Unternehmen: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Niederlande

Handelskammer (KvK): 92122167

Website: www.carsu.com

Zuletzt aktualisiert: 14. Mai 2026

1. Einleitung

Diese Allgemeinen Geschäftsbedingungen („Bedingungen") regeln Ihren Zugriff auf und Ihre Nutzung der Software-as-a-Service-Plattform („SaaS"), die von Carsu B.V. („Carsu", „Unternehmen", „wir", „uns" oder „unser") betrieben wird und unter https://www.carsu.com sowie über unsere mobilen Anwendungen verfügbar ist („Plattform").

Mit der Registrierung eines Kontos oder der Nutzung unserer Plattform erklären Sie sich damit einverstanden, an diese Bedingungen, unsere Datenschutz- und Cookie-Richtlinie (verfügbar unter https://www.carsu.com/privacy) und alle geltenden Bestellformulare oder Abonnementverträge gebunden zu sein. Wenn Sie nicht einverstanden sind, nutzen Sie unsere Dienste nicht.

Diese Bedingungen gelten für alle Tochtergesellschaften, verbundenen Unternehmen oder Konzerngesellschaften der Carsu B.V., die Dienstleistungen unter der Marke Carsu erbringen.

2. Definitionen

3. Erbrachte Dienste

Carsu bietet eine umfassende SaaS-Plattform für den Kfz-Aftermarket, einschließlich:

• Werkstattmanagement: Customer Relationship Management (CRM), Terminplanung, Rechnungsstellung und Nachverfolgung des Servicearchivs.
• Kommunikationsdienste: Integriertes Messaging über WhatsApp Business, SMS und Viber, sodass Nutzer mit ihren Endkunden kommunizieren können.
• Fahrzeug- und Teileinformationen: Zugang zu Fahrzeugdaten, Teilekatalogen und Informationen zu Reparaturabläufen.
• Zahlungsabwicklung: Integrierte Zahlungsabwicklung über Stripe.
• Drittanbieter-Integrationen: Optionale Synchronisierung von Termindaten mit externen Kalenderdiensten (wie Google Calendar) auf Ihre Veranlassung hin, wie in Abschnitt 5.4 beschrieben.
• Kundensupport: Supportdienste einschließlich KI-gestützter Funktionen wie automatische Nachrichtenübersetzung.

4. Kontoregistrierung und Sicherheit

4.1 Registrierung

Um auf die Plattform zuzugreifen, müssen Sie ein Konto registrieren. Sie erklären sich damit einverstanden, während der Registrierung genaue, aktuelle und vollständige Informationen anzugeben und diese Informationen aktuell zu halten.

4.2 Kontosicherheit

Sie sind verantwortlich für die Vertraulichkeit Ihrer Anmeldedaten und für alle Aktivitäten, die unter Ihrem Konto stattfinden. Sie müssen uns unverzüglich unter hello@carsu.com informieren, wenn Sie eine unbefugte Nutzung Ihres Kontos bemerken.

4.3 Berechtigung für das Konto

Die Plattform ist für den geschäftlichen Gebrauch (B2B) vorgesehen. Mit der Registrierung erklären Sie, dass Sie berechtigt sind, im Namen der von Ihnen registrierten Geschäftseinheit zu handeln, und dass Sie rechtlich befugt sind, diese Bedingungen einzugehen.

5. Nutzung der Plattform und Kommunikationsdienste

5.1 Messaging-Integration

Unsere Plattform integriert WhatsApp Business, SMS-Gateways und Viber. Nutzer müssen die jeweiligen Bedingungen und Richtlinien Dritter für jeden verwendeten Kommunikationskanal einhalten. Carsu ist nicht verantwortlich für Änderungen der Richtlinien oder der Verfügbarkeit von Drittanbieter-Plattformen.

5.2 Messaging-Tarife

Die Tarife für den Versand von Nachrichten sind variabel und hängen vom Ziel, der Nachrichtenart und Ihrer Abonnementstufe ab. Aktuelle Tarife sind im Einstellungsbereich Ihres Konto-Dashboards verfügbar. Carsu behält sich das Recht vor, Messaging-Tarife mit 14 Tagen Vorankündigung über Ihr Konto-Dashboard oder per E-Mail anzupassen.

5.3 Einwilligung und Compliance

Carsu stellt Tools und Anleitungen bereit, um Nutzern bei der Einholung und Verwaltung der Einwilligung für Kommunikation mit Endkunden gemäß der ePrivacy-Richtlinie und geltendem nationalen Recht zu helfen. Als Verantwortlicher für Endkundendaten ist der Nutzer jedoch letztlich verantwortlich dafür, sicherzustellen, dass:

• Vor dem Versand von Marketing-Nachrichten gültige Einwilligungen eingeholt werden;
• Nachrichten den geltenden Anti-Spam- und Gesetzen für elektronische Kommunikation entsprechen;
• Widerrufs-/Opt-out-Anfragen von Endkunden umgehend befolgt werden.

5.4 Drittanbieter-Integrationen

Die Plattform bietet optionale Drittanbieter-Integrationen, einschließlich der Synchronisation mit Google Calendar.

