ISMS.online-Kundenlizenzvereinbarung

ISMS.online-Kundenlizenzvereinbarung

Version 4.6 Zuletzt aktualisiert am 15. November 2022.

1. DEfinitionen

Hauptbenutzer Der vom Kunden angegebene Name und die E-Mail-Adresse der Person, mit der Alliantist im Zusammenhang mit der Nutzung der Plattform durch den Kunden zusammenarbeiten soll. Normalerweise ist es dieselbe Person, die über Administratorrechte für das Kundensystem verfügt und von Zeit zu Zeit an Überprüfungen mit Alliantist teilnimmt. Daher ist sie auch die autorisierte Person, die von Alliantist im Falle einer Datenschutzverletzung benachrichtigt wird. Der Kunde kann diese Rollen aufteilen und bei Bedarf andere benennen.
Registrierte Benutzer Benutzer, denen der Kunde die Nutzung der Plattform gestattet hat: Jeder registrierte Benutzer verfügt über eine eigene, eindeutige Login-E-Mail-Adresse und ein eigenes Passwort.
Normaler Benutzer Ein registrierter Benutzer, der Arbeiten auf der Plattform erstellen, verwalten und verwalten kann.
Gelegentlicher Benutzer Ein registrierter Benutzer, der selten auf das System zugreift, um von der Arbeit regelmäßiger Benutzer auf der Plattform zu profitieren. Hierbei handelt es sich um ein zusätzliches, kostengünstigeres Modell für gelegentliche Benutzer, die z. B. a) Benachrichtigungs-E-Mails von der Plattform erhalten, z. B. für Aktualisierungen der Informationssicherheit, und/oder b) gelegentlich auf die Plattform zugreifen, um die Einhaltung von Richtlinien und Kontrollen als Teil des Richtlinienpakets nachzuweisen. und c) sich selten an anderen Arbeiten beteiligen, z. B. an einer Diskussion über eine Bewertung des berechtigten Interesses oder eine Datenschutz-Folgenabschätzung.
Vorschlag Das Bestellformular, das im Allgemeinen als „Angebot“ bezeichnet wird, ist das Angebot, dem der Kunde zugestimmt hat und das Informationen über den Leistungsumfang und die Gebühren sowie etwaige zusätzlich vereinbarte Bedingungen enthält. Die im Angebot angegebenen Bedingungen sind Bestandteil des Vertrags zwischen dem Kunden und Alliantist und haben im Falle eines Konflikts Vorrang vor den in dieser Vereinbarung dargelegten Bedingungen.
Daten oder Daten der Kundenorganisation Alle von registrierten Benutzern in ISMS.online eingegebenen Geschäftsinhalte, einschließlich personenbezogener Daten.
Personenbezogene Daten Hat die in der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) festgelegte Bedeutung.
Data Controller Die Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, ist in jedem Fall der Kunde.
Data Processor Alliantist verarbeitet personenbezogene Daten im Auftrag des Datenverantwortlichen im Rahmen der Bereitstellung der Dienste auf der rechtmäßigen Grundlage einer vertraglichen Verpflichtung. Alliantist und seine benannten Unterauftragsverarbeiter greifen nicht auf Daten zu, es sei denn, sie werden ausdrücklich vom Kunden zu Schulungszwecken auf der Plattform oder zum Zweck der Fehler- und Problemunterstützung hinzugefügt.
Unterauftragsverarbeiter Von Alliantist ausgewählte Lieferanten, um die eigene Bereitstellung der Dienste im Hinblick auf Arbeiten im Zusammenhang mit personenbezogenen Daten im Einklang mit den DSGVO-Verpflichtungen des Vereinigten Königreichs zu ergänzen.
Hilfsmaterial Registrierte Benutzerhandbücher und Online-Touren für ISMS.online in elektronischer oder druckbarer Form, die auch im Abschnitt „Hilfe“ von ISMS.online verfügbar sind und von Zeit zu Zeit aktualisiert werden.
ISMS.online-Richtlinien Ein optionales Extra, das über das Angebot bestätigt werden kann, einschließlich „Vorsprung“-Richtlinien und -Kontrollen wie Risikomanagement, Sicherheitsvorfall- und Lieferantenmanagement sowie anderer Dokumentation, z. B. Inhalt der Risikobank oder zugehöriger Anleitungen, die der Kunde als Teil seines Angebots verwenden kann ISMS. Je nach den spezifischen Bedürfnissen und Umständen des Kunden kann es entweder übernommen, angepasst oder ergänzt werden.
Virtueller Coach Ein optionaler zusätzlicher virtueller Coaching-Service, der über die Plattform bereitgestellt wird und Leitfäden, Checklisten, Videos und Präsentationen umfasst, um Organisationen, die neu bei ISO 27001 sind, dabei zu helfen, mehr über den Standard zu erfahren und zu erfahren, wie sie ihn für ihre Organisation implementieren und aufrechterhalten können.
Dienstleistungen Die Produkte, Lizenzen und Dienstleistungen, die Alliantist dem Kunden zur Verfügung gestellt hat, und der Kunde hat sich bereit erklärt, die im Angebot dargelegten Kosten zu zahlen.
Mindestgebühr Die Gebühr für den Zugang zu den Diensten im ersten Jahr oder eine bestimmte Mindestzahlung (vorbehaltlich der im Angebot dargelegten Einzelheiten).
ISMS.online oder die Plattform Die Cloud-Softwareplattform mit optionalen Funktionserweiterungen, Eigentum von Alliantist und betrieben von Alliantist zum Zweck der Implementierung, Verbesserung und Verwaltung eines Informationssicherheits-Managementsystems („ISMS“) oder eines ähnlichen Managementsystems und dem Kunden im Rahmen des Angebots und dieser Vereinbarung lizenziert.
Fachliche Unterstützung Alle zusätzlich gezahlten Beratungs- oder anderen Spezialistengebühren, die im Angebot aufgeführt sind.

