Skip to main content

Allgemeine Geschäftsbedingungen

1         Einbezug und Geltungsbereich

(1) Die nachstehenden allgemeinen Geschäftsbedingungen („AGB“) gelten für alle Vertragsbeziehungen in denen die SIGN8 GmbH (nachstehend „SIGN8“ genannt), Fürstenrieder Str. 5, 80687 München, mit ihren Kunden einen Vertrag über die Nutzung der Anwendung SIGN8 schließt.

(2) SIGN8 erbringt, sofern nichts anderes schriftlich vereinbart ist, Leistungen ausschließlich auf Grundlage des jeweiligen Angebots und Vertrags („SIGN8-Lizenzvertrag“) in Verbindung mit den hier beschriebenen AGB, den hinzugezogenen Service Level Agreements, sowie des Certificate Practice Statement (Version 1.4) und der Timestamping Policy (Version 1.0) der SIGN8.

(3) Ergänzende, abweichende oder sich widersprechende Bedingungen z. B. aus den AGB bzw. Bestellformularen des Kunden werden, soweit nicht ausdrücklich schriftlich zwischen den Vertragsparteien vereinbart, nicht Vertragsbestandteil. Dies gilt auch im Falle, dass SIGN8 Leistungen erbringt, ohne solche Bedingungen ausdrücklich im Vorhinein zu widersprechen.

(4) Die AGB finden auch auf vorvertragliche Schuldverhältnisse Anwendung, insbesondere in Bezug auf die Haftungsbedingungen und die Verschwiegenheit.

(5) Ein Vertrag zwischen der SIGN8 und dem Kunden kommt durch zwei übereinstimmende Willenserklärungen der Vertragsparteien über die in den Verträgen (Lizenznutzungsvertrag, Angebot) geschlossenen Vereinbarungen zustande gem. §§ 145 ff. BGB.

(6) Weitere Informationen zu den Vertrauensdiensten von SIGN8 sind unter dieser Adresse https://sign8.eu/trust/ öffentlich zugänglich. Dort befinden sich Details zu SIGN8 als Vertrauensdiensteanbieter, den Certificate Practice Statement, sowie den PKI Disclosure Statement und den Conformity Assessment Report.

2         Allgemeiner Vertragsgegenstand und Umfang der Leistungen

(7) SIGN8 bietet Vertrauensdienste gemäß der Verordnung (EU) Nr. 2024/1183 des europäischen Parlamentes und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 hinsichtlich der Schaffung eines europäischen Rahmens für die digitale Identität und der Verordnung (EU) Nr. 910/2014.

(8) Mit der Lizenzierung des Produktes SIGN8 erhält der Lizenznehmer die technische Möglichkeit und Berechtigung, auf die Anwendung zuzugreifen und die Funktionalitäten der Anwendung zu nutzen. Die von SIGN8 zur Bereitstellung der Anwendung verwendeten Server liegen innerhalb der Europäischen Union. Die von SIGN8 angebotenen Vertrauensdienste umfassen sowohl fortgeschrittene als auch qualifizierte Fernsignaturen ebenso wie fortgeschrittene als auch qualifizierte Fernsiegel. SIGN8 bietet als Zusatzprodukt dem Kunden an, lokale fortgeschrittene als auch qualifizierte Zertifikate auszustellen.

(9) SIGN8 ist eine dauerhaft verfügbare, cloudbasierte Anwendung. SIGN8 ermöglicht es dem Lizenznehmer und den von ihm zugelassenen Nutzern Dokumente, abhängig vom Lizenzumfang, digital zu signieren bzw. zu validieren. Mittels der Anwendung kann der Kunde (wird Lizenznehmer und Nutzer zusammen bezeichnet) bestehende Dokumenten-Prozesse beschleunigen, vereinfachen und gleichzeitig digital verfügbar machen.

(10) Die Identifizierung des Kunden für eine qualifizierte elektronische Signatur oder ein qualifiziertes elektronisches Siegel übernimmt die SIGN8 nicht selbst, sie wird durch einen externen Drittanbieter durchgeführt. Die SIGN8 erhält durch den Drittanbieter lediglich die Bestätigung der Identität des Kunden. Bei einem qualifizierten Siegel hingegen wird durch SIGN8 GmbH der jeweilige Handelsregisterauszug oder ein Dokument eines vergleichbaren Verzeichnisses der juristischen Person überprüft. SIGN8 bietet mit SIGN8 Ident einen Dienst zur Vor-Ort-Identifizierung an, der durch vertraglich beauftragte SIGN8 Ident Agenturen durchgeführt wird.

(11) Die Ermittlung der verwendeten Signaturen erfolgt nach dem Versand eines Workflows bzw. bei der Erstellung einer Signaturanfrage über unsere APIs.

(12) Eine rechtliche oder anderweitige Beratung, in Bezug auf die Art der Signatur/Siegel, die Art des Vertrages, etwaige Form- und Fristvorschriften fällt nicht in den Dienstleistungsbereich der SIGN8. Durch SIGN8 werden fortgeschrittene und qualifizierte Signaturen und fortgeschrittene und qualifizierte Siegel als auch die nötige technische Umgebung bereitgestellt. Eine Haftung für etwaige falsch oder unpassend gewählte Signaturformen schließt die SIGN8 dafür aus.

(13) SIGN8 behält sich vor, Änderungsanträge lediglich bei Reduzierung des Leistungsumfangs/Angebots oder etwaiger Einschränkungen der Nutzbarkeit einzelner Leistungen bzw. Leistungs- oder Funktionsangeboten beim Kunden zu stellen. SIGN8 ist darüber hinaus dazu berechtigt, weitere Anpassungen oder Änderungen, welche zu keiner Benachteiligung des Kunden führen, ohne Änderungsantrag durchzuführen.