• Autorisierung. Die Nutzung einer Drittanbieter-Integration erfolgt ausschließlich auf Ihre Veranlassung und erfordert, dass Sie die Verbindung über den Authentifizierungsablauf des Dritten (z. B. Google OAuth) autorisieren. Sie autorisieren Carsu, auf Daten des verbundenen Dienstes ausschließlich für die in unserer Datenschutz- und Cookie-Richtlinie beschriebenen Zwecke zuzugreifen, sie zu übertragen und zu verarbeiten.
• Umfang. Die Google-Calendar-Integration nutzt den Scope calendar.events.readonly. Carsu importiert Kalender-Events ausschließlich zur Anzeige auf der Carsu-Kalenderseite; Carsu schreibt, ändert oder löscht keine Events in Ihrem Google Calendar.
• Limited Use. Die Nutzung von Daten, die Carsu von Google APIs erhält, entspricht der Google API Services User Data Policy einschließlich ihrer Limited-Use-Anforderungen. Wir verwenden Google-API-Daten nicht für Werbezwecke, verkaufen sie nicht und verwenden sie nicht zum Training von KI- oder Machine-Learning-Modellen. Die vollständige Erklärung finden Sie in §5a der Datenschutz- und Cookie-Richtlinie.
• Widerruf. Sie können die Autorisierung jederzeit über die Einstellungen Ihres Carsu-Kontos oder direkt über die Kontosteuerung des Drittanbieters widerrufen (für Google: myaccount.google.com/permissions). Carsu wird den Zugriff unverzüglich einstellen und zwischengespeicherte Daten gemäß dem Aufbewahrungsplan der Datenschutz- und Cookie-Richtlinie löschen.
• Drittanbieter-Bedingungen. Ihre Nutzung jeder Drittanbieter-Integration unterliegt auch den Bedingungen und Richtlinien des Drittanbieters. Carsu ist nicht verantwortlich für Änderungen, Aussetzungen oder Beendigungen von Drittanbieter-APIs noch für Kosten oder Einschränkungen, die der Drittanbieter auferlegt.
• Keine Haftung für Ausfälle Dritter. Ausfälle, Fehler, Latenz oder Nichtverfügbarkeit von Daten, die durch den Drittanbieter verursacht werden, sind von den Service-Level-Verpflichtungen von Carsu gemäß Abschnitt 8 ausgeschlossen.

6. Vorausbezahlte Credits und Nutzung

6.1 Vorausbezahltes Credit-Modell

Carsu arbeitet für Kommunikationsdienste auf Basis vorausbezahlter Credits. Credits müssen im Voraus erworben werden, um Messaging-Funktionen zu nutzen.

6.2 Ablauf der Credits — Free-Stufe

Für Nutzer auf der Free-Stufe sind erworbene Credits zwölf (12) Monate ab dem Kaufdatum gültig. Nicht genutzte Credits verfallen nach diesem Zeitraum automatisch ohne Erstattung.

6.3 Gültigkeit der Credits — Kostenpflichtige Stufen

Für Nutzer auf der Basic-Stufe oder einem anderen kostenpflichtigen Abonnement verfallen erworbene Credits nicht, solange das Abonnement aktiv und in gutem Stand ist. Wenn ein kostenpflichtiges Abonnement endet (aus welchem Grund auch immer), unterliegen verbleibende Credits der 12-Monats-Verfallsregelung ab dem Datum des Abonnementendes.

6.4 Test-Credits

Carsu kann neuen Nutzern zu Testzwecken kostenlose Test-Credits zur Verfügung stellen. Test-Credits:

• Verfallen automatisch drei (3) Monate nach Ausgabe;
• Können jederzeit widerrufen werden, wenn wir Missbrauch oder einen Verstoß gegen unsere Acceptable-Use-Policy (Abschnitt 11) vermuten;
• Haben keinen Geldwert und sind nicht übertragbar.

7. Gebühren, Zahlung und Rechnungsstellung

7.1 Preise

Aktuelle Preise für Credits und Abonnementstufen sind auf unserer Website und in Ihren Kontoeinstellungen verfügbar. Alle Gebühren verstehen sich zuzüglich anfallender Steuern, sofern nicht anders angegeben.

7.2 Zahlungsabwicklung

Zahlungen werden über Stripe abgewickelt. Mit einem Kauf akzeptieren Sie die Servicebedingungen von Stripe. Carsu speichert keine Kreditkartendetails.

7.3 Rechnungsstellung und Mehrwertsteuer

Rechnungen werden zum Zeitpunkt des Credit-Kaufs oder der Abonnementzahlung ausgestellt.

• Niederländische Kunden (B2B): Es gilt 21 % niederländische Mehrwertsteuer.
• EU-Kunden außerhalb der Niederlande (B2B): Es gilt das Reverse-Charge-Verfahren für die Mehrwertsteuer. Rechnungen enthalten den Hinweis „VAT reverse-charged". Sie müssen eine gültige EU-USt-IdNr. angeben.
• UK-Kunden (B2B): Nullsatz für die Mehrwertsteuer, wenn eine gültige UK-USt-IdNr. angegeben wird.
• Nicht-EU-/UK-Kunden: Keine Mehrwertsteuer berechnet; lokale Steuerverpflichtungen liegen in der Verantwortung des Kunden.

7.4 Preisänderungen

Carsu kann Abonnementpreise oder Credit-Tarife mit mindestens 30 Tagen schriftlicher Vorankündigung per E-Mail anpassen. Eine fortgesetzte Nutzung nach dem Inkrafttreten gilt als Zustimmung. Wenn Sie einer Preisänderung nicht zustimmen, können Sie Ihr Abonnement vor Inkrafttreten der neuen Preise kündigen.

7.5 Erstattungsrichtlinie

Alle Credit-Käufe und Abonnementgebühren sind nicht erstattbar, außer wenn Carsu seine Serviceverpflichtungen gemäß diesen Bedingungen wesentlich verletzt hat oder das geltende Recht etwas anderes vorschreibt.

8. Service Levels

8.1 Plattformverfügbarkeit

Carsu wird wirtschaftlich angemessene Anstrengungen unternehmen, um eine Plattformverfügbarkeit von mindestens 99,5 % pro Kalendermonat aufrechtzuerhalten, gemessen unter Ausschluss geplanter Wartungsfenster.

8.2 Geplante Wartung

Wir werden geplante Wartungen, die die Verfügbarkeit beeinträchtigen können, mit einer Vorlaufzeit von mindestens 48 Stunden ankündigen, außer in Fällen dringender Sicherheitspatches, in denen eine kürzere Vorankündigung erforderlich sein kann.

8.3 Abhilfemaßnahmen

Wenn die Plattformverfügbarkeit in einem Kalendermonat unter 99,5 % fällt (unter Ausschluss geplanter Wartung und Force-Majeure-Ereignisse), können betroffene Nutzer mit kostenpflichtigen Abonnements für den betroffenen Zeitraum eine anteilige Servicegutschrift beantragen. Servicegutschriften werden auf zukünftige Rechnungen angewendet und stellen keine Barerstattung dar. Ansprüche müssen innerhalb von 30 Tagen nach dem betroffenen Monat geltend gemacht werden.