2. Lizenzierung und geistige Eigentumsrechte

2.1) Vorbehaltlich der Bedingungen dieser Vereinbarung gewährt Alliantist eine nicht ausschließliche, nicht übertragbare, widerrufliche Lizenz und der Kunde akzeptiert diese, ohne das Recht, Unterlizenzen zur Nutzung der Dienste zu gewähren.

2.2) Der Kunde ist verpflichtet, die Urheberrechts-, Marken-, Eigentums- oder Vertraulichkeitserklärungen bzw. Legenden und sonstigen Hinweise von Alliantist und/oder seinen Lieferanten in ISMS.online anzuzeigen und aufzubewahren. 

2.3) Der Kunde erkennt an, dass Alliantist alle Rechte, Titel und Interessen am Original und allen Kopien von ISMS.online, den ISMS.online-Richtlinien und der Hilfedokumentation, Virtual Coach (und allen anderen Komponenten der Dienste) und Eigentum behält aller damit zusammenhängenden Patente, Urheberrechte, Geschäftsgeheimnisse, Marken und anderen geistigen Eigentumsrechte (ob eingetragen oder nicht) sind und bleiben das alleinige Eigentum von Alliantist (vorbehaltlich der Rechte etwaiger Dritter-Urheberrechtsinhaber). 

2.4) Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, erhält der Kunde keinerlei Rechte daran und erklärt sich damit einverstanden, dass er weder selbst noch durch ein Mutterunternehmen, eine Tochtergesellschaft, ein verbundenes Unternehmen, einen Vertreter oder einen anderen Dritten (i) dekompilieren, disassemblieren, zurückentwickeln oder versuchen wird, dies zu tun Quellcode, zugrunde liegende Ideen, zugrunde liegende Benutzeroberflächentechniken, Prozesse oder Algorithmen der Dienste oder Teile davon rekonstruieren, identifizieren oder entdecken oder den Quellcode auf andere Weise ableiten; (ii) die Dienste zu modifizieren, zu portieren, zu übersetzen, zu lokalisieren oder abgeleitete Werke davon zu erstellen; (iii) die Dienste zu verkaufen, zu vermieten, zu lizenzieren, unterzulizenzieren, zu kopieren, zu vermarkten oder zu vertreiben; (iv) ein Pfandrecht oder Sicherungsrecht an den Diensten belasten oder entstehen lassen; (v) die Ergebnisse von Leistungstests oder qualitativen Analysen der Dienste ohne vorherige schriftliche Zustimmung von Alliantist an Dritte weiterzugeben.

2.5) Wenn der Kunde im Angebot eine Option wählt, wird ihm eine begrenzte, nicht ausschließliche, widerrufliche und nicht übertragbare Lizenz für den Zugriff auf und die Nutzung der ISMS.online-Richtlinien und des virtuellen Coachs gewährt.

2.6) Der Kunde verpflichtet sich und stimmt zu, keine Aspekte oder Komponenten der Dienste zu lizenzieren, zu verkaufen, weiterzuverkaufen, zu übertragen, abzutreten, zu verteilen oder anderweitig kommerziell zu verwerten oder Dritten zur Verfügung zu stellen und Alliantist unverzüglich zu benachrichtigen, wenn ihm eine unbefugte Offenlegung bekannt wird oder Nutzung der Dienste durch Dritte.

2.7) Unter der Voraussetzung, dass der Kunde nicht gegen die Bestimmungen dieser Vereinbarung (oder des Angebots) verstößt, kann der Kunde die ISMS.online-Richtlinien (nicht die Technologietools innerhalb der Plattform) weiterhin intern nutzen, auch wenn er sich gegen eine Verlängerung entscheidet oder mit der Plattform fortfahren, wenn die Dienste erneuert werden müssen.

3. Daten von Kunden und Partnerorganisationen

3.1) Der Kunde behält alle Rechte, Titel und Interessen an allen Daten der Kundenorganisation.

3.2) Auf die Plattform hochgeladene Daten und deren Verarbeitung müssen im Einklang mit diesen Bedingungen sowie allen geltenden Gesetzen und Vorschriften erfolgen. Durch das Hochladen von Daten auf die Plattform ermächtigt der Kunde Alliantist, die Daten gemäß 3.4 und 3.5 unten zu verarbeiten. Alliantist wird den Kunden benachrichtigen, wenn es der Ansicht ist, dass die Verarbeitungsanweisung des Kunden gegen geltende Gesetze und/oder Vorschriften verstößt. Der Kunde ist dafür verantwortlich, dass:

  • a) Der Kunde erstellt, übermittelt, zeigt oder stellt auf andere Weise keine Daten zur Verfügung, die gegen diese Bedingungen verstoßen oder nach alleiniger Meinung von Alliantist die Rechte von Alliantist, anderen Kunden oder registrierten Benutzern, Personen oder Organisationen verletzen oder schädlich sind (z B. Viren, Würmer, Malware und andere zerstörerische Codes), beleidigend, bedrohlich, beleidigend, belästigend, gewunden, verleumderisch, vulgär, obszön, die Privatsphäre anderer verletzend, verleumderisch, hasserfüllt oder auf andere Weise rechtswidrig; Und
  • b) der Kunde verfügt über die erforderlichen Rechte und Rechtsgrundlagen zur Nutzung der Daten, einschließlich deren Eingabe auf die Plattform und ihrer anschließenden Verarbeitung. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit aller Daten, einschließlich personenbezogener Daten, und der Mittel, mit denen der Kunde diese Daten, einschließlich personenbezogener Daten, erworben hat
  • c) Der Kunde erkennt an, dass er der Datenverantwortliche (oder ein Äquivalent in seiner örtlichen Gerichtsbarkeit gemäß nicht an die DSGVO angepassten Datenschutzgesetzen) ist und seinen Pflichten als Datenverantwortlicher in Bezug auf jede Interaktion mit den Diensten nachkommen wird.