(14) SIGN8 ist, auch ohne vorherige Genehmigung des Lizenznehmers, berechtigt Subunternehmer einzusetzen. Eine Liste der Subunternehmer die als Auftragsverarbeiter agieren, kann bei Bedarf von SIGN8 zur Verfügung gestellt werden. Der Wechsel von Subunternehmen, u. a. auch der eingesetzten Identifizierungsanbieter, steht der SIGN8 grundsätzlich frei. SIGN8 ist in diesem Fall dazu verpflichtet den vertraglich vereinbarten Funktionsumfang und die Sicherheitsstandards weiterhin uneingeschränkt zu gewährleisten.

(15) Während Ihres Bestellprozesses werden Sie auf die Website eines Online-Zahlungsdienstanbieters weitergeleitet. Um den Rechnungsbetrag bezahlen zu können, müssen Sie dort den Anweisungen des Online-Zahlungsdienstanbieters folgen und Ihre für die Bezahlung benötigten Daten angeben und die Zahlungsanweisung bestätigen. Die Zahlungstransaktion wird durch den Online-Zahlungsdienstanbieter unmittelbar danach automatisch durchgeführt. Weitere Hinweise erhalten Sie beim Bestellvorgang. Beachten Sie weiterhin, dass die Allgemeinen Geschäftsbedingungen des Online-Zahlungsdienstanbieters ebenso gelten.

(16) Mit dem Ferndienst können PDF-Dateitypen signiert werden. Für die lokale QSCD (USB-Stick mit Zertifikat) besteht die Möglichkeit die vom Hersteller unterstützten Dateitypen zu signieren.

(17) SIGN8 unterstützt die digitalen Signaturformate PAdES nach ETSI EN 319 142-1 V1.1.1 & EN 319 142-2 V1.1.1 und JAdES nach ETSI TS 119 182-1 V1.1.1.

(18) Wenn nicht schriftlich an die SIGN8 GmbH (info@sign8.eu ausreichend) mitgeteilt wurde, dass die in diesem Abschnitt aufgeführten Nutzung des Firmenlogos nicht gewünscht ist oder es nicht ausdrücklich im Angebot vereinbart und erwähnt wurde, erlaubt und autorisiert der Kunde die SIGN8 GmbH, dessen Name und Logo für werbliche Referenzen in jeder Form und auf jedem Medium der SIGN8 GmbH für die Laufzeit der Services und bis zu 3 (drei) Jahre über die Laufzeit hinaus zu nutzen. Die SIGN8 GmbH wird für diese Zwecke von der Verpflichtung zur Wahrung der Verschwiegenheit entbunden.

Alle Workflow-Dokumente (PDF-Dateien) werden nach einer Frist von 6 Monaten nach Erstellung und Senden des Workflows gelöscht. Der Kunde/Nutzer stimmt hiermit zu, dass die SIGN8 GmbH berechtigt ist, vor Löschung des/r Dokuments/e dem Kunden/Nutzer via E-Mail an die bei der Anmeldung/Signatur angegebene Adresse eine Erinnerungs-Mail zu senden.

3         Nutzungs- und Urheberrechte

(19) Der Kunde erhält das nicht ausschließliche, auf die Laufzeit dieses Vertrags zeitlich beschränkte Recht, auf die SIGN8-Umgebung zuzugreifen und mittels einer Anwendung oder einer von SIGN8 bereitgestellten Schnittstelle die mit SIGN8 verbundenen Funktionalitäten gemäß der Bestellung und des SIGN8-Lizenzvertrags zu nutzen. Darüber hinaus gehende Rechte, insbesondere an SIGN8, der Anwendung oder der Betriebssoftware erhält der Kunde nicht. Der Kunde erkennt ausdrücklich an, dass er kein geistiges Eigentumsrecht an der Anwendung erhält, welche ausschließlich im Eigentum der SIGN8 verbleibt.

(20) Der Kunde ist nicht berechtigt, zu dekompilieren, disassemblieren oder jegliche Form des Reverse Engineering vorzunehmen. §§, 69d ff. UrhG.

(21) Der Kunde ist nicht berechtigt, SIGN8 über die nach Maßgabe des SIGN8-Lizenznutzungsvertrages sowie dieser AGB erlaubte Nutzung hinaus zu nutzen oder von Dritten über die nach Maßgabe des SIGN8-Lizenzvertrags sowie diesen AGB erlaubte Nutzung hinaus nutzen zu lassen oder es Dritten über die nach Maßgabe des SIGN8-Lizenznutzungsvertrages sowie dieser AGB erlaubte Nutzung hinaus zugänglich zu machen. Insbesondere ist es dem Kunden nicht gestattet, SIGN8-Leistungen oder Teile davon zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, vor allem nicht zu vermieten, zu verleihen oder zu verleasen.

(22) Wird die vertragsgemäße Nutzung von SIGN8 ohne Verschulden von SIGN8 durch Schutzrechte Dritter beeinträchtigt, so ist SIGN8 berechtigt, die hierdurch betroffenen Leistungen zu verweigern. SIGN8 wird den Kunden hiervon unverzüglich unterrichten und ihm in geeigneter Weise den Zugriff auf seine Daten ermöglichen. Der Kunde ist in diesem Fall nicht zur Zahlung verpflichtet. Sonstige Ansprüche oder Rechte des Kunden bleiben unberührt.

(23) Eine Selbstvornahme zur Behebung eines Mangels widerspricht dem eindeutigen Willen der SIGN8. Der Kunde wird dazu verpflichtet SIGN8 über jegliche, auch mögliche ihm bekannte Mängel, in Kenntnis zu setzen.

4         Datenschutz und Datensicherheit

(24) Personenbezogene Daten werden nach Maßgabe der VERORDNUNG (EU) 2016/679 verarbeitet.

(25) SIGN8 darf personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen übermitteln, soweit die zuständigen Stellen die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist

a. Für die Verfolgung von Straftaten oder Ordnungswidrigkeiten,

b. Zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder

c. Für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder

Soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Berechtigung zur Datenübermittlung gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist.