8.4 Abhängigkeiten von Dritten

Unsere Kommunikationsdienste und Drittanbieter-Integrationen sind von Plattformen Dritter abhängig (WhatsApp, Viber, SMS-Gateways, Google APIs usw.). Carsu ist nicht verantwortlich für Ausfälle oder Einschränkungen, die diese Drittanbieter auferlegen. Ausfallzeiten von Drittanbietern sind von SLA-Berechnungen ausgeschlossen.

9. Datenschutz

9.1 Datenschutz- und Cookie-Richtlinie

Carsu verarbeitet personenbezogene Daten gemäß unserer Datenschutz- und Cookie-Richtlinie, verfügbar unter https://www.carsu.com/privacy. Mit der Nutzung der Plattform bestätigen Sie, dass Sie unsere Datenschutz- und Cookie-Richtlinie gelesen und verstanden haben.

9.2 Auftragsverarbeitungsvereinbarung

Wenn Carsu personenbezogene Daten in Ihrem Auftrag verarbeitet (d. h. Endkundendaten), handelt Carsu als Auftragsverarbeiter und Sie als Verantwortlicher. Die in Anhang A dieser Bedingungen festgelegte Auftragsverarbeitungsvereinbarung („DPA") oder eine gesondert abgeschlossene Vereinbarung regelt diese Verarbeitungsbeziehung gemäß Art. 28 DSGVO.

9.3 Ihre Pflichten als Verantwortlicher

Als Verantwortlicher für die über unsere Plattform verarbeiteten Endkundendaten sind Sie verantwortlich für:

• Sicherstellen, dass Sie eine gültige Rechtsgrundlage für die Verarbeitung von Endkundendaten haben;
• Einholen erforderlicher Einwilligungen für elektronische Kommunikation (Einhaltung der ePrivacy-Richtlinie);
• Beantwortung von Betroffenenrechtsanfragen Ihrer Endkunden (Carsu wird auf Anfrage unterstützen);
• Unverzügliche Benachrichtigung von Carsu über Betroffenenanfragen, die Unterstützung durch Carsu erfordern;
• Pflege Ihrer eigenen Datenschutzrichtlinie, die Ihre Nutzung unserer Plattform zur Verarbeitung von Endkundendaten abdeckt.

9.4 Datenübertragbarkeit und Wechselrechte

Gemäß Art. 20 DSGVO und dem EU Data Act (Verordnung (EU) 2023/2854) haben Sie ein Recht auf Datenübertragbarkeit und Wechsel:

• Self-Service-Export: Sie können Ihre Daten jederzeit aus Ihren Kontoeinstellungen im CSV- oder JSON-Format exportieren.
• Manueller Exportantrag: Sie können auch einen vollständigen Datenexport per E-Mail an legal@carsu.com beantragen. Exportanträge werden innerhalb von 30 Tagen erfüllt.
• Export nach Kündigung: Sie können innerhalb von 12 Monaten nach Kündigung Ihres Abonnements einen Datenexport beantragen.
• Datenlöschung: Daten werden innerhalb von 60 Tagen nach Ablauf des 12-monatigen Exportfensters nach Kündigung dauerhaft gelöscht, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist.
• Wechselunterstützung: Gemäß dem EU Data Act bietet Carsu, wenn Sie zu einem alternativen Dienstanbieter wechseln möchten, für einen Zeitraum von 30 Tagen nach Einleitung des Wechselprozesses angemessene technische Unterstützung. Wechselgebühren, sofern vorhanden, überschreiten nicht die Kosten, die Carsu bei der Bereitstellung der Wechselunterstützung direkt entstehen.

Carsu wird keine vertraglichen, technischen oder kommerziellen Barrieren auferlegen, die den Wechsel oder die Datenübertragbarkeit über das hinaus behindern, was für Sicherheits- und Datenintegritätszwecke unbedingt erforderlich ist.

9.5 Daten aus Drittanbieter-Integrationen

Wenn Sie Carsu autorisieren, auf Daten eines Drittanbieterdienstes zuzugreifen (z. B. Google Calendar), handelt Carsu als Verantwortlicher dieser Daten auf den Rechtsgrundlagen der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und des Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und verarbeitet sie ausschließlich gemäß der Datenschutz- und Cookie-Richtlinie und den API-Bedingungen des Drittanbieters. Sie behalten das Eigentum an allen solchen Daten. Die Auftragsverarbeitungsvereinbarung in Anhang A gilt nicht für Daten aus Drittanbieter-Integrationen, die Sie für Ihren eigenen Gebrauch autorisieren, da solche Daten keine Endkundendaten sind, die Carsu in Ihrem Auftrag verarbeitet.

10. Geistiges Eigentum

10.1 Carsu-IP

Alle Inhalte, Software, Technologien, Designs, Marken und Materialien auf unserer Plattform sind Eigentum von Carsu B.V. oder seinen Lizenzgebern und durch Gesetze zum geistigen Eigentum geschützt. Ihnen wird während Ihres Abonnements eine begrenzte, nicht-exklusive, nicht übertragbare, widerrufbare Lizenz zur Nutzung der Plattform zu ihrem vorgesehenen Zweck gewährt.

10.2 Ihre Daten und aggregierte Analysen

Sie behalten alle Rechte an den Daten, die Sie auf die Plattform hochladen. Mit dem Hochladen von Daten gewähren Sie Carsu eine begrenzte Lizenz zur Verarbeitung dieser Daten ausschließlich zum Zwecke der Erbringung der Dienste.

Carsu kann anonymisierte, aggregierte Daten (die Sie, Ihre Endkunden oder einzelne Transaktionen nicht identifizieren können) für Serviceverbesserung, Branchenanalysen, Markteinblicke, Forschung und Innovation nutzen und teilen. Solche Daten werden auf einem Niveau aggregiert, das sicherstellt, dass keine einzelne Werkstatt, kein Endkunde und keine Transaktion identifiziert werden kann.