3.3) Alliantist sieht oder versteht die auf der Plattform gespeicherten Daten (im normalen Betriebsablauf) nicht.

3.4) Verarbeitung personenbezogener Daten
Für die Zwecke von Artikel 28 der DSGVO (und allen gleichwertigen nationalen Rechtsvorschriften) legen wir nachstehend die Bedingungen unserer Datenverarbeitungsvereinbarung dar.

Data Controller Kunden
Data Processor Alliantist
Gegenstand der Verarbeitung Alliantist stellt ISMS.online zur Verfügung, um dem Kunden die Implementierung und den Betrieb eines Managementsystems zu ermöglichen.
Rechtsgrundlagen für den Verantwortlichen Der Verantwortliche gewährleistet, dass er über eine rechtmäßige Grundlage für die Verarbeitung der Daten verfügt.
Rechtsgrundlage des Auftragsverarbeiters Vertragliche Verpflichtung gemäß dieser Vereinbarung.
Dauer der Bearbeitung Alliantist verarbeitet die Daten im Namen des Kunden für die Laufzeit der Vereinbarung und für den danach erforderlichen Zeitraum, wenn der Kunde die Dienste weiterhin erbringt.
Art und Zweck der Verarbeitung Der Kunde wird zum Zweck der Implementierung, Verbesserung und Verwaltung seines ISMS Informationen einschließlich geeigneter personenbezogener Daten sammeln, zusammenarbeiten, koordinieren, organisieren, teilen, aufzeichnen, speichern, ändern, bearbeiten und löschen. Alliantist wird außerdem personenbezogene Daten verarbeiten, soweit dies zur Unterstützung und Aufrechterhaltung der Dienste für den Kunden erforderlich ist.
Arten der gespeicherten Daten Der Kunde muss lediglich personenbezogene Daten registrierter Benutzer wie die E-Mail-Adresse des Unternehmens sowie den Vor- und Nachnamen hinzufügen, damit Benutzer auf die Plattform zugreifen können. Registrierte Benutzer können bei Bedarf weitere Details wie ein Avatarbild sowie eine Telefon-, Mobiltelefon- und Arbeitsadresse hinzufügen, um das Vertrauen und die Zusammenarbeit zwischen registrierten Benutzern zu stärken. IP-Adressen werden auch zum Zweck der Einhaltung anderer Gesetze, der Schutzüberwachung und der Bereitstellung von Support und Wartung gespeichert.

Abhängig vom Umfang der Lösung kann sich der Kunde auch dafür entscheiden, relevante personenbezogene Daten seiner Mitarbeiter zu speichern, z. B. bei der Personaleinstellung, der Einarbeitung, dem Management und dem Ausscheiden aus dem Personalwesen mit Schwerpunkt auf Informationssicherheit. Die Plattform ist nicht speziell dafür konzipiert und wird auch nicht dazu ermutigt, als HR-Tool für die Speicherung erheblicher sensibler oder großer Mengen personenbezogener Daten verwendet zu werden. Persönliche Daten von Lieferanten, Partnern und Kunden können auch in Bereichen wie der Accounts-Suite gespeichert werden, wo sie Unternehmen dabei helfen, Geschäftsbeziehungen besser zu verwalten und nachzuweisen, dass sie die Kontrolle über ihre Lieferkette haben. Zu diesen Daten gehören E-Mail-Adresse, Telefonnummern, Vor- und Nachname.

Vorkehrungen für Informationssicherheit und Datenschutz sind vorhanden Alliantist verfügt über eine Reihe organisatorischer und technischer Maßnahmen zum Schutz aller wertvollen Informationen, nicht nur personenbezogener Daten.

Zu den organisatorischen und technischen Maßnahmen gehören:

1. UKAS ist auf Organisationsebene nach ISO 27001:2013 zertifiziert, die Softwareanwendung ISMS.online und die an den Diensten beteiligten Mitarbeiter erfüllen nach einer Risikoanalyse angemessene Vertraulichkeits-, Integritäts- und Verfügbarkeitsschwellenwerte.

2. Die Lieferkette ist mindestens nach demselben Standard oder einem akzeptablen Äquivalent für infrastrukturkritische Dienste (Rechenzentrums-Hosting, Code-Management usw.) zertifiziert.

3. Alle kleineren Lieferanten, die auf der Plattform arbeiten und selbst nicht über ISO-Zertifizierungen verfügen, befolgen das Alliantist ISMS und werden auf dieser Grundlage beauftragt.

4. Alle beteiligten Mitarbeiter (und relevanten Lieferanten) werden regelmäßig zum Thema Informationssicherheit und Datenschutz geschult. Sie verpflichten sich, die Richtlinien und Kontrollen, einschließlich der Vertraulichkeit, im Rahmen ihrer Rekrutierung, Einarbeitung und Überwachung im Leben mindestens einmal jährlich und gegebenenfalls bei einem Rollenwechsel einzuhalten.