(26) Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen (EU-Datenschutzgrundverordnung, BDSG (neueste Fassung)) beachten und ihre im Zusammenhang mit dem Vertrag eingesetzten Beschäftigten auf das Datengeheimnis und die Vertraulichkeit verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.

(27) SIGN8 hat die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren.

(28) Hat die zuständige Stelle ein Verlangen nach Datenübermittlung gestellt, so unterrichtet sie die betroffene Person über die erfolgte Übermittlung der Daten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben gefährdet würde und solange das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt. Fünf Jahre nach der Übermittlung kann endgültig von der Benachrichtigung abgesehen werden, wenn die Voraussetzungen für die Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht eintreten werden.

(29) Erhebt, verarbeitet oder nutzt der Kunde selbst oder durch SIGN8 personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insb. datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes SIGN8 von Ansprüchen Dritter frei.

(30) Es wird klargestellt, dass der Kunde sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne die Kontrolle über die Daten behält. Der Kunde ist hinsichtlich der Verfügungsbefugnis und des Eigentums an sämtlichen kundenspezifischen Daten (eingegebene, verarbeitete, gespeicherte und ausgegebene Daten) Alleinberechtigter. SIGN8 nimmt keinerlei Kontrolle der für den Kunden gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit der Erhebung, Verarbeitung und Nutzung vor; diese Verantwortung übernimmt ausschließlich der Kunde.

(31) Der Kunde erteilt SIGN8 die Erlaubnis, die zur Geschäftsabwicklung erforderlichen Daten des Kunden unter Beachtung der datenschutzrechtlichen Vorschriften zu verarbeiten.

(32) Bei Bedarf werden die Parteien den erforderlichen Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO) des Kunden gesondert abschließen und den vertraglichen Dokumenten als Anlage beifügen.

(33) SIGN8 trifft technische und organisatorische Sicherheitsvorkehrungen und Maßnahmen zur Gewährleistung des Datenschutzes. Der Kunde ist grundsätzlich nicht berechtigt, Zugang zu den Räumlichkeiten mit der Anwendung, Server und Betriebssoftware sowie sonstigen Systemkomponenten von SIGN8 zu verlangen.

(34) Der Inhalt der Dokumente des Kunden, die auf das Portal von SIGN8 hochgeladen werden, sind für die Mitarbeiter der SIGN8 GmbH (VDA) zugänglich. Jedoch sind die berechtigten Mitarbeiter lediglich in Ausnahmefällen befugt, auf die Dateien zuzugreifen. Der Kunde wird darüber informiert.

5         Pflichten und Verantwortung der SIGN8

(35) SIGN8 verpflichtet sich, dem Kunden alle Unterlagen, Angaben, Daten und Informationen vorzulegen, die Letzterer für die Nutzung von SIGN8 benötigt.

(36) SIGN8 weist ausdrücklich darauf hin, dass sowohl ein fortgeschrittenes als auch ein qualifiziertes Siegel lediglich den Ursprung und die Unversehrtheit gemäß Art. 3 Nr. 25 eIDAS eines Dokumentes bestätigt. Für ein qualifiziertes elektronisches Siegel gilt die Vermutung der Unversehrtheit der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist, sowie der Richtigkeit der Angabe des Siegelerstellers gemäß Art. 36 eIDAS. Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (siehe Art. 25 eIDAS). Ein qualifiziertes Siegel hat die gleiche Rechtswirkung wie ein Unternehmensstempel (siehe Art. 35 eIDAS).

(37) SIGN8 haftet für alle natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügten Schäden, die auf eine Verletzung der in der eIDAS-Verordnung festgelegten Pflichten zurückzuführen sind. Bei einem qualifizierten Vertrauensdiensteanbieter, welcher SIGN8 ist, wird von Vorsatz oder Fahrlässigkeit ausgegangen, es sei denn, der qualifizierte Vertrauensdiensteanbieter weist nach, dass Schaden entstanden ist, ohne dass er vorsätzlich oder fahrlässig gehandelt hat.

(38) SIGN8 verpflichtet sich, von einer über die den vertraglichen Bestimmungen hinausgehende Benutzung der Informationen, Unterlagen, Daten und allgemein sämtlicher Elemente, die ihr im Rahmen dieses Vertrags einzig zum Zwecke seiner Erfüllung übermittelt werden, Abstand zu nehmen. Sie verpflichtet sich, diese Elemente nicht an etwaige Dritte weiterzugeben oder mit ihnen zu teilen, es sei denn, es handelt sich um ihre Subunternehmer im Rahmen der Erfüllung dieses Vertrags oder es liegt ein ausdrücklicher Antrag oder eine ausdrückliche Genehmigung des Kunden in diesem Sinne vor. Ebenso ist SIGN8 von der Verpflichtung des Stillschweigens entbunden, soweit gesetzliche Bestimmungen dies erfordern.

(39) Die SIGN8 verpflichtet sich, die ihr aufgrund dieses Vertrags obliegenden Pflichten sorgfältig und fachgerecht zu erfüllen. Sie garantiert für sich und verpflichtet ihre Subunternehmer, dass die in diesem Vertrag beschriebenen Dienste auf einem Sicherheits- und Vertraulichkeitsniveau erbracht werden, das den Anforderungen der eIDAS-Verordnung entspricht. Gleichwohl erkennt der Kunde ausdrücklich an und akzeptiert, dass SIGN8 vorbehaltlich dieser Standards einer Pflicht zur Leistungserbringung unter Anwendung der erforderlichen Sorgfalt, unter Ausschluss jeglicher Erfolgsschuld, unterliegt.

(40) SIGN8 verpflichtet sich, alles daran zu setzen, um die Sicherheit von SIGN8 und der auf den Namen des Kunden angelegten Nutzerkonten zu gewährleisten. Die Haftung von SIGN8 ist jedoch bei mangelnder Wachsamkeit als auch bei mangelnden Sicherheitsvorkehrungen des Kunden bzw. der Nutzer hinsichtlich der Wahrung der Vertraulichkeit ihrer Nutzerkennung und ihres Passworts ausgeschlossen.