Da die Daten vor jeglicher externer Nutzung oder Weitergabe unumkehrbar anonymisiert wurden, fallen sie nicht in den Geltungsbereich der DSGVO (Erwägungsgrund 26). Empfänger aggregierter Erkenntnisse sind durch schriftliche Bedingungen verpflichtet, die eine Re-Identifizierung verbieten. Für vollständige Details siehe Abschnitt 7.5 unserer Datenschutz- und Cookie-Richtlinie.

Daten aus Google APIs sind im Einklang mit den in der Datenschutz- und Cookie-Richtlinie (§5a) beschriebenen Limited-Use-Verpflichtungen von dieser aggregierten Analysenutzung ausgeschlossen.

11. Acceptable-Use-Policy

Sie erklären sich damit einverstanden, die Plattform nicht zu verwenden, um:

• Unerwünschte Marketingnachrichten (Spam) oder Nachrichten ohne gültige Empfänger-Einwilligung zu senden;
• Inhalte zu übermitteln, die illegal, diffamierend, bedrohlich, belästigend oder diskriminierend sind;
• Malware, Viren oder andere schädliche Codes zu verbreiten;
• Zu versuchen, unbefugten Zugriff auf die Plattform, andere Konten oder verbundene Systeme zu erhalten;
• Teile der Plattform zurückzuentwickeln, zu dekompilieren oder zu disassemblieren;
• Die Plattform für einen Zweck zu nutzen, der gegen das geltende Recht verstößt, einschließlich Datenschutz- und Anti-Spam-Vorschriften;
• Sich als eine andere Person oder Einheit auszugeben oder Ihre Zugehörigkeit falsch darzustellen;
• Nutzungsgrenzen, Ratenbegrenzungen oder andere technische Beschränkungen zu umgehen.

Carsu behält sich das Recht vor, den Zugriff für Nutzer, die gegen diese Acceptable-Use-Policy verstoßen, gemäß Abschnitt 13 zu sperren oder zu beenden.

12. Freistellung

Sie verpflichten sich, Carsu, seine leitenden Angestellten, Direktoren, Mitarbeiter und Vertreter von und gegen alle Ansprüche, Schäden, Verluste, Verbindlichkeiten und Kosten (einschließlich angemessener Anwaltskosten) freizustellen, die sich ergeben aus:

• Ihrem Verstoß gegen diese Bedingungen oder die Acceptable-Use-Policy;
• Ihrer Nutzung der Plattform unter Verstoß gegen geltendes Recht;
• Über die Plattform in Ihrem Namen versendeten Nachrichten, einschließlich Ansprüchen von Endkunden oder Dritten in Bezug auf Einwilligung, Inhalt oder Compliance;
• Jeglichem Anspruch, dass von Ihnen bereitgestellte Daten Rechte des geistigen Eigentums oder Datenschutzrechte Dritter verletzen.

13. Laufzeit, Aussetzung und Beendigung

13.1 Laufzeit

Ihr Abonnement beginnt am Beginn und läuft für die vereinbarte Laufzeit (monatlich oder jährlich, je nach Anwendbarkeit) und verlängert sich automatisch, sofern es nicht vor Ablauf der aktuellen Periode gekündigt wird.

13.2 Kündigung durch Sie

Sie können Ihr Abonnement jederzeit über Ihre Kontoeinstellungen kündigen. Die Kündigung wird am Ende des aktuellen Abrechnungszeitraums wirksam. Für nicht genutzte Teile eines Abrechnungszeitraums werden keine anteiligen Erstattungen gewährt.

13.2a Wechsel zu einem alternativen Anbieter (EU Data Act)

Gemäß dem EU Data Act können Sie Ihr Abonnement zum Zwecke des Wechsels zu einem alternativen Dienstanbieter kündigen, indem Sie eine schriftliche Kündigung mit einer Frist von mindestens 2 Monaten an legal@carsu.com senden. Während der Kündigungsfrist und 30 Tage nach Beendigung wird Carsu angemessene technische Unterstützung zur Erleichterung des Übergangs bieten, einschließlich Datenexport in Standardformaten (CSV, JSON) und Dokumentation der Datenstrukturen. Wechselgebühren, sofern vorhanden, sind auf direkt entstandene Kosten beschränkt und werden im Voraus offengelegt.

13.3 Aussetzung durch Carsu

Carsu kann Ihren Zugriff auf die Plattform sofort sperren, wenn:

• Wir vernünftigerweise glauben, dass Sie gegen die Acceptable-Use-Policy verstoßen;
• Ihr Konto in mutmaßlich betrügerische Aktivitäten verwickelt ist;
• Dies zur Einhaltung einer gesetzlichen Verpflichtung oder eines Gerichtsbeschlusses erforderlich ist;
• Ihre Zahlung mehr als 14 Tage überfällig ist.

Wir werden Sie so bald wie möglich über jede Aussetzung und den Grund dafür informieren. Eine Aussetzung beendet diese Bedingungen nicht; wir werden den Zugriff wiederherstellen, sobald das Problem gelöst ist.

13.4 Beendigung aus wichtigem Grund durch Carsu

Carsu kann Ihr Konto und diese Bedingungen beenden, wenn:

• Ein wesentlicher Verstoß nach schriftlicher Mitteilung 30 Tage lang nicht behoben wird;
• Sie wiederholt gegen die Acceptable-Use-Policy verstoßen;
• Sie zahlungsunfähig werden oder ein Insolvenzverfahren einleiten.