5. Alliantist folgt dem Modell des Information Commissioner's Office (ICO), um die DSGVO-Konformität und die Einhaltung von ISO 27701 nachzuweisen. Dazu gehört die Risikobewertung von Sicherheits- und Datenschutzaktivitäten, von denen viele in den UKAS-zertifizierten ISO 27001-Standard eingebunden sind.

6. Gegebenenfalls werden neben Managementbewertungen gemäß ISO 27001 auch regelmäßig Datenschutz-Folgenabschätzungen, Richtlinienüberprüfungen und interne Audits durchgeführt.

7. Die Softwareanwendung wird jährlich oder bei wesentlichen Änderungsereignissen einem Penetrationstest unterzogen. 

8. Daten, die zwischen dem Endbenutzer und dem Dienst übertragen werden, verwenden TLS. Das vom Dienst verwendete SSL-Zertifikat verwendet einen 2048-Bit-RSA-Schlüssel mit einem SHA256-Algorithmus. Der TLS-Terminator ist so konfiguriert, dass er zuerst neuere Protokollversionen und sicherere Optionen bevorzugt und nach der ersten Aushandlung nicht auf einen älteren Standard zurückgreift. Die minimal unterstützte Version des TLS-Protokolls ist TLS1.2. Die verwendeten Optionen entsprechen den Empfehlungen der „Intermediate“ TLS-Konfiguration von Mozilla.

9. Für ruhende Daten werden das gemeinsam genutzte Dateisystem und das Datenbankdateisystem mithilfe der HSM-Technologie und des Amazon KMS-Dienstes mit AES-256 verschlüsselt. Passwörter werden beim Speichern gesalzen und gehasht. Die Datenbank wird weder mit anderen Diensten geteilt noch ist sie öffentlich zugänglich – sie ist in unserer privaten Cloud durch eine Firewall geschützt und ist nur für unsere Anwendungsserver zugänglich.

10. Alle Backups werden an der Quelle mit Verschlüsselung auf AES256-Ebene verschlüsselt/entschlüsselt und bei der Übertragung zwischen der Anwendung und dem Backup-Datenspeicher verschlüsselt.

11. Alle Mitarbeiter, die an der Servicebereitstellung beteiligt sind, wurden überprüft, befolgen strenge Protokolle und alle von ihnen genutzten Dienste sind (sofern angemessen) durch 2-Faktor-Authentifizierung und andere Sicherheitskontrollen wie Single Sign On (SSO) und Passwort aktiviert Verwaltungsdienste, um sichere und geeignete Passwörter sicherzustellen.

12. Alliantist folgt Cyber ​​Essentials dem IASME-Standard.

13. ISMS.online wurde von unabhängigen Prüfungen mithilfe des Qualsys-Prüfverfahrens für die SSL-Inspektion mit A+ bewertet.

14. Alliantist verfügt über ein starkes Berechtigungs- und Kontrollmanagement, um sicherzustellen, dass im Falle eines Supportproblems nur autorisierte Benutzer, die strenge Sicherheitsprotokolle befolgen, auf die relevanten Teile des Backends der Plattform zugreifen können. Alle Zugriffe werden protokolliert und können im unwahrscheinlichen Fall, dass dies erforderlich sein sollte, gegebenenfalls forensisch analysiert werden.

15. Alliantist verfügt über einen angemessenen Versicherungsschutz für Berufshaftpflicht, Cyber-Verletzungen, Betriebshaftpflicht und Beschäftigung.

Zu den weiteren technischen und plattformbezogenen Maßnahmen, die registrierten Benutzern zur Verfügung gestellt werden, gehören:

16. Die 2-Faktor-Authentifizierung ist für alle Benutzer enthalten – ohne zusätzliche Kosten für den Kerndienst und wird im Bereich „Benutzereinstellungen“ implementiert. Kundenadministratoren können sehen, wer es implementiert hat und wer nicht.

17. Starke Passwörter, SSO und andere erzwungene Sicherheitsmaßnahmen, die auf Organisationsebene festgelegt werden können, z. B. Zeitüberschreitungen, erzwungene Passwortänderungen usw.

18. Rollenbasierte Berechtigungen und Zugriffskontrollmaßnahmen für verschiedene Jobs/unterschiedliche Anforderungen für registrierte Benutzer. 

19. Datenschutzkontrollen und Berechtigungsverwaltung in Arbeitsbereichen, kontrolliert durch den Teamadministrator, um unbefugten Zugriff auf Daten zu verhindern. 

20. Berichte und Maßnahmen des Administrators, die dabei helfen, Aktivitäten zu überwachen, ohne die Privatsphäre der Benutzer zu verletzen (und sicherzustellen, dass die Investitionen der Kunden in registrierte Benutzer optimiert werden).

21. Alliantist-Personal oder Subunternehmer, die als Coach oder Supporter innerhalb der ISMS.online-Instanz des Kunden tätig sind, werden vom Kunden nur für die erforderliche Zeit hinzugefügt und dann vom Kunden entfernt.

Vom Kunden wird erwartet, dass er die zu seinem Vorteil hinzugefügten Plattformmaßnahmen nutzt. Alliantist übernimmt keine Verantwortung für Sicherheitsvorfälle oder -ereignisse, die auftreten können, weil der Kunde es versäumt hat, eine oder alle der oben aufgeführten Plattformmaßnahmen umzusetzen. Dazu gehört, dass registrierte Benutzer dafür verantwortlich sind, die Vertraulichkeit und Sicherheit ihrer Passwörter und Anmeldedaten zu wahren und den bereitgestellten Zwei-Faktor-Authentifizierungsdienst zu nutzen.