(41) SIGN8 haftet nicht für richtigen Einsatz der von den jeweiligen gebuchten Lizenzpakete umfassten Formen der E-Signaturen, elektronische Siegel oder Validierung. Es liegt in der alleinigen Verantwortung des Kunden bzw. des Nutzers sicherzustellen, dass die Dokumente mit der passenden Form der Signatur signiert/versiegelt/validiert werden.

(42) SIGN8 verpflichtet sich, regelmäßige Kontrollen vorzunehmen, um die Funktion und die Zugänglichkeit von SIGN8 zu überprüfen. Im Hinblick darauf behält sich SIGN8 vor, den Zugang zur Anwendung aus Gründen der planmäßigen Wartung vorübergehend zu unterbrechen.

(43) Desgleichen haftet SIGN8 nicht bei vorübergehenden Schwierigkeiten oder der Unmöglichkeit des Zugangs zu SIGN8, wenn dies durch Umstände verursacht wurde, auf die sie keinen Einfluss hat oder welche sie nicht zu vertreten hat, durch höhere Gewalt oder durch Störungen in den Telekommunikationsnetzen.

(44) SIGN8 kann nicht für einen Verzug haftbar gemacht werden, der auf die verspätete oder schadhafte Übermittlung der für die Umsetzung der Dienste erforderlichen Informationen und Daten durch den Kunden oder auf Fehler, die nicht mittelbar und ausschließlich von SIGN8 verschuldet wurden, zurückzuführen sind. SIGN8 haftet insbesondere nicht für die schadhafte Übermittlung und den Empfang der von SIGN8 übermittelten Informationen und Daten zum Kunden. SIGN8 haftet insbesondere nicht für den Umstand, falls die dem Kunden und/oder den Unterzeichnern im Rahmen der Erfüllung der Dienste zugesandten E-Mails in ihren Spam-Postfächern landen und sich daraus eine Verzögerung/Nichteinhaltung von Fristen ergibt.

(45) § 6 VDG haftet SIGN8 für Dritte, die sie mit den Aufgaben nach der Verordnung (EU) Nr. 2024/1183 und (EU) Nr. 910/2014, nach dem VDG und nach der Rechtsverordnung gem. § 20 VDG beauftragt hat, wie für eigenes Handeln. § 831 Abs. 1 Satz des BGB findet dabei keine Anwendung.

(46) Artikel 13 Abs. 1 eIDAS haftet SIGN8 als Vertrauensdienstanbieter für alle natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügten Schäden, die auf eine Verletzung der in der eIDAS festgelegten Pflichten zurückzuführen sind. Da es sich bei der SIGN8 um einen qualifizierten Vertrauensdiensteanbieter handelt, wird von einer vorsätzlichen oder fahrlässigen Verletzung der Verordnung ausgegangen, es sei denn, dass SIGN8 (als qualifizierter Vertrauensdiensteanbieter) nachweisen kann, dass der in Unterabsatz 1 des Artikel 13 eIDAS genannte Schaden nicht entstanden ist, ohne dass er vorsätzlich oder fahrlässig gehandelt hat. Somit liegt die Beweislast bei SIGN8 als qualifizierter Vertrauensdiensteanbieter. Eine Haftung über den gesetzlichen Rahmen erfolgt nicht.

(47) Solange SIGN8 noch kein qualifizierter Vertrauensdiensteanbieter ist, liegt die in Abs. 32 der AGB genannte Beweislast bei der natürlichen oder juristischen Person, den in Unterabsatz 1 des Art. 13 eIDAS genannten Schaden geltend zu machen. Somit liegt die Beweislast, solange SIGN8 noch kein qualifizierter Vertrauensdiensteanbieter ist bei der natürlichen oder juristischen Person die eben genannten Verletzungen geltend zu machen.

(48) Die SIGN8 behält sich das Recht vor ausgestellte Zertifikate zu widerrufen, sofern:

a. Kenntnis darüber erlangt wurde, dass ein Zertifikat aufgrund falscher Angaben (zu einer Person) erwirkt wurde; in diesem Fall kann der Grund für den Widerruf zusätzlich kenntlich gemacht werden; in diesem Fall kann der Grund für den Widerruf zusätzlich kenntlich gemacht werden;

b. die SIGN8 ihre Tätigkeit einstellt und das Zertifikat nicht von einem anderen Vertrauensdiensteanbieter fortgeführt wird;

c. ein hinreichend begründeter Verdacht des Missbrauchs eines Zertifikats besteht;

d. das Signaturschlüsselzertifikat der Zertifizierungsstelle oder das der zuständigen Behörde widerrufen wurde;

e. Tatsachen die Annahme rechtfertigen, dass die verwendeten elektronischen Signaturerstellungseinheiten Sicherheitsmängel aufweisen;

f. die SIGN8 als Zertifizierungs- und Vertrauensdiensteanbieter sonst gesetzlich zum Widerruf verpflichtet ist;

g. der Kunde sich mit der Zahlung, seit mehr als 30 Tage nach vorheriger Abmahnung und Fristsetzung zur Erfüllung seiner Zahlungsverpflichtung in Verzug befindet;

h. weitere Widerrufsgründe gemäß Art. 14 VDG vorliegen.

i. SIGN8 ist zudem berechtigt, ein Zertifikat zu widerrufen, wenn ihm bekannt ist, dass das zugrunde liegende Wurzelzertifikat oder das Zertifikat selbst kompromittiert ist oder von der zuständigen Behörde widerrufen wurde. SIGN8 ist verpflichtet dies dem Kunden unmittelbar nach Kenntnisnahme mitzuteilen.