13.5 Nach Beendigung

Nach Beendigung:

• Verfallen alle nicht genutzten Test-Credits sofort;
• Unterliegen erworbene Credits für kostenpflichtige Stufen den Ablaufregeln in Abschnitt 6;
• Können Sie innerhalb von 12 Monaten nach Beendigung einen Datenexport beantragen (siehe Abschnitt 9.4);
• Werden nach Ablauf des 12-monatigen Zeitraums nach Beendigung alle Ihre Daten dauerhaft gelöscht, außer wo eine Aufbewahrung gesetzlich vorgeschrieben ist;
• Werden Daten aus Drittanbieter-Integrationen (einschließlich Google Calendar) innerhalb von 30 Tagen nach Beendigung oder früherer Trennung gemäß dem Aufbewahrungsplan der Datenschutz- und Cookie-Richtlinie gelöscht.

14. Haftungsbeschränkung

14.1 Ausschluss indirekter Schäden

Soweit gesetzlich zulässig, haftet keine Partei für indirekte, zufällige, besondere, Folge- oder Strafschäden, einschließlich, aber nicht beschränkt auf Gewinn-, Daten-, Geschäfts- oder Goodwill-Verlust, unabhängig von der Klageursache oder der Haftungstheorie.

14.2 Haftungsobergrenze

Die gesamte Haftung von Carsu im Rahmen oder in Verbindung mit diesen Bedingungen überschreitet nicht die Gesamtgebühren, die Sie in den zwölf (12) Monaten unmittelbar vor dem schadensauslösenden Ereignis an Carsu gezahlt haben.

14.3 Ausnahmen

Nichts in diesen Bedingungen schließt die Haftung aus oder beschränkt sie für:

• Tod oder Personenschaden durch Fahrlässigkeit;
• Betrug oder betrügerische Falschdarstellung;
• Jegliche Haftung, die nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann, einschließlich DSGVO-Verpflichtungen.

15. Höhere Gewalt

Keine Partei haftet für Nichterfüllung oder Verzögerung bei der Erfüllung ihrer Verpflichtungen aus diesen Bedingungen, sofern eine solche Nichterfüllung oder Verzögerung auf Ereignisse zurückzuführen ist, die außerhalb ihrer angemessenen Kontrolle liegen, einschließlich, aber nicht beschränkt auf: Naturkatastrophen, Pandemien, behördliche Maßnahmen, Krieg, Terrorismus, Stromausfälle, Internetausfälle, Ausfälle von Drittanbieter-Plattformen (WhatsApp, Viber, SMS-Gateways, Stripe, Google APIs) und Cyberangriffe.

Die betroffene Partei muss die andere Partei unverzüglich informieren und angemessene Anstrengungen unternehmen, um die Auswirkungen zu mindern. Wenn ein Fall höherer Gewalt mehr als 60 Tage andauert, kann jede Partei die betroffenen Dienste mit schriftlicher Kündigung beenden.

16. Gewährleistungen und Haftungsausschlüsse

16.1 Carsu-Gewährleistungen

Carsu gewährleistet, dass:

• Die Plattform im Wesentlichen entsprechend ihrer Dokumentation funktionieren wird;
• Dienste mit angemessener Sorgfalt und Fachkenntnis erbracht werden;
• Carsu in seiner Rolle als Verantwortlicher oder Auftragsverarbeiter das geltende Datenschutzrecht einhalten wird.

16.2 Sicherheit und Schwachstellenoffenlegung

Carsu unterhält eine verantwortungsvolle Schwachstellenoffenlegungspolitik im Einklang mit dem Cyber Resilience Act und den Best Practices der Branche. Sicherheitsforscher und Nutzer können Schwachstellen über unsere security.txt-Datei unter https://www.carsu.com/.well-known/security.txt oder per E-Mail an security@carsu.com melden. Carsu verpflichtet sich, Meldungen innerhalb von 5 Werktagen zu bestätigen und innerhalb von 30 Tagen einen Zeitplan zur Lösung bereitzustellen.

16.3 Haftungsausschluss

Soweit in diesen Bedingungen nicht ausdrücklich angegeben, wird die Plattform „wie besehen" und „wie verfügbar" bereitgestellt. Carsu gibt keine zusätzlichen Gewährleistungen ab, weder ausdrücklich noch stillschweigend, einschließlich Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck oder der Nichtverletzung. Carsu garantiert nicht, dass die Plattform ununterbrochen, fehlerfrei sein wird oder dass alle Mängel behoben werden.

17. Anwendbares Recht und Streitbeilegung

17.1 Anwendbares Recht

Diese Bedingungen unterliegen niederländischem Recht und werden danach ausgelegt, ohne Berücksichtigung von Grundsätzen des Kollisionsrechts.

17.2 Streitbeilegung

Die Parteien werden zunächst versuchen, Streitigkeiten durch Verhandlungen in gutem Glauben über einen Zeitraum von 30 Tagen beizulegen. Wenn dies nicht gelingt, sind Streitigkeiten der ausschließlichen Gerichtsbarkeit der zuständigen Gerichte von Amsterdam, Niederlande, zu unterwerfen.

17.3 Aufsichtsrechtliche Beschwerden

Nichts in diesen Bedingungen hindert Sie daran, Ihre Rechte nach der DSGVO auszuüben oder Beschwerden bei der zuständigen Aufsichtsbehörde einzureichen (Details siehe unsere Datenschutz- und Cookie-Richtlinie).

18. Allgemeine Bestimmungen

18.1 Gesamte Vereinbarung

Diese Bedingungen bilden zusammen mit der Datenschutz- und Cookie-Richtlinie und einem etwaigen Bestellformular oder DPA die gesamte Vereinbarung zwischen Ihnen und Carsu in Bezug auf die Nutzung der Plattform. Sie ersetzen alle vorherigen Vereinbarungen, Zusicherungen und Absprachen.

18.2 Salvatorische Klausel

Sollte eine Bestimmung dieser Bedingungen für ungültig oder nicht durchsetzbar erachtet werden, bleiben die übrigen Bestimmungen voll wirksam und in Kraft. Die ungültige Bestimmung wird im erforderlichen Mindestmaß geändert, um sie gültig und durchsetzbar zu machen.

