatur-, Siegel- oder Zeitstempeldiensten und hierzu erforderlichen Endgeräten verwendete Daten, einschließlich der Information, ob die Bereitstellung an den Kunden oder – sofern davon abweichend – an einen anderen Nutzer erfolgt ist;
b. Daten zum Zertifikatslebenszyklus;
c. die erzeugten Zertifikate selbst;
d. die Identitätsdaten der Unterzeichner und Siegelinhaber;
e. spezifische Attribute, die im Zertifikat eingetragen wurden;
f. Informationen über nachfolgende Sperrungen und Widerrufe; sowie
g. relevante Protokolldaten.
(76) Sofern SIGN8 ihren Betrieb als Vertrauensdiensteanbieter einstellt, wird SIGN8 dies gegenüber ihren Kunden frühzeitig mithilfe der aus der Registrierung hinterlegten Kontaktdaten ankündigen. Der vertrauensvolle Umgang mit den SIGN8 anvertrauten Daten wird durch einen regulierten Beendigungsplan gewährleistet. Alle Rechte und Pflichten aus diesem Vertrag sowie Dokumente und Daten werden, wenn möglich, durch einen anderen qualifizierten Vertrauensdiensteanbieter übernommen, anderenfalls an die zuständige Aufsichtsbehörde übergeben. Alle Beweismittel werden nach Einstellung des Betriebs für mindestens elf Jahre gesichert. Den Kunden steht das Recht zur Kündigung zum Zeitpunkt der Übertragung des Vertragsverhältnisses zu; auf dieses weist die SIGN8 die Kunden im Ankündigungsschreiben gesondert hin. Weitere Informationen zum Beendigungsplan finden Sie in unserem Certificate Practice Statement, abrufbar via https://sign8.eu/trust/.*
9 Vertragswidrige Nutzung von SIGN8
(77) SIGN8 ist berechtigt, bei rechtswidrigem Verstoß des Kunden gegen eine der in diesem Vertrag festgelegten wesentlichen Pflichten, insbesondere bei Verstoß gegen die in den Randziffern (59)f und (59)g genannten Pflichten den Zugang auf die SIGN8 Lösung und zu deren Daten zu sperren. Der Zugang wird erst dann wiederhergestellt, wenn der Verstoß gegen die betroffene wesentliche Pflicht dauerhaft beseitigt bzw. die Wiederholungsgefahr durch Abgabe einer angemessenen strafbewehrten Unterlassungserklärung gegenüber SIGN8 sichergestellt ist. Der Kunde bleibt auch in diesem Fall verpflichtet, die vereinbarten Preise zu zahlen.
(78) SIGN8 ist berechtigt, bei einem Verstoß gegen die in den Randziffern (59)f und (59)g genannten Pflichten die betroffenen Daten zu löschen.
(79) Für einen rechtswidrigen Verstoß gegen die in den Randziffern (59)f und (59)g genannten Pflichten durch einen vom Kunden autorisierten Nutzer haftet der Kunde bzw. Lizenznehmer.
10 Mängelbeseitigung
(80) SIGN8 gewährleistet nicht, dass SIGN8-Produkte vollkommen frei von Mängeln sind oder ununterbrochen oder fehlerfrei funktionieren werden. Weitere Informationen zu unserem Service Level finden Sie in unseren Service Level Agreements.
(81) Alle Produkte werden ohne jegliche Garantie („as is“) bereitgestellt.
(82) Ein Mangel muss SIGN8 durch den Lizenznehmer und/oder Kunden unverzüglich in schriftlicher Form inkl. einer genauen Mängelbeschreibung mitgeteilt werden.
(83) Sollten Mängel bei vertraglich vereinbarten Features und Funktionen vorliegen, werden diese unaufgefordert durch SIGN8 nachgebessert.