(49) SIGN8 behält sich das Recht vor, einen Antrag auf Erstellung eines Zertifikats abzulehnen, wenn die Antragsunterlagen nicht oder nicht vollständig vorliegen oder inkorrekt sind oder wenn Identifikationsunterlagen unvollständig, beschädigt bzw. inkorrekt sind. Nachdem alle Daten korrekt erfasst wurden, wird das Zertifikat aktiviert und ausgestellt.

6         Pflichten und Verantwortung des Kunden

(50) Der Kunde wird verpflichtet, die ihn zur Leistungserbringung und –Abwicklung des SIGN8-Lizenzvertrags treffenden Pflichten zu erfüllen. Er wird insbesondere dazu verpflichtet:

a. die vereinbarten Preise fristgerecht zahlen;

b. die ihm zugeordneten Nutzungs- und Zugangsberechtigungen sowie Identifikations- und Authentifikations-Sicherungen vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Dritte weitergeben. Er wird insbesondere sicherstellen, dass die Benutzer keinem Dritten die Benutzung der Benutzerkonten an ihrer Stelle oder in ihrem Auftrag ermöglichen, es sei denn, sie übernehmen in diesem Rahmen die uneingeschränkte Haftung. Er bestätigt ausdrücklich, dass davon ausgegangen werden kann, dass die etwaige Nutzung der Dienste mit diesen Verbindungsdaten durch die entsprechenden Benutzer erfolgt;

c. im Rahmen seiner Nutzung der Dienste die geltenden Rechtsvorschriften einhält und Abstand von der etwaigen Verletzung der Rechte Dritter oder gesetzlicher Verordnungen nimmt. Zudem wird er dafür Sorge tragen, dass (z. B. bei der Übernahme von Texten und Daten Dritter auf von SIGN8 genutzten Server) alle gewerblichen Schutz- und Urheberrechte beachtet werden. SIGN8 kann bei Verletzung der genannten Rechte durch den Kunden in keiner Weise haftbar gemacht werden;

d. die erforderliche Einwilligung des jeweils Betroffenen einzuholen, soweit er im Rahmen der Nutzung von SIGN8 personenbezogene Daten erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand eingreift;

e. SIGN8 nicht missbräuchlich zu nutzen oder nutzen zu lassen, insbesondere keine rechts- oder sittenwidrigen Inhalte übermittelt oder auf solche Informationen hinweist, die unter den Straftatbestand der Volksverhetzung fallen, zu Straftaten anleiten oder Gewalt verherrlichen oder verharmlosen, sexuell anstößig bzw. pornographisch sind, geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden oder in ihrem Wohl zu beeinträchtigen oder das Ansehen von SIGN8 schädigen können. Es liegt darüber hinaus in der Verantwortung des Kunden, die Gesetzmäßigkeit und die Gültigkeit der innerhalb SIGN8 genutzten Kundendokumente sicherzustellen, die Gegenstand der Dienste sind. Diesbezüglich bestätigt der Kunde ausdrücklich, dass SIGN8 keine Kenntnis, über die vom Kunden im Kundenbereich gespeicherten Daten oder die Kundendokumente besitzt, für die SIGN8 keine Moderation, Auswahl, Prüfung oder Kontrolle irgendeiner Art vornimmt. Für die Inhalte der Kundendokumente kann SIGN8 nicht haftbar gemacht werden;

f. den Versuch zu unterlassen, selbst oder durch nicht autorisierte Dritte Informationen oder Daten unbefugt abzurufen oder in Programme, die von SIGN8 betrieben werden, einzugreifen oder eingreifen zu lassen oder in Datennetze von SIGN8 unbefugt einzudringen;

g. SIGN8 von sämtlichen Ansprüchen Dritter freizustellen, die auf einer rechtswidrigen Verwendung von SIGN8 durch ihn beruhen oder mit seiner Billigung erfolgen oder die sich insbesondere aus datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung von SIGN8 verbunden sind. Erkennt der Kunde oder drängt sich ihm auf, dass ein solcher Verstoß droht, besteht die Pflicht zur unverzüglichen Unterrichtung gegenüber der SIGN8 GmbH;

h. die an SIGN8 übermittelten Daten regelmäßig und gefahrentsprechend, mindestens jedoch einmal täglich, sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu gewährleisten. Eine Archivierung der Daten durch SIGN8 wird nicht angeboten, kann aber auf Nachfrage angeboten werden. SIGN8 haftet nicht für einen Verlust der Daten, so dass der Kunde in diesem Rahmen keine Entschädigung beanspruchen kann.

i. Anlage, Pflege und Löschung von Kundenkonten zu verantworten. SIGN8 übernimmt keine Verantwortung für diese Bereiche. Auch nicht für einen möglichen Datenverlust, beispielsweise durch fehlerhaftes Löschen von Kundenkonten;

j. Zu gewährleisten, dass der Lizenznehmer und die Nutzer allein für die Wahrung der Vertraulichkeit ihrer Identifikationsdaten und ihres Passworts haften. Er verpflichtet sich, SIGN8 umgehend schriftlich und insbesondere per E-Mail zu benachrichtigen, sofern deutlich wird, dass ein Nutzerkonto ohne jedes Wissen seines Nutzers benutzt wurde;

k. SIGN8 zu informieren, wenn die Angaben der Zertifikate nicht mehr den Tatsachen entsprechen oder begründeter Verdacht der Kenntnisnahme Dritter von den Identifizierungs- bzw. Authentisierungsdaten besteht und die betroffenen Zertifikate zu widerrufen;