Unterauftragsverarbeiter Unterauftragsverarbeiter werden für eine Reihe von Aufgaben eingesetzt und entsprechend ihrer Rolle und dem Risiko im Zusammenhang mit den personenbezogenen Daten verwaltet.

Unterauftragsverarbeiter für unsere Rolle als Datenverarbeiter

Für Kunden, die unser Rechenzentrum in Großbritannien/EU nutzen:

Das Vereinigte Königreich ist der primäre Verarbeitungsstandort für Alliantist in seiner Rolle als Datenverarbeiter mit Hosting über AWS. Zu Sicherungs- und Redundanzzwecken wird eine Kopie dieser Daten in einem AWS-Rechenzentrum in Irland repliziert und eine weitere verschlüsselte Sicherung bei Linode UK nach denselben technischen und organisatorischen Standards durchgeführt.

Für Kunden, die unser APAC-Rechenzentrum nutzen:

Australien ist der primäre Verarbeitungsstandort für Alliantist in seiner Rolle als Datenverarbeiter mit Hosting über AWS. Zu Sicherungs- und Redundanzzwecken wird eine Kopie dieser Daten als verschlüsseltes Backup bei Linode Australia nach denselben technischen und organisatorischen Standards gespeichert.

Unterauftragsverarbeiter für unsere Rolle als Datenverantwortlicher

In unserer Rolle als Datenverantwortlicher werden folgende Unterauftragsverarbeiter eingesetzt:

AWS (UK/EU-Kunden: London Primary und Dublin Failover, APAC-Kunden: Australien), Linode, Microsoft, Google, Jira, FreshWorks, Zoom, Taylor Baines, Xero, Fresh Financials, RingCentral, WordPress, HubSpot, ZoomInfo.

Wenn personenbezogene Daten außerhalb des Vereinigten Königreichs übertragen werden, erfolgt die Übermittlung nur an Länder, die nachweislich einen angemessenen Schutz für Daten im Vereinigten Königreich bieten, oder an Dritte, bei denen wir über genehmigte Übertragungsmechanismen zum Schutz personenbezogener Daten verfügen, wie z. B. den Standard der Europäischen Kommission Vertragsklauseln mit dem International Data Transfer Addendum des Vereinigten Königreichs.

Im Rahmen der Kundenbetreuungsrolle und Back-Office-Bereitstellung von Aliantist (z. B. Kundenfinanzverwaltung, Kundenkommunikation) gibt es einige internationale Überweisungen, die durch internationale Übertragungsvereinbarungen (EU-Standardbedingungen) abgedeckt sind.

Durch die Zustimmung zu diesen Bedingungen erteilt der Kunde Alliantist eine allgemeine Genehmigung im Sinne von Artikel 28 (2) der DSGVO, Unterauftragsverarbeiter für die Bereitstellung der Dienste zu beauftragen. Alliantist wird den Kunden über wesentliche Änderungen bei diesen Unterauftragsverarbeitern gemäß der Vereinbarung und im Einklang mit Klausel 7.1 informieren.

Planen Sie die sichere Rückgabe der Daten oder deren Vernichtung am Ende der Vereinbarung Der Kunde kann seine Daten jederzeit über eine Reihe von Berichten, Exporten und Mechanismen auf der Plattform entfernen. Je nach Umfang, Stil und Art der gewünschten Inhalte und in welchem ​​Format unterstützt Alliantist den Kunden auch bei seinen End-of-Life-Exit-Aktivitäten, einschließlich der relevanten Aspekte der Portabilität und Übermittlung personenbezogener Daten, falls erforderlich.

Nach Abschluss der Vereinbarung und Bezahlung der Dienstleistungen führt Alliantist einen Kundenaustrittsprozess gemäß ISO 27001:2013 durch, bei dem sichergestellt wird, dass der Kunde als Datenverantwortlicher das, was er möchte, von der Plattform entfernt hat und dann die sichere Löschung durchläuft Löschung der Kundendaten. Dies dauert 30 Tage, da die Sicherungsinformationen in diesem Zyklus gelöscht und ersetzt werden.

3.5) Alliantist als Datenverarbeiter unterstützt den Kunden als Datenverantwortlicher dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen und betroffenen Personen die Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu ermöglichen. Zu diesem Zweck verfügt Alliantist über eine Reihe von Richtlinien, Verfahren und Ansätzen, wie zum Beispiel:

  • a) Datenschutzbeauftragter (DPO) – Alliantist hat einen geeigneten DPO benannt und dieser kann unter DPO@ISMS.online kontaktiert werden. Alliantist verfügt außerdem über Datenschutz, Informationssicherheit und eine Reihe anderer Richtlinien und Kontrollen im Einklang mit den britischen DSGVO-Empfehlungen sowie ISO 27001 und den unabhängigen UKAS-Zertifizierungsstandards.
  • b) Für Anfragen zu den Rechten betroffener Personen, einschließlich des Antrags auf Zugriff auf betroffene Personen (Subject Access Request, SAR) und anderer Rechte wie dem Recht auf Löschung, wenden Sie sich bitte an support@ISMS.online. Alliantist wird alle relevanten Anfragen zeitnah an den Kunden weiterleiten.
  • c) Benachrichtigungen zu Sicherheitsvorfällen und Verstößen – ausgehend: Alliantist betreibt einen Prozess zu Sicherheitsvorfällen, der nach den Anforderungen von ISO 27001 zertifiziert ist. Für den Fall, dass Alliantist einen Verstoß erleidet, der potenzielle Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen hat, wird Alliantist den Hauptbenutzer des Kunden innerhalb von 24 Stunden nach dem Verstoß oder sobald es davon Kenntnis erlangt, benachrichtigen und mit dem Kunden zusammenarbeiten, um die Folgen zu beheben einschließlich seiner gesetzlichen Pflichten und denen als verantwortungsvoller Lieferant.
  • d) Benachrichtigungen zu Sicherheitsvorfällen und -verstößen – eingehend: Der Kunde wird alle Sicherheitsvorfälle, Ereignisse oder Schwachstellen der Plattform innerhalb von 24 Stunden oder sobald er davon Kenntnis erlangt, an security@ISMS.online melden und Alliantist-Prozesse gemäß Anhang A 16 ebenfalls melden beginnen. Alliantist haftet nicht für Verluste oder Schäden, die aus der Nichteinhaltung dieser Anforderungen durch den Kunden entstehen
  • e) Alliantist verpflichtet sich, dem Kunden Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Verpflichtungen erforderlich sind, einschließlich, soweit angemessen und rechtmäßig, der Weitergabe von Ergebnissen relevanter Audits, unabhängiger Zertifizierungen und erhaltener Standards.
  • f) Alliantist unterstützt den Kunden auf Anfrage mit angemessener Zusammenarbeit und unter Berücksichtigung der Kosten der Dienste bei der Erfüllung der Verpflichtung des Kunden, eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Dienste durch den Kunden durchzuführen.
  • g) Alliantist ist bei der britischen Aufsichtsbehörde (ICO) als Datenverarbeiter (und als Datenverantwortlicher für sein eigenes Unternehmen) registriert.

4. Abrechnung, Zahlung, Laufzeit und Kündigung

4.1) Die Gebühren für die Kundenlizenz für die Dienste sind im Angebot festgelegt. Die Gebühren beinhalten den Zugang zu den Diensten wie beschrieben und umfassen die Wartung der Plattform mit entsprechendem technischen Support für den Kunden-Hauptbenutzer und autorisierte Administratoren. Die Gebühren umfassen auch den automatischen Zugriff auf relevante Plattformversionen und Verbesserungen für die im Angebot enthaltenen Funktionen. Der Support für registrierte Benutzer ist in den Gebühren der Hilfedokumentation enthalten und umfasst Touren, Videos und andere Supportmaterialien auf der Plattform.

4.2) Sofern im Angebot nicht anders angegeben, hat diese Vereinbarung eine Mindestlaufzeit von einem Jahr und stellt die Mindestgebühr dar. Die für die jährliche Vorauszahlung ermäßigten Gebühren für das erste Jahr sind vor Beginn der Dienstleistung fällig, sofern nicht stattdessen eine gültige Bestellung vereinbart wird. Es stehen auch Modelle mit monatlicher und vierteljährlicher Vorauszahlung zur Verfügung. 

4.3) Nach dem ersten Jahr werden die Dienste automatisch fortgesetzt, bis der Kunde oder Alliantist dem jeweils anderen eine Kündigung mit einer Frist von mindestens 30 Tagen mitteilt. Die Gebühren für die laufende Dienstleistung können monatlich, vierteljährlich oder jährlich im Voraus gezahlt werden, wobei Rabatte/Erhöhungen die eingegangene laufende Verpflichtung widerspiegeln. Alliantist gewährt keine Rückerstattungen, daher kann der Kunde nach Ablauf des ersten Jahres oder nach Zahlung der Mindestgebühr eine kürzere Zahlungsfrist für die laufende Servicebereitstellung wählen oder die Services solange weiterführen, bis eine seiner Vorauszahlungen mit der Kündigungsmitteilung übereinstimmt.

4.4) Zusätzliche registrierte Benutzer oder Erweiterungen des Leistungsumfangs, z. B. das Hinzufügen optionaler Extras wie Richtlinienpakete oder Lieferkettenkonten, können jederzeit vorbehaltlich der entsprechenden Gebührenzahlung gemäß dem Angebot oder des jeweils angegebenen Preises erfolgen der Anfrage. Die Anzahl der registrierten Benutzer wird vierteljährlich oder je nach Bedarf in anderen Abständen überprüft und für jeden hinzugefügten Zeitraum anteilig bezahlt und anschließend an den üblichen Zahlungszeitraum angepasst. Nach Zahlung der Mindestgebühr können alle Dienste entsprechend angepasst werden und Gebührenänderungen spiegeln die laufende Änderung der Nutzung wider.

4.5) Alle Gebühren setzen eine faire und akzeptable Nutzung der Dienste voraus. Für den Fall, dass die Nutzung der Plattform oder der Dienste durch den Kunden über eine faire und akzeptable Nutzung hinausgeht, wird Alliantist den Kunden schriftlich auf die Probleme aufmerksam machen und ihm die Möglichkeit geben, die Nutzung zu erleichtern oder für die zusätzlichen Serviceanforderungen zu bezahlen.

4.6) Alle Gebühren verstehen sich zuzüglich Mehrwertsteuer und anderer staatlicher Steuern.

4.7) Jede Partei kann diese Vereinbarung und jedes Angebot mit sofortiger Wirkung durch schriftliche Mitteilung kündigen, wenn die andere Partei: (i) einen wesentlichen Verstoß gegen die Vereinbarung begeht und dieser (im Falle eines Verstoßes, der behoben werden kann) nicht innerhalb von 30 Tagen behoben wurde . Ein wesentlicher Verstoß umfasst (i) das Versäumnis des Kunden, Zahlungen gemäß dieser Vereinbarung zu leisten; oder (ii) die andere Partei hat einen Liquidator, Konkursverwalter, Verwalter oder Verwaltungsverwalter für ihr gesamtes Unternehmen oder ihre Vermögenswerte oder Teile davon ernannt; oder (iii) die andere Partei stellt die Geschäftstätigkeit ein oder droht mit der Einstellung; oder (iv) eine Datenschutzverletzung, die das Risiko für die Rechte und Freiheiten der auf der Plattform gespeicherten Informationen der betroffenen Personen erhöht.