(84) Wenn ein Mangel trotz zweimaliger Nachbesserung durch SIGN8 innerhalb einer jeweils angemessenen, vom Kunden gesetzten Frist nicht behoben wird oder die Mängelbeseitigung unmöglich ist, kann der Kunde den Lizenzpreis für das betroffene Produkt angemessen mindern. Liegt ein wesentlicher Mangel vor, darf der Kunde den Vertrag nach vorheriger schriftlicher Ankündigung kündigen.
(85) Bei einer unbegründeten Mängelanzeige (zum Beispiel: Irrtum über Nutzung und Anwendung der Applikation) kann SIGN8 den Aufwand für die Fehlersuche dem Lizenznehmer gemäß Zeitaufwand in Rechnung stellen, insbesondere auch dann, wenn ein angezeigter Sachmangel nicht nachweisbar, reproduzierbar oder SIGN8 nicht zuzuordnen ist.
(86) Mängelansprüche verjähren gemäß § 195 BGB (Regelverjährung) binnen drei Jahren ab Erbringung der letzten Dienstleistung bzw. ab Abnahme. Die gesetzlichen Fristen bleiben unberührt, soweit die §§ 438 Abs. 1 Nr. 2 oder 634a Abs. 1 Nr. 2 BGB längere Fristen vorschreiben, bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung der SIGN8, bei arglistigem Verschweigen eines Mangels sowie bei Verletzung des Lebens, des Körpers oder der Gesundheit oder Ansprüchen aus dem Produkthaftungsgesetz.
(87) Da kein käuflicher Erwerb der Software stattfindet, sondern dem Kunden lediglich ein Nutzungsrecht gewährt wird, entfällt insoweit, soweit gesetzlich zulässig, eine Haftung nach dem Produkthaftungsgesetz.
(88) Weitere Mängelansprüche sind, soweit gesetzlich zulässig, ausgeschlossen.
11 Meldung von Sicherheitsvorfällen
(89) Kunden wird die Möglichkeit eingeräumt, sicherheitsrelevante Vorfälle über ein spezifisches Kontaktformular zu melden. Dieses Formular ist auf unserer Website unter https://sign8.eu/trust zu finden.*
12 Beweisvereinbarung
(90) Der Kunde erkennt ausdrücklich an und akzeptiert, dass
a. die über die Website und die IT-Ausrüstung der SIGN8 erhobenen Daten als Nachweis der im Rahmen dieses Vertrags abgewickelten Vorgänge gelten;
b. diese Daten das wichtigste zulässige Beweismittel im Verhältnis zwischen den Parteien darstellen, insbesondere bei der Berechnung der der SIGN8 geschuldeten Beträge.
(91) Der Kunde kann die zur Beweiserhebung benötigten Daten bei der SIGN8 anfragen.
13 Änderungs- und Preisanpassungsklauseln
(92) SIGN8 behält sich vor, Änderungsanträge lediglich bei Reduzierung des Leistungsumfangs/-angebots oder etwaiger Einschränkungen der Nutzbarkeit einzelner Leistungen bzw. Leistungs- oder Funktionsangeboten beim Kunden zu stellen. SIGN8 ist darüber hinaus dazu berechtigt, weitere Anpassungen oder Änderungen, welche zu keiner Benachteiligung des Kunden führen, ohne Änderungsantrag durchzuführen.
(93) Der Verwender (SIGN8 GmbH) behält sich das Recht vor, diese AGB jederzeit zu ändern. Der Kunde wird vier Wochen vor Inkrafttreten der Änderungen per E-Mail oder direkt über die SIGN8 Lösung über die Änderungen informiert. Er ist berechtigt, der Geltung der neuen AGB innerhalb von vier Wochen nach Zugang der Änderungsbenachrichtigung zu widersprechen. Unterlässt der Kunde einen Widerspruch, werden die geänderten AGB nach der vierwöchigen Frist Vertragsbestandteil. Auf diese Frist wird SIGN8 den Kunden in der Änderungsmitteilung ausdrücklich hinweisen. Ausgeschlossen vom Recht zur Änderung dieser AGB sind Regelungen, welche die Hauptleistungspflichten der Vertragsparteien betreffen und die somit das Verhältnis zwischen Haupt- und Gegenleistungspflichten maßgeblich verändern sowie sonstige grundlegende Änderungen der vertraglichen Pflichten, die dem Abschluss eines neuen Vertrags gleichkommen. Für solche Änderungen ist eine ausdrückliche vertragliche Vereinbarung erforderlich.