l. SIGN8, wenn ein Kundendokument von einem oder mehreren Drittunterzeichner unterzeichnet werden muss, so wird er SIGN8 die Kontaktdaten inklusive Nachname, Vorname, E-Mail-Adresse und Telefonnummer der besagten zeichnungsberechtigten Drittunterzeichner über SIGN8 zu übermitteln. Der Kunde trägt die Verantwortung für die Korrektheit der Daten. Der Kunde garantiert SIGN8, dass insbesondere die Identität der Benutzer und der Drittunterzeichner betreffenden Daten, der Richtigkeit entsprechen, aktuell und wahrhaftig sind und keinen trügerischen Charakter aufweisen. Er verpflichtet sich im Fall von Änderungen zur Aktualisierung dieser Daten im Kundenbereich, damit sie jederzeit den vorstehenden Kriterien Rechnung tragen;

m. vor der Versendung von Daten und Informationen diese auf Viren zu prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen. Dem Kunden obliegt es zudem, SIGN8 über sämtliche Cyber-Attacken, potenziellen Bedrohungen oder Intrusionsversuche Dritter auf das Kundenkonto und/oder die Nutzerkonten zu unterrichten;

n. mindestens bis eine Woche vor dem Zeitpunkt der Beendigung des SIGN8-Lizenzvertrags seine im System vorhandenen Datenbestände sowie die von SIGN8 erfolgten Auswertungen durch Download zu sichern, da nach Beendigung des Vertrags auf diese Datenbestände kein Zugriff durch den Kunden mehr möglich ist.

o. einen eigenen Unterzeichnerpool anzulegen, bevor er beim Erstellen eines Workflows die berechtigten Unterzeichner aus diesem Unterzeichnerpool festlegt. Der Lizenznehmer wird dazu verpflichtet, die Listen von berechtigten Unterzeichnern in seinem Unternehmen intern zu führen. SIGN8 weist explizit die Verantwortung für die Führung der nachvollziehbaren und rechtliche validen Listen von berechtigten Unterzeichnern des Unternehmens dem Lizenznehmer zu. Eine Überprüfung durch SIGN8 ob ein Unterzeichner unterzeichnungsberechtigt ist erfolgt demnach nicht.

(51) Der Kunde ist außerdem dazu verpflichtet, die SIGN8 unverzüglich zu informieren, wenn eines der folgenden Ereignisse vor Ablauf der im Zertifikat angegebenen Gültigkeitsdauer eintritt:

a. Der private Schlüssel des Benutzers ist verloren gegangen, gestohlen oder möglicherweise kompromittiert worden.

b. Die Kontrolle über den privaten Schlüssel des Nutzers ist aufgrund einer Kompromittierung der Aktivierungsdaten (z. B. PIN-Code) oder aus anderen Gründen verloren gegangen.

c. Es gibt Ungenauigkeiten oder Änderungen am Inhalt des Zertifikats, die dem Kunden oder dem Benutzer mitgeteilt wurden.

(52) Im Falle einer Kompromittierung des privaten Schlüssels des Benutzers muss der Kunde die Verwendung dieses Schlüssels sofort und dauerhaft einstellen, mit Ausnahme der Entschlüsselung des Schlüssels.

(53) Wenn der Kunde darüber informiert wird, dass das Zertifikat eines Benutzers widerrufen wurde oder kompromittiert wurde, ist er verpflichtet, dafür zu sorgen, dass der private Schlüssel nicht mehr vom Benutzer verwendet wird.

(54) Der Zugriff auf SIGN8 erfolgt per Webanwendung Voraussetzungen für die Nutzung von SIGN8 sind: Internetzugang und aktueller Browser/Client. Bei veralteten oder nicht unterstützten Versionen des Browsers/Clients kann es zu Darstellungsfehlern oder Funktionsstörungen kommen.

(55) Die Bereitstellung dieser Voraussetzungen sowie der Telekommunikationsdienste einschließlich der Übermittlungsleistungen vom Leistungsübergabepunkt bis zu den von dem Kunden eingesetzten Geräten sind nicht Gegenstand dieses Vertrags, sondern obliegen dem Kunden.

(56) Der Kunde erkennt ausdrücklich an, dass die qualifiziert/fortgeschrittenen signierten oder gesiegelten Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen oder Siegel durch Zeitablauf geringer wird.

(57) Ein Kunde, welcher als juristische Person die Berechtigung für fortgeschrittene und qualifizierte Siegel bei SIGN8 beantragt und erhalten hat, hat den AGB, dem Datenschutz und den Lizenznutzungsbedingungen von SIGN8 zugestimmt. Die zum Siegeln berechtigte juristische Person ist ebenso berechtigt weitere Personen aus ihrem Unternehmen (juristische Person) zum fortgeschrittenen und qualifizierten Siegeln zu berechtigen. Die zum Siegeln berechtigte juristische Person verpflichtet sich dazu, die von der juristischen Person selbst zum Siegeln Berechtigten weiteren Personen gemäß den AGB, dem Datenschutz und den Lizenznutzungsbestimmungen (welchen die juristische Person zugestimmt hat) zu verpflichten. Das Unternehmen haftet für die von ihm ausgewählten Siegelberechtigten, welche im Namen der juristischen Person fortgeschritten oder qualifiziert siegeln.

(58) Ein Kunde darf ein von SIGN8 ausgegebenes, qualifiziertes Zertifikat nur in zulässigen und geltenden gesetzlichen Rahmen nutzen. Er handelt insoweit auf eigene Verantwortung. Dies gilt auch für die Benutzung von Stapelsignaturen. Die Einschätzung, ob dieses Zertifizierungskonzept den Anforderungen einer Anwendung entspricht und ob die Benutzung des betreffenden qualifizierten Zertifikats einem bestimmten Zweck geeignet ist, obliegt dem Zertifikatsinhaber.

(59) Dem Zertifikatsinhaber obliegt die Verantwortung, die Validität eines ausgestellten Zertifikates eigenständig zu überprüfen, mittels der aktuellen Wiederrufstatusinformationen. Ferner obliegt dem Kunden die Verantwortung die Validität eines ausgestellten Zeitstempels mittels der aktuellen Wiederrufstatusinformationen eigenständig zu überprüfen.