4.8) Bei Kündigung aus irgendeinem Grund:

 4.8.1) Alle dem Kunden im Rahmen dieser Vereinbarung gewährten Rechte, einschließlich, aber nicht beschränkt auf die Lizenz zur Nutzung der Dienste, erlöschen und der Kunde stellt alle durch diese Vereinbarung genehmigten Aktivitäten ein;

4.8.2) Der Kunde ist verpflichtet, alle Beträge, die Alliantist im Rahmen dieser Vereinbarung zustehen, unverzüglich an Alliantist zu zahlen. Sofern jedoch ein Geldbetrag nicht von Alliantist zurückgefordert werden kann oder von Alliantist zu zahlen ist, kann der Kunde diesen Betrag von allen Beträgen abziehen, die Alliantist im Rahmen dieser Vereinbarung zustehen ;

4.8.3) Kunden können Kundenorganisationsdaten jederzeit von der Plattform entfernen.

5. Gewährleistungen, Freistellungen und Haftung

5.1) Alliantist gewährleistet, dass die Plattform im Wesentlichen in Übereinstimmung mit den im Angebot und in der Hilfedokumentation dargelegten Spezifikationen funktioniert und die auf der ISMS.online-Website zum Ausdruck gebrachten Funktionen und Dienste widerspiegelt.

5.2) Der Kunde erkennt hiermit an und stimmt zu, dass der Zugriff auf die Dienste durch Telekommunikationsaktivitäten im lokalen Netzwerk beeinträchtigt werden kann; Regierungsnetzwerke, E-Mail-Ausfälle, Kapazität und Kompatibilität mit Kommunikationsgeräten von Drittanbietern, Kommunikationssoftware, Webbrowsern und Internet- (oder Intranet-)fähiger Software. Alliantist lehnt hiermit jegliche Haftung ab und der Kunde verzichtet hiermit auf jegliche Haftung von Alliantist für Ausfälle im Zusammenhang mit Telekommunikationsaktivitäten im lokalen Marktnetz, Regierungsnetzen, E-Mail-Ausfällen, Kapazität und Kompatibilität mit Kommunikationsgeräten Dritter, Kommunikationssoftware, Webbrowsern und dem Internet (oder Intranet). )-fähige Software.

5.3) Alliantist haftet nicht für die Nichterfüllung seiner Verpflichtungen aus dieser Vereinbarung aufgrund von Umständen, die außerhalb seiner Kontrolle liegen. Zu diesen Umständen gehören (ohne Einschränkung) Naturkatastrophen (einschließlich weit verbreiteter Infektionskrankheiten, einschließlich Epidemien und Pandemien), Terrorismus und Arbeitskonflikte , Krieg, Regierungserklärungen, Transportverzögerungen, Telekommunikationsausfälle und Missbrauch der Dienste durch den Kunden.

5.4) Alliantist verpflichtet sich, den Kunden vorbehaltlich der Grenzen seines Versicherungsschutzes von allen Ansprüchen, Forderungen, Klagen, Verbindlichkeiten, Kosten, Ausgaben (einschließlich angemessener Anwaltskosten), Schäden und Verlusten freizustellen, die dem Kunden durch Dritte entstehen Anspruch einer Partei gegen den Kunden wegen der Verletzung von geistigen Eigentumsrechten Dritter, die sich aus der Nutzung von ISMS.online durch den Kunden ergeben. Diese Freistellung gilt nicht, soweit ein daraus resultierender Anspruch auf Fahrlässigkeit, vorsätzliches Fehlverhalten oder eine Änderung der Spezifikation durch den Kunden zurückzuführen ist. Voraussetzung ist, dass der Kunde Alliantist unverzüglich, in jedem Fall jedoch innerhalb von 3 Monaten, über etwaige Ansprüche informiert; Der Kunde gibt kein Verschulden zu und unterbreitet kein Vergleichsangebot, und Alliantist hat die alleinige Kontrolle über den Anspruch mit angemessener Unterstützung, die vom Kunden verlangt wird.

Wenn der Kunde danach daran gehindert wird, die Plattform zu nutzen, wird Alliantist nach eigenem Ermessen und auf eigene Kosten entweder: die Rechte zur weiteren Nutzung beschaffen; das umstrittene geistige Eigentum ersetzen und ISMS.online so ändern, dass der Zweck weiterhin erfüllt wird; oder den Vertrag kündigen und dem Kunden alle nicht genutzten, aber im Voraus bezahlten Gebühren zurückerstatten.

5.5) Außer im gesetzlich verbotenen Umfang oder im Rahmen der Haftung im Zusammenhang mit Klausel 5.4 darf die Gesamthaftung von Alliantist in keinem Fall die vom Kunden im Vorjahr gezahlten jährlichen Plattformgebühren übersteigen.

6. Vertraulichkeit

6.1) ISMS.online, ISMS.online-Richtlinien, Virtual Coach und die Hilfedokumentation sind Eigentum von Alliantist und enthalten wertvolle Geschäftsgeheimnisse. Der Kunde ist verpflichtet, die Software, Richtlinien, Dokumentationen, technischen oder kommerziellen Informationen, Erfindungen oder Prozesse sowie alle Informationen über das Geschäft oder die Produkte von Alliantist, die dem Kunden von Alliantist offengelegt wurden und vertraulicher Natur sind, jederzeit aufzubewahren behandeln wir streng vertraulich und gestatten nicht, dass sie verwendet, kopiert, offengelegt oder entsorgt werden, es sei denn, dies geschieht in Übereinstimmung mit dieser Vereinbarung.