(94) SIGN8 ist berechtigt, die Preise für ihre Leistungen nach billigem Ermessen anzupassen, wenn sich die Kosten für die Erbringung der Leistungen ändern. Dies gilt insbesondere bei Änderungen der Beschaffungskosten, der Kosten für die Bereitstellung des Dienstes oder der Umsatzsteuer. Eine Preisanpassung kommt nur in Betracht, wenn die Gesamtkosten sich um mindestens 5 % erhöhen oder verringern. SIGN8 berücksichtigt dabei Kostensenkungen und Kostensteigerungen gleichermaßen. Die Preisanpassung wird frühestens vier Wochen nach Zugang einer entsprechenden Mitteilung wirksam. Erhöht sich der Preis um mehr als 5 %, hat der Kunde das Recht, den Vertrag innerhalb von vier Wochen nach Zugang der Mitteilung schriftlich oder in Textform zu kündigen. SIGN8 wird den Kunden in der Mitteilung ausdrücklich auf dieses Kündigungsrecht hinweisen.
14 Fristen, Laufzeiten und Kündigung
(95) Der Vertrag beginnt mit dem im SIGN8 Lizenzvertrag einschließlich des anhängenden Angebots vereinbarten Zeitpunkt und läuft bis zum Ende der dort vereinbarten Vertragslaufzeit.
(96) Beide Parteien können den Vertrag aus wichtigem Grund außerordentlich kündigen. SIGN8 ist insbesondere zur außerordentlichen Kündigung berechtigt, wenn
a. der Lizenznehmer mit zwei aufeinanderfolgenden fälligen Zahlungen oder insgesamt länger als zwei Monate mit einer Zahlung in Verzug ist und auch nach Ablauf einer angemessenen Frist nicht zahlt; oder
b. sich nach Vertragsschluss herausstellt, dass ein Vertrag fälschlich mit einer Privatperson (Verbrauchereigenschaft) zustande kam. In einem solchen Fall erfolgt eine Rückabwicklung ggf. bereits erbrachter Leistungen gemäß den gesetzlichen Vorschriften. Vor Ausspruch einer Kündigung wird SIGN8 dem Kunden allerdings Gelegenheit geben, seine Unternehmenseigenschaft glaubhaft zu machen oder den Vertrag einvernehmlich aufzuheben.
(97) Die Kündigung hat schriftlich zu erfolgen.
(98) SIGN8 kontrahiert ausschließlich mit Unternehmern und Freiberuflern gem. § 14 BGB. Insoweit besteht kein Widerrufsrecht.
15 Beschwerden und Streitbeilegung*
(99) Wenn Sie eine Beschwerde über unsere Dienstleistungen oder Produkte haben, kontaktieren Sie bitte unser Kundensupport-Team über customerservice@sign8.eu. Bitte geben Sie dabei eine detaillierte Beschreibung des Problems sowie Ihre Kontaktdaten an.
(100) Im Falle von Streitigkeiten führen die Parteien, unter Berücksichtigung getroffener Vereinbarungen, Regelungen und geltender Gesetze, eine Einigung herbei.
(101) Die SIGN8 Lösung wird Verbrauchern im Sinne der §§ 13 f. BGB nicht zur Verfügung gestellt. Dementsprechend ist SIGN8 weder dazu verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
16 Schlussbestimmungen
(102) Für sämtliche Rechtsbeziehungen zwischen SIGN8 und dem Kunden findet deutsches Recht Anwendung. UN-Kaufrecht ist ausgeschlossen.*
(103) Sind oder werden einzelne Bestimmungen dieses Vertrags unwirksam, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Vertragspartner werden in diesem Fall die ungültige Bestimmung durch eine andere ersetzen, die dem wirtschaftlichen Zweck der weggefallenen Regelung in zulässiger Weise am nächsten kommt.