18.3 Abtretung

Sie dürfen diese Bedingungen ohne vorherige schriftliche Zustimmung von Carsu nicht abtreten oder übertragen. Carsu kann diese Bedingungen im Zusammenhang mit einer Fusion, Übernahme, Reorganisation oder dem Verkauf eines wesentlichen Teils seiner Vermögenswerte abtreten, sofern der Erwerber zustimmt, an diese Bedingungen gebunden zu sein.

18.4 Verzicht

Versäumnis oder Verzögerung einer Partei bei der Ausübung eines Rechts aus diesen Bedingungen stellt keinen Verzicht auf dieses Recht dar.

18.5 Mitteilungen

Mitteilungen an Carsu sind an legal@carsu.com oder per Post an unsere eingetragene Anschrift zu senden. Mitteilungen an Sie werden an die Ihrem Konto zugeordnete E-Mail-Adresse gesendet. Mitteilungen gelten als zugestellt bei Zustellung (E-Mail) oder 5 Werktage nach Versand (Post).

18.6 Änderungen

Carsu kann diese Bedingungen mit mindestens 30 Tagen schriftlicher Vorankündigung per E-Mail oder Plattformbenachrichtigung ändern. Wesentliche Änderungen werden hervorgehoben. Die fortgesetzte Nutzung nach dem Inkrafttreten gilt als Zustimmung. Wenn Sie einer Änderung nicht zustimmen, können Sie Ihr Abonnement vor Inkrafttreten der Änderung kündigen.

19. Kontaktieren Sie uns

Rechtsanfragen: legal@carsu.com

Allgemeine Anfragen: hello@carsu.com

Datenschutzbeauftragter: privacy@carsu.com

Sicherheitsangelegenheiten: security@carsu.com

Postadresse: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Niederlande

Mit der Nutzung unserer Plattform bestätigen Sie, dass Sie diese Allgemeinen Geschäftsbedingungen gelesen, verstanden haben und sich damit einverstanden erklären, an sie gebunden zu sein.

ANHANG A

AUFTRAGSVERARBEITUNGSVEREINBARUNG

Diese Auftragsverarbeitungsvereinbarung („DPA") ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen von Carsu („Vereinbarung") zwischen Carsu B.V. („Auftragsverarbeiter") und dem Nutzer („Verantwortlicher") und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten.

Diese DPA wird gemäß Art. 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") und gegebenenfalls der britischen Datenschutz-Grundverordnung („UK GDPR") geschlossen.

A1. Definitionen

In dieser DPA nicht definierte Begriffe haben die in der Vereinbarung und in der DSGVO festgelegten Bedeutungen. In dieser DPA:

• „Personenbezogene Daten des Verantwortlichen" bezeichnet personenbezogene Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten verarbeitet.
• „Datenschutzgesetze" bezeichnet die DSGVO, UK GDPR, die ePrivacy-Richtlinie 2002/58/EG, das italienische Codice Privacy (D.Lgs. 196/2003 in der geänderten Fassung), das niederländische UAVG und jegliche andere anwendbare Datenschutzgesetzgebung.
• „Unterauftragsverarbeiter" bezeichnet jeden vom Auftragsverarbeiter beauftragten Dritten zur Verarbeitung von personenbezogenen Daten des Verantwortlichen im Auftrag des Verantwortlichen.

A2. Umfang und Zweck der Verarbeitung

A2.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen ausschließlich zum Zweck der Erbringung der Dienste gemäß der Vereinbarung, einschließlich Werkstattmanagement, Kundenkommunikation (WhatsApp, SMS, Viber), Zahlungsabwicklung und Kundensupport.

Ausnahme — Daten aus Drittanbieter-Integrationen. Daten, deren Zugriff der Verantwortliche Carsu von einem Drittanbieterdienst für den eigenen Gebrauch des Verantwortlichen autorisiert (z. B. Google-Calendar-Events des Personals des Verantwortlichen), sind keine personenbezogenen Daten des Verantwortlichen im Sinne dieser DPA. Solche Daten werden von Carsu als Verantwortlicher gemäß der Vereinbarung (Abschnitt 9.5) und der Datenschutz- und Cookie-Richtlinie verarbeitet.

A2.2 Dauer

Die Verarbeitung wird für die Dauer der Vereinbarung und für einen zusätzlichen Zeitraum fortgesetzt, der erforderlich ist, um Verpflichtungen nach Beendigung (Datenexport, Löschung) gemäß der Vereinbarung zu erfüllen.

A2.3 Kategorien betroffener Personen

• Endkunden (Kunden des Verantwortlichen/der Werkstatt);
• Mitarbeiter und Personal des Verantwortlichen (sofern für die Plattformnutzung relevant).

A2.4 Arten personenbezogener Daten

• Kontaktdaten (Namen, Telefonnummern, E-Mail-Adressen);
• Fahrzeugdaten (Kennzeichen, Marke, Modell, Typ);
• Service- und Wartungsaufzeichnungen;
• Termindaten;
• Kommunikationsinhalte (Nachrichten, die über die Plattform versendet werden);
• Identifikatoren für Zahlungstransaktionen (Kartendaten werden von Stripe verarbeitet, nicht von Carsu gespeichert).

A2.5 Art der Verarbeitung

Erhebung, Speicherung, Abruf, Verwendung, Übertragung (Messaging), Organisation, Strukturierung und Löschung personenbezogener Daten des Verantwortlichen, soweit für die Erbringung der Dienste erforderlich.

A2.6 Anonymisierte und aggregierte Daten

Der Auftragsverarbeiter kann personenbezogene Daten des Verantwortlichen verarbeiten, um anonymisierte, aggregierte Erkenntnisse zur Weitergabe an Dritte zu erzeugen. Eine solche Verarbeitung erfolgt erst, nachdem die Daten unumkehrbar anonymisiert und auf einem Niveau aggregiert wurden, das sicherstellt, dass keine einzelne Werkstatt, kein Endkunde und keine Transaktion aus dem Ergebnis identifiziert oder zurückentwickelt werden kann.