7         Datenspeicherung

(60) SIGN8 speichert Dokumente seiner Kunden in Westeuropa mit einer AES-256 Verschlüsselung.

(61) Dokumente zur Antragstellung und Prüfung, Daten zum Zertifikatslebenszyklus, die Zertifikate selbst und die relevanten Protokolldaten, werden für die gesamte Betriebszeit der SIGN8 aufbewahrt. Wird der Betrieb eingestellt, werden alle Dokumente und Daten an die zuständige Aufsichtsbehörde übergeben. Alle Beweismittel werden nach Einstellung des Betriebs für mindestens elf Jahre gesichert.

8         Vertragswidrige Nutzung von SIGN8

(62) SIGN8 ist berechtigt, bei rechtswidrigem Verstoß des Kunden gegen eine der in diesem Vertrag festgelegten wesentlichen Pflichten, insbesondere bei Verstoß gegen die in den Absätzen 6-(45)-e und 6-(45)-f genannten Pflichten den Zugang auf SIGN8 und zu dessen Daten zu sperren. Der Zugang wird erst dann wiederhergestellt, wenn der Verstoß gegen die betroffene wesentliche Pflicht dauerhaft beseitigt bzw. die Wiederholungsgefahr durch Abgabe einer angemessenen strafbewehrten Unterlassungserklärung gegenüber SIGN8 sichergestellt ist. Der Kunde bleibt auch in diesem Fall verpflichtet, die vereinbarten Preise zu zahlen.

(63) SIGN8 ist berechtigt, bei einem Verstoß gegen 6-(45)-e und 6-(45)-f die betroffenen Daten zu löschen.

(64) Für einen rechtswidrigen Verstoß gegen die in 6-(45)-e und 6-(45)-f festgelegten Pflichten durch einen vom Kunden autorisierten Nutzer haftet der Lizenznehmer.

9         Mängelbeseitigung

(65) SIGN8 gewährleistet nicht, dass SIGN8-Produkte vollkommen frei von Mängeln sind oder ununterbrochen oder fehlerfrei funktionieren werden, für genauere Informationen siehe Service Level Agreements.

(66) Alle Produkte werden ohne jegliche Garantie („as is“) bereitgestellt.

(67) Ein Mangel muss durch den Lizenznehmer und/oder Kunden der SIGN8 unverzüglich in schriftlicher Form inkl. einer genauen Mängelbeschreibung mitgeteilt werden.

(68) Sollten Mängel bei vertraglich vereinbarten Features und Funktionen vorliegen, werden diese unaufgefordert durch SIGN8 nachgebessert.

(69) Ist eine Mängelbeseitigung auch nach zweimaliger Nachbesserung in gesetzten Fristen nicht erfolgt bzw. ist eine Mängelbeseitigung unmöglich, kann eine Herabsetzung des Lizenzpreises durch den Kunden für das betroffene Produkt erfolgen. Bei wesentlicher Abweichung ist eine Kündigung unter vorheriger, schriftlicher Ankündigung möglich.

(70) Bei einer unbegründeten Mängelanzeige (zum Beispiel: Irrtum über Nutzung und Anwendung der Applikation) kann SIGN8 den Aufwand für die Fehlersuche dem Lizenznehmer gemäß Zeitaufwand in Rechnung stellen, insbesondere auch dann, wenn ein angezeigter Sachmangel nicht nachweisbar oder reproduzierbar ist oder SIGN8 nicht zuzuordnen ist.

(71) Mängelansprüche verjähren binnen drei Jahre ab Erbringung der letzten Dienstleistung/ab Abnahme (§§ 190 ff. BGB). Die gesetzlichen Fristen bleiben unberührt soweit die §§ 438 Abs. 1 Nr. 2 oder 634a Abs. 1 Nr. 2 BGB längere Fristen vorschreiben, bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung der SIGN8, bei arglistigem Verschweigen eines Mangels sowie in den Fällen der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für Ansprüche aus dem Produkthaftungsgesetz.

(72) Da kein käuflicher Erwerb der Software stattfindet, sondern dem Kunden lediglich ein Nutzungsrecht gewährt wird entfällt, soweit gesetzlich zulässig, eine Haftung nach dem Produkthaftungsgesetz.

(73) Weitere Mängelansprüche sind soweit gesetzlich zulässig ausgeschlossen.

10   Konformitätsprüfung

(74) Zur Prüfung der Konformität mit der Verordnung (EU) Nr. 2024/1183 und (EU) Nr. 910/2014 wird SIGN8 durch eine anerkannte Konformitätsbewertungsstelle auditiert. Im Rahmen der Audits wird, neben der Dokumentation (Sicherheitskonzept, CPS sowie weitere interne Dokumente), die Umsetzung der Prozesse und Einhaltung der Vorgaben überprüft. Für weitere Informationen wird auf unser CPS verwiesen, dass über https://sign8.eu/trust veröffentlicht wird.

11   Meldung von Sicherheitsvorfällen

(75) Kunden wird die Möglichkeit eingeräumt, sicherheitsbetreffende Vorfälle über ein spezifisches Kontaktformular zu melden. Dieses Formular ist auf unserer Website unter https://sign8.eu/trust zu finden.

12   Beweisvereinbarung

(76) Der Kunde erkennt ausdrücklich an und akzeptiert, dass

a. die über die Website und die IT-Ausrüstung der SIGN8 erhobenen Daten als Nachweis der im Rahmen dieses Vertrags abgewickelten Vorgänge gelten;

b. diese Daten das wichtigste zulässige Beweismittel im Verhältnis zwischen den Parteien darstellen, insbesondere bei der Berechnung der der SIGN8 geschuldeten Beträge.

(77) Der Kunde kann die zur Beweiserhebung benötigten Daten bei der SIGN8 anfragen

13    Anpassungs- und Preisanpassungsklauseln

(78) Der Verwender (SIGN8 GmbH) behält sich das Recht vor, diese AGB jederzeit zu ändern. Der Kunde wird vier Wochen vor Inkrafttreten der Änderungen per E-Mail oder direkt über SIGN8 über die Änderungen informiert. Er ist berechtigt, der Geltung der neuen AGB innerhalb von 4 (vier) Wochen nach Zugang der Änderungsbenachrichtigung zu widersprechen. Unterlässt der Kunde einen Widerspruch, werden die geänderten AGB nach der vierwöchigen Frist Vertragsbestandteil. Auf diese Frist wird die SIGN8 GmbH den Kunden in der Änderungsmitteilung ausdrücklich hinweisen. Ausgeschlossen vom Recht zur Änderung dieser AGB nach dem vorigen Absatz sind Regelungen, welche die Hauptleistungspflichten der Vertragsparteien betreffen und die somit das Verhältnis zwischen Haupt- und Gegenleistungspflichten maßgeblich verändern sowie sonstige grundlegende Änderungen der vertraglichen Pflichten, die dem Abschluss eines neuen Vertrags gleichkommen. Für solche Änderungen ist eine ausdrückliche vertragliche Vereinbarung erforderlich.

(79) Die SIGN8 GmbH ist berechtigt, die jeweiligen Preise (jeweiligen Preislisten, Paket oder Costum8), nach billigem Ermessen ab einer Erheblichkeitsgrenze von 5 % anzupassen. Eine Preiserhöhung kommt in Betracht und eine Preisermäßigung ist vorzunehmen, wenn sich zum Beispiel die Beschaffungskosten, Beschaffungspreise oder Kosten für die Bereitstellung des Dienstes erhöhen oder absenken oder sonstige Änderungen der Umsatzsteuer wirksam geworden sind. Relevante Kostensteigerungen werden dabei mit relevanten etwaigen Kostensenkungen verrechnet und nach Ablauf einer Frist von mindestens 4 (vier) Wochen ab Zugang der Mitteilung über die Anpassung wirksam. Bei nicht unwesentlichen Preiserhöhungen steht dem Kunden ein Kündigungsrecht mit einer Frist von 4 (vier) Wochen schriftlich ab Zugang der Mitteilung über die Anpassung zu. Dies wird ihm von der SIGN8 GmbH in diesem Fall in Textform mitgeteilt.

14   Fristen, Laufzeiten und Kündigung

(80) Der Vertrag tritt zu Beginn der im SIGN8-Lizenznutzngsvertrag mit anhängendem Angebot vereinbarten Vertragslaufzeit in Kraft und endet mit Ablauf der vereinbarten Vertragslaufzeit.

(81) Eine außerordentliche Kündigung ist möglich. Ein Grund für eine außerordentliche Kündigung durch SIGN8 liegt beispielsweise vor, wenn der Lizenznehmer mit zwei fälligen, aufeinander folgenden Zahlungen bzw. mehr als zwei Monate mit einer Zahlung im Verzug ist und nach Ablauf einer angemessenen Nachfrist nicht leistet.

(82) Die Kündigung hat schriftlich zu erfolgen.

(83) Die SIGN8 GmbH kontrahiert ausschließlich mit Unternehmern und Freiberuflern gem. § 14 BGB. Insoweit besteht kein Widerrufsrecht.

15     Anwendbares Recht, Beschwerden und Streitbeilegung

(84) Für sämtliche Rechtsbeziehungen zwischen SIGN8 und dem Kunden findet deutsches Recht Anwendung. UN-Kaufrecht ist ausgeschlossen.

(85) Wenn Sie eine Beschwerde über unsere Dienstleistungen oder Produkte haben, kontaktieren Sie bitte unser Kundensupport-Team über info@sign8.eu. Bitte geben Sie dabei eine detaillierte Beschreibung des Problems sowie Ihre Kontaktdaten an.

(86) Im Falle von Streitigkeiten führen die Parteien unter Berücksichtigung getroffener Vereinbarungen, Regelungen und geltender Gesetze die Einigung herbei.

16    Salvatorische Klausel und ausschließlicher Gerichtstand

(87) Sind oder werden einzelne Bestimmungen dieses Vertrags unwirksam, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Vertragspartner werden in diesem Fall die ungültige Bestimmung durch eine andere ersetzen, die dem wirtschaftlichen Zweck der weggefallenen Regelung in zulässiger Weise am nächsten kommt.

(88) Als ausschließlicher Gerichtstand, soweit gesetzlich zulässig, wird München vereinbart.

17   Abkürzungs- und Begriffsverzeichnis

BDSGBundesdatenschutzgesetz
Dekompilieren gem. § 69e UrhGÜbersetzung der Codeform zur Herstellung der Interoperabilität.
Disassemblieren gem. § 69e UrhGÜbersetzung der Codeform zur Herstellung der Interoperabilität.
DritteParteien, welche in keiner vertraglichen Beziehung über das Produkt Sign8 stehen.
DrittunterzeichnerDritte, welche durch die Kunden zur Signatur eines Kundendokumentes aufgefordert werden.
DSGVODatenschutz-Grundverordnung
eIDASVerordnung (EU) Nr. 2024/1183 des europäischen Parlamentes und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 hinsichtlich der Schaffung eines europäischen Rahmens für die digitale Identität
FESFortgeschrittene elektronische Signatur
IntrusionsversucheDas widerrechtliche Eindringen und Erlangen von Informationen aus dem Kundenkonto der Kunden von SIGN8.
QESQualifizierte elektronische Signatur
Reverse Engineering gem. § 69d UrhGRekonstruierung eines fertigen Systems oder Produktes
SLAService Level Agreements
VDA (Vertrauensdiensteanbieter)Ein Vertrauensdiensteanbieter bietet die in der eIDAS-Verordnung beschriebenen Vertrauensdienste an. Die Vertrauensdienste von SIGN8 umfassen das Ausstellen qualifizierter elektronischer Zertifikate für elektronische Signaturen sowie Siegel.

Sept 2024