6.2) Der Vorschlag dieser Vereinbarung ist vertraulich und darf von keiner der Parteien ohne vorherige schriftliche Zustimmung der anderen Partei offengelegt werden.

6.3) Wenn der Kunde Alliantist vertrauliche Informationen offenlegt, verpflichtet sich Alliantist, die vertraulichen Informationen des Kunden mit denselben Standards und derselben Integrität zu schützen, die es in Bezug auf seine eigenen vertraulichen Informationen anwendet.

6.4) Die empfangende Partei (ob Kunde oder Alliantist) kann Informationen vertraulicher Art an diejenigen ihrer Mitarbeiter weitergeben, die diese wissen müssen, um die Pflichten oder Rechte der empfangenden Partei aus dieser Vereinbarung zu erfüllen, und muss sicherstellen, dass diese Mitarbeiter dies wissen unterliegen Vertraulichkeitsverpflichtungen, die denen dieser Vereinbarung entsprechen.

6.5) Die Bestimmungen dieses Abschnitts 6 gelten: (i) nicht für Informationen, die bereits öffentlich bekannt sind oder zu einem späteren Zeitpunkt öffentlich bekannt werden (außer durch einen Verstoß gegen diese Vereinbarung); (ii) gelten nicht für Informationen, die der empfangenden Partei zum Zeitpunkt der Offenlegung ohne Verletzung einer Geheimhaltungspflicht uneingeschränkt bekannt sind; (iii) gelten nicht für Informationen, die zur angemessenen Zufriedenheit der Urheberpartei nachweislich von der empfangenden Partei unabhängig generiert wurden; (iv) bleiben ungeachtet der Kündigung dieser Vereinbarung aus irgendeinem Grund in vollem Umfang in Kraft und wirksam.

7. Allgemeines

7.1) Wie bei allen SaaS-Anbietern („Software as a Service“) üblich, kann es bei Alliantist von Zeit zu Zeit erforderlich sein, die Bedingungen dieser Vereinbarung angesichts veränderter Markt- und Regulierungsbedingungen zu ändern. Daher behalten wir uns das Recht vor, diese Vereinbarung jederzeit zu ändern, indem wir diese Änderungen dem Kunden unter der von ihm benannten Hauptbenutzer-E-Mail-Adresse und über die Plattform veröffentlichen. Wenn sich diese Änderungen möglicherweise nachteilig auf das Geschäft des Kunden auswirken und dieser möglicherweise Einwände gegen diese Änderung erheben möchte, besprechen Sie dies bitte zunächst mit Ihrem Customer Success Manager.

Ihre fortgesetzte Nutzung der Dienste nach der Veröffentlichung solcher Änderungen stellt Ihre verbindliche Zustimmung zu diesen Änderungen dar. Eine solche geänderte Vereinbarung tritt in Kraft, sobald Sie die Dienste weiterhin nutzen oder 30 Tage nach Benachrichtigung über die Änderungen.

7.2) Die Plattform kann Links zu anderen Websites Dritter enthalten. Alliantist ist nicht verantwortlich für die Datenschutzpraktiken oder den Inhalt dieser anderen Websites. Registrierte Benutzer müssen die Richtlinienerklärung dieser anderen Websites überprüfen, um deren Richtlinien zu verstehen. Registrierte Benutzer, die auf eine verlinkte Website zugreifen, geben möglicherweise ihre privaten Daten preis. Es liegt in der Verantwortung des registrierten Benutzers, diese Informationen privat und vertraulich zu behandeln

7.3) Sofern im Angebot nicht anders angegeben, erfolgen Service und Support gemäß den Bedingungen, die in der Support-Richtlinie festgelegt sind, die in der Fußzeile der Plattform und auf der Website verfügbar ist.

7.4) Diese Bedingungen unterliegen englischem Recht und werden in Übereinstimmung mit diesem ausgelegt, ohne dass die Kollisionsnormen oder der tatsächliche Staat oder Wohnsitz des Kunden in Kraft treten. Alle Ansprüche, Gerichtsverfahren oder Rechtsstreitigkeiten, die sich im Zusammenhang mit ISMS.online ergeben, werden ausschließlich in England vorgebracht, und der Kunde stimmt der ausschließlichen Zuständigkeit dieser Gerichte zu, vorausgesetzt, dass jede Partei das Recht hat, ein Urteil der englischen Gerichte in einem Gerichtsstand durchzusetzen in dem die andere Partei eingetragen ist oder in dem sich Vermögenswerte der anderen Partei befinden können.

7.5) Eine Person, die nicht Vertragspartei dieser Vereinbarung ist, darf sich nicht auf Rechte gemäß dem Contracts (Rights of Third Parties) Act 1999 berufen oder diese durchsetzen.

7.6) Diese Vereinbarung einschließlich des Angebots, der Datenschutzrichtlinie und der Supportrichtlinie stellt die gesamte Vereinbarung zwischen dem Kunden und Alliantist dar.


Alle Fragen oder Probleme sollten zunächst über die normalen ISMS.online-Supportkanäle support@ISMS.online oder mit Ihrem Customer Success Manager geklärt und anschließend bei Bedarf eskaliert werden.

Um auf unsere vorherigen Allgemeinen Geschäftsbedingungen zuzugreifen bitte hier klicken

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.