Sobald die Daten unumkehrbar anonymisiert wurden, fallen die resultierenden Daten nicht mehr in den Geltungsbereich der DSGVO (Erwägungsgrund 26) und dieser DPA. Diese Verarbeitung wird durch das berechtigte Interesse des Auftragsverarbeiters (Art. 6 Abs. 1 lit. f) unterstützt und erweitert oder ändert nicht die in A2.1 aufgeführten Zwecke der Diensterbringung, sondern stellt eine eigenständige Nutzung der zugrunde liegenden Daten nach Anonymisierung dar. Empfänger sind durch schriftliche Bedingungen verpflichtet, die eine Re-Identifizierung verbieten.

A3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

• Personenbezogene Daten des Verantwortlichen ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch in Bezug auf Übermittlungen personenbezogener Daten außerhalb des EWR oder des Vereinigten Königreichs, es sei denn, dies ist nach EU- oder mitgliedstaatlichem Recht erforderlich (in welchem Fall der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung informiert, sofern dies nicht untersagt ist);
• Sicherstellen, dass zur Verarbeitung personenbezogener Daten des Verantwortlichen befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
• Geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich gegebenenfalls: Pseudonymisierung und Verschlüsselung personenbezogener Daten, der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme dauerhaft sicherzustellen, der Fähigkeit, den Zugang zu personenbezogenen Daten nach einem Vorfall zeitnah wiederherzustellen, und eines Prozesses zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit solcher Maßnahmen;
• Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt A5 einhalten;
• Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen betroffener Personen unterstützen;
• Den Verantwortlichen bei der Einhaltung der Verpflichtungen zur Meldung von Datenpannen (Art. 33 und 34 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und Vorabkonsultation mit Aufsichtsbehörden (Art. 36 DSGVO) unterstützen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen;
• Nach Wahl des Verantwortlichen alle personenbezogenen Daten des Verantwortlichen nach Beendigung der Erbringung der Dienste an den Verantwortlichen löschen oder zurückgeben und bestehende Kopien löschen, es sei denn, EU- oder mitgliedstaatliches Recht verlangt die Speicherung der personenbezogenen Daten;
• Dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieser DPA erforderlich sind, und Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.

A4. Pflichten des Verantwortlichen

Der Verantwortliche wird:

• Sicherstellen, dass er über eine gültige Rechtsgrundlage nach den Datenschutzgesetzen für die Verarbeitung personenbezogener Daten des Verantwortlichen verfügt, einschließlich der Einholung aller erforderlichen Einwilligungen von betroffenen Personen, soweit erforderlich;
• Dem Auftragsverarbeiter dokumentierte Verarbeitungsanweisungen erteilen;
• Für die Richtigkeit, Qualität und Rechtmäßigkeit der dem Auftragsverarbeiter übermittelten personenbezogenen Daten des Verantwortlichen verantwortlich sein;
• Seinen Verpflichtungen nach den Datenschutzgesetzen nachkommen, einschließlich der Pflege seiner eigenen Datenschutzrichtlinie, der Beantwortung von Anfragen betroffener Personen (mit Unterstützung des Auftragsverarbeiters) und der Meldung von Datenpannen an Aufsichtsbehörden, soweit erforderlich;
• Sicherstellen, dass über die Plattform an Endkunden versandte Nachrichten der ePrivacy-Richtlinie und den anwendbaren nationalen Gesetzen zur elektronischen Kommunikation entsprechen, einschließlich der Einholung gültiger Einwilligungen für Marketingnachrichten.

A5. Unterauftragsverarbeiter

A5.1 Allgemeine Autorisierung

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Autorisierung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten des Verantwortlichen, vorbehaltlich der Bedingungen in diesem Abschnitt A5.

A5.2 Aktuelle Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter ist in Abschnitt 7.1 der Datenschutz- und Cookie-Richtlinie (verfügbar unter https://www.carsu.com/privacy) aufgeführt. Zum Zeitpunkt dieser DPA sind die genehmigten Unterauftragsverarbeiter:

A5.3 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter wird den Verantwortlichen per E-Mail oder Plattformbenachrichtigung mindestens 30 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters oder dem Ersatz eines bestehenden informieren. Verantwortliche mit kostenpflichtigen Abonnements können automatische Benachrichtigungen über Unterauftragsverarbeiter-Änderungen über ihre Kontoeinstellungen abonnieren.

Die Benachrichtigung enthält die Identität und den Standort des vorgeschlagenen Unterauftragsverarbeiters, die Art der Verarbeitung und die Kategorien der betroffenen personenbezogenen Daten. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Erhalt der Benachrichtigung widersprechen und schriftliche Gründe aus Datenschutzgründen angeben. Wenn der Verantwortliche widerspricht und die Parteien den Widerspruch nicht innerhalb von 30 Tagen durch Gespräche in gutem Glauben lösen können, kann der Verantwortliche die betroffenen Dienste ohne Strafe beenden.

A5.4 Pflichten des Unterauftragsverarbeiters

Der Auftragsverarbeiter wird sicherstellen, dass jeder Unterauftragsverarbeiter an Datenschutzverpflichtungen gebunden ist, die nicht weniger streng sind als die in dieser DPA festgelegten, einschließlich insbesondere ausreichender Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen weiterhin in vollem Umfang für die Erfüllung der Verpflichtungen jedes Unterauftragsverarbeiters.

A6. Internationale Übermittlungen

Der Auftragsverarbeiter wird personenbezogene Daten des Verantwortlichen nicht außerhalb des EWR oder des Vereinigten Königreichs übermitteln, es sei denn:

• Die Übermittlung erfolgt in ein Land, das von der Europäischen Kommission oder dem britischen Außenminister (je nach Anwendbarkeit) als Land mit angemessenem Datenschutzniveau anerkannt ist; oder
• Es bestehen geeignete Garantien, einschließlich der von der Europäischen Kommission angenommenen Standardvertragsklauseln (SCC) (Beschluss 2021/914) oder, bei Übermittlungen in das Vereinigte Königreich, des UK International Data Transfer Agreement (IDTA) oder des UK-Addendums zu den EU-SCC, ergänzt durch zusätzliche technische Maßnahmen, soweit dies durch eine Transfer Impact Assessment erforderlich ist.