(104) Als ausschließlicher Gerichtstand, soweit gesetzlich zulässig, wird München vereinbart.
(105) Erfüllungsort für SIGN8 und Nutzer der SIGN8 Lösung ist München.
17 Kontaktdaten der SIGN8*
SIGN8 GmbH
Fürstenrieder Str. 5
80687 München
Telefon: +49 89 2153 7472 000
E-Mail: info@sign8.eu
Website: www.sign8.eu
18 Abkürzungs- und Begriffsverzeichnis
BDSG | Bundesdatenschutzgesetz |
Dekompilieren gem. § 69e UrhG | Übersetzung von maschinenlesbarem Code (z. B. Objektcode) in eine höher abstrahierte Codeform (z. B. Quellcode) zur Herstellung der Interoperabilität mit anderer Software |
Disassemblieren gem. § 69e UrhG | Übersetzung von maschinenlesbarem Code in eine maschinennahe, lesbare Codeform (z. B. Assembler-Code) zur Herstellung der Interoperabilität mit anderer Software |
Dritte | Alle natürlichen oder juristischen Personen sowie sonstige Einrichtungen, die weder Vertragspartei dieser Lizenzvereinbarung noch von einer Partei ausdrücklich zur Nutzung der SIGN8 Lösung autorisiert sind. Der Begriff umfasst insbesondere unbefugte externe Personen, nicht autorisierte Mitarbeiter bzw. Vertreter des Kunden und sonstige außenstehende Beteiligte, gegenüber denen Schutzpflichten, Geheimhaltungsmaßnahmen oder Rechtewahrungen zu beachten sind |
(Dritt-)Unterzeichner | Dritte, welche durch den Kunden zur Signatur eines Kundendokumentes aufgefordert worden sind |
DSGVO | Datenschutz-Grundverordnung (Verordnung (EU) Nr. 2016/679) |
eIDAS | Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG |
eIDAS 2.0 | Verordnung (EU) Nr. 2024/1183 des europäischen Parlamentes und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 hinsichtlich der Schaffung eines europäischen Rahmens für die digitale Identität |
eIDAS-Verordnungen | Alle eIDAS-Verordnungen in ihrer Gesamtheit (eIDAS und eIDAS 2.0) |
FES | Fortgeschrittene elektronische Signatur gemäß Artikel 3 Nr. 11 eIDAS |
Intrusionsversuche | Das widerrechtliche Eindringen und Erlangen von Informationen aus dem Kundenkonto der Kunden von SIGN8 |
QES | Qualifizierte elektronische Signatur gemäß Artikel 3 Nr. 12 eIDAS |
QSeal | Qualifiziertes elektronisches Siegel gemäß Artikel 3 Nr. 27 eIDAS |
QTimestamp | Qualifizierter elektronischer Zeitstempel gemäß Artikel 3 Nr. 34 eIDAS |
Reverse Engineering gem. § 69d UrhG | Rekonstruierung eines fertigen Systems oder Produktes |
VDA (Vertrauensdiensteanbieter) | Ein Vertrauensdiensteanbieter bietet die in den eIDAS-Verordnungen beschriebenen Vertrauensdienste an. Die Vertrauensdienste von SIGN8 umfassen das Ausstellen qualifizierter elektronischer Zertifikate für elektronische Signaturen und Siegel |
Bei den mit * markierten Abschnitten und Kapiteln unserer AGB handelt es sich um Pflichtangaben, die auf gesetzliche und regulatorische Verpflichtungen der SIGN8 GmbH als zertifizierter Vertrauensdiensteanbieter zurückzuführen sind (insbesondere gemäß der eIDAS-Verordnung, den zugehörigen ETSI-Standards und dem Vertrauensdienstegesetz).