Bei Übermittlungen in die Vereinigten Staaten stützt sich der Auftragsverarbeiter auf SCC (oder UK IDTA, soweit zutreffend), ergänzt durch technische Maßnahmen einschließlich Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), Zugriffskontrollen und vertragliche Beschränkungen für Regierungszugriffsanfragen. Der Auftragsverarbeiter führt und pflegt für jede Übermittlung in ein Land, das nicht von einem Angemessenheitsbeschluss erfasst ist, eine Transfer Impact Assessment durch und stellt diese Bewertung dem Verantwortlichen auf Anfrage zur Verfügung.

A7. Datensicherheit

Unbeschadet von Abschnitt A3 implementiert und unterhält der Auftragsverarbeiter die folgenden Mindestsicherheitsmaßnahmen:

• Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2 oder höher) und im Ruhezustand (AES-256);
• Rollenbasierte Zugriffskontrollen mit dem Prinzip der geringsten Rechte;
• Multi-Faktor-Authentifizierung für jeglichen administrativen und Plattformzugriff;
• Regelmäßige Schwachstellenbewertungen und Penetrationstests;
• Protokollierung und Überwachung des Zugriffs auf personenbezogene Daten des Verantwortlichen;
• Verfahren zur Reaktion auf Vorfälle mit definierten Eskalationspfaden;
• Personalschulungen zu Datenschutz und Informationssicherheit, mindestens jährlich durchgeführt;
• Geschäftskontinuitäts- und Disaster-Recovery-Verfahren.

A8. Meldung von Datenpannen

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich (und in jedem Fall innerhalb von 72 Stunden, in Übereinstimmung mit Art. 33 DSGVO) informieren, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die personenbezogene Daten des Verantwortlichen betrifft. Eine solche Benachrichtigung umfasst:

• Eine Beschreibung der Art der Verletzung, einschließlich, soweit möglich, der Kategorien und ungefähren Anzahl der betroffenen Personen und Datensätze;
• Den Namen und die Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters oder einer anderen Kontaktstelle;
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung möglicher negativer Auswirkungen.

Der Auftragsverarbeiter wird mit dem Verantwortlichen zusammenarbeiten und angemessene kommerzielle Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung jeder solchen Verletzung zu unterstützen.

A9. Rechte betroffener Personen

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich (und in jedem Fall innerhalb von 5 Werktagen) informieren, wenn er eine Anfrage von einer betroffenen Person zur Ausübung ihrer Rechte nach den Datenschutzgesetzen in Bezug auf personenbezogene Daten des Verantwortlichen erhält. Der Auftragsverarbeiter wird nicht direkt auf die betroffene Person antworten, es sei denn, er ist vom Verantwortlichen dazu autorisiert oder gesetzlich dazu verpflichtet.

Der Auftragsverarbeiter wird dem Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen angemessene Unterstützung leisten, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

A10. Auditrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene Anfrage (und nicht mehr als einmal pro Kalenderjahr, sofern nicht von einer Aufsichtsbehörde oder einer Datenpanne verlangt) alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser DPA vernünftigerweise erforderlich sind.

Der Auftragsverarbeiter ermöglicht und trägt zu Audits, einschließlich Inspektionen, bei, die vom Verantwortlichen oder einem unabhängigen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorbehaltlich:

• Mindestens 30 Tagen schriftlicher Vorankündigung (sofern nicht von einer Aufsichtsbehörde verlangt);
• Angemessenem Umfang und angemessener Dauer;
• Vertraulichkeitspflichten in Bezug auf geschützte Informationen des Auftragsverarbeiters;
• Einhaltung der geltenden Sicherheitsrichtlinien durch den Prüfer.

Wenn ein Audit einen wesentlichen Mangel aufdeckt, wird der Auftragsverarbeiter diesen innerhalb einer mit dem Verantwortlichen vereinbarten angemessenen Frist auf eigene Kosten beheben.

A11. Löschung und Rückgabe von Daten

Bei Beendigung oder Ablauf der Vereinbarung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

• Alle personenbezogenen Daten des Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format (CSV oder JSON) innerhalb von 30 Tagen nach der Anfrage zurückgeben; oder
• Alle personenbezogenen Daten des Verantwortlichen sicher innerhalb von 60 Tagen nach Ablauf des in der Vereinbarung festgelegten 12-monatigen Datenexportfensters nach Beendigung löschen.

Der Auftragsverarbeiter wird die Löschung auf Anfrage des Verantwortlichen schriftlich bestätigen. Der Auftragsverarbeiter darf personenbezogene Daten des Verantwortlichen nur insoweit aufbewahren, als dies nach geltendem Recht erforderlich ist, und wird den Verantwortlichen über jede solche Aufbewahrungspflicht informieren, einschließlich der Rechtsgrundlage und der Dauer der erforderlichen Aufbewahrung.

A12. Haftung

Die Haftung jeder Partei unter dieser DPA unterliegt den in der Vereinbarung (Abschnitt 14) festgelegten Haftungsbeschränkungen. Nichts in dieser DPA schließt die Haftung einer Partei für Verpflichtungen nach den Datenschutzgesetzen aus, die nicht vertraglich beschränkt werden können, oder beschränkt sie.

A13. Anwendbares Recht

Diese DPA unterliegt dem Recht der Niederlande, in Übereinstimmung mit der Vereinbarung. Für Angelegenheiten im Zusammenhang mit den Datenschutzgesetzen ist die Aufsichtsbehörde der Niederlassung des Verantwortlichen zuständig (oder, wenn der Verantwortliche außerhalb des EWR ansässig ist, die niederländische Autoriteit Persoonsgegevens).

A14. Vorrang

Im Falle eines Konflikts zwischen dieser DPA und der Vereinbarung haben die Bestimmungen dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten des Verantwortlichen Vorrang. In allen anderen Belangen gilt die Vereinbarung.

Diese DPA tritt an dem Datum in Kraft, an dem der Verantwortliche die Vereinbarung annimmt, und bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet.