Allgemeine Geschäftsbedingungen der Digidoo GmbH

Version 3.0 – Stand: Jänner 2026 (gültig ab 01.02.2026)

Geltungsbereich

Die nachstehenden Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Lieferungen, Leistungen und Angebote der Digidoo GmbH (nachfolgend auch Digidoo oder Anbieter genannt) im Zusammenhang mit der Nutzung der Digidoo-Softwarelösungen zur Dokumentation und Organisationsplanung im Bereich (Aus- und Weiter-) Bildung sowie Personalentwicklung. Die Digidoo GmbH bietet eine digitale, modulare Lernfortschritt- und Analyseplattform speziell für den Pflichtschulbereich, die Lehrkräften eine datengestützte Dokumentation individueller Lernfortschritte ermöglicht (u.a. Dokumentation von Schülerkompetenzen, individuelle Lernförderung, statistische Auswertungen und KI- gestützte Analysen). Diese AGB gelten für alle entsprechenden Leistungen und Nutzungsverträge mit Kunden (öffentliche Bildungseinrichtungen wie Schulen sowie Einzelpersonen, z.B. Lehrkräfte). Abweichende Geschäfts- oder Einkaufsbedingungen des Kunden werden hiermit ausdrücklich ausgeschlossen. Für zukünftige Geschäfte zwischen den Vertragsparteien gelten ebenfalls diese AGB. Individuelle Vereinbarungen, welche diese AGB abändern, bedürfen der Schriftform und gelten nur für das jeweilige Einzelgeschäft. Mit der Auftragserteilung bzw. dem Bezug einer Lizenz erklärt der Kunde, dass er den Inhalt dieser AGB kennt und damit einverstanden ist.

Zustandekommen des Vertrags

1. Angebote: Angebote von Digidoo sind freibleibend und unverbindlich, sofern nicht ausdrücklich etwas anderes schriftlich zugesichert wird.
2. Verträge über Lizenzen (Nutzung der Digidoo-Plattform): Ein Vertrag über die Nutzung der Digidoo-Software (Lizenzvertrag) kommt zustande, wenn der Kunde selbstständig über die Webseite oder einen Zahlungsdienstleister eine Lizenz erwirbt, die fälligen Lizenzgebühren vollständig bezahlt und der Account bzw. die Lizenz vom System aktiviert wurde. Alternativ kann die Bezahlung der Lizenzkosten nach vorheriger Absprache per Rechnung erfolgen. In diesem Fall gilt der Vertrag mit Annahme eines schriftlichen Angebots durch den Kunden oder mit Bezahlung einer entsprechenden Rechnung (unter Verweis auf diese AGB) als abgeschlossen. Mit Vertragsschluss gelten diese AGB und die nachfolgend beschriebenen Nutzungsbedingungen für die Software.
3. Testzugang: Digidoo bietet die Möglichkeit einer kostenlosen Nutzung der Software zu Testzwecken an. Digidoo kann dieses Angebot nach eigenem Ermessen durch Zusendung einer Benachrichtigung an die angegebene E-Mail-Adresse mit den Zugangsdaten für das eingerichtete Konto annehmen. Mit der Aktivierung des Kontos gewährt Digidoo dem Kunden ein kostenloses Recht zur Nutzung der Drag Software für einen Zeitraum von 21 Tagen zu Testzwecken ("Testzeitraum"). Der Drag Kunde ist nur für die Dauer des Testzeitraums berechtigt. Digidoo kann den Drag Testzeitraum nach eigenem Ermessen verlängern. Nach Ablauf des Testzeitraums Drag wird die Nutzung von Digidoo eingeschränkt (dh es bleiben noch eingeschränkte Drag Funktionen nutzbar), sofern nicht ein entgeltlicher Vertrag über die Nutzung der Drag Digidoo-Software in der Folge abgeschlossen wird.

4. Verträge über sonstige Dienstleistungen: Beauftragt der Kunde zusätzliche Drag Dienstleistungen (z.B. Schulungen, Beratungen oder individuelle Drag Entwicklungsleistungen), so kommt ein Vertrag zustande, sobald Digidoo die Drag Annahme des Auftrags schriftlich bestätigt oder – bei bestehender laufender Drag Geschäftsbeziehung – sobald Digidoo mit der tatsächlichen Drag Leistungserbringung beginnt. Die Erbringung der beauftragten Dienstleistung Drag bewirkt den Vertragsabschluss auf Grundlage dieser AGB. Digidoo ist Drag berechtigt, vor Vertragsabschluss einen geeigneten Nachweis der Drag Vertretungsbefugnis oder eine Vorauszahlung vom Kunden zu verlangen.

Vertragslaufzeit und Kündigung

Die Vertragslaufzeit richtet sich nach dem bei Vertragsschluss gewählten Lizenzmodell (jährliches Abonnement). Der Vertrag kann vom Kunden jederzeit vor Ablauf der Laufzeit ordentlich gekündigt werden; in diesem Fall bleibt der Vertrag bis zum Ende der ursprünglich vereinbarten Laufzeit aufrecht, und die vereinbarten Lizenzgebühren sind bis zu diesem Zeitpunkt zu entrichten. Eine vorzeitige (aliquote) Rückerstattung bereits bezahlter Lizenzgebühren ist – abgesehen von der nachfolgend geregelten Ausnahme – ausgeschlossen. Ausnahme: Im ersten Jahr ab Vertragsabschluss hat der Kunde das Recht, innerhalb von 30 Tagen ohne Angabe von Gründen vom Vertrag zurückzutreten und die bereits bezahlten Lizenzgebühren vollständig rückerstattet zu bekommen. Jede Kündigung hat zur Wirksamkeit über die Software selbst oder in Textform (z.B. E-Mail) zu erfolgen. Die Löschung eines Benutzer-Accounts durch den Kunden in der App (oder auf ausdrücklichen Wunsch des Kunden durch den Anbieter) gilt als Kündigung des Nutzungsvertrages zum Ende der laufenden Mindestvertragslaufzeit. Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

Leistungsumfang und Pflichten des Anbieters

Der Anbieter stellt dem Kunden die Digidoo-Anwendung als Tool zur Verfügung, mit dem Lernfortschritte von Schülern digital erfasst, visualisiert und analysiert werden können. Dies umfasst auch die dafür erforderliche Serverkapazität und Datenverarbeitung im Hintergrund. Einzelheiten zum Leistungsumfang ergeben sich aus dem jeweiligen Lizenzmodell und der Leistungsbeschreibung der Software; bei Bedarf können weitergehende Details in einem individuellen Vertrag schriftlich festgehalten werden. Der Anbieter behält sich vor, für eine umfangreiche Speicherung oder Archivierung von Daten (z.B. sehr große Datenmengen, die über das übliche Maß hinausgehen) ein zusätzliches Entgelt zu verlangen. Als Referenz für eine 'überdurchschnittliche' Nutzung gilt der Durchschnittsverbrauch vergleichbarer Kunden im selben Lizenzmodell. Sollte das Datenvolumen eines Kunden diesen Durchschnittswert signifikant (z.B. um mehr als 100%) übersteigen, wird Digidoo den Kunden proaktiv und mindestens 60 Tage im Voraus informieren und gemeinsam mit ihm Optionen zur Datenreduktion oder ein Angebot für ein erweitertes Speicherpaket erörtern. Erst nach Ablauf dieser Frist und bei fortgesetzter Mehrnutzung kann ein zusätzliches Entgelt verrechnet werden. Zusätzliche, über den vertraglich vereinbarten Umfang hinausgehende, freiwillige Dienste oder Funktionen, welche der Anbieter ohne gesonderte Vergütung bereitstellt (z.B. Beta-Funktionen, Test-Features), können jederzeit eingestellt oder geändert werden. Hieraus entstehen für den Kunden weder Schadensersatz- noch Minderungsansprüche noch ein Kündigungsrecht. Der Anbieter ist ferner berechtigt, das vertraglich vereinbarte Leistungsangebot angemessen zu ändern, zu reduzieren oder zu ergänzen. Solche Anpassungen dienen insbesondere der Weiterentwicklung, der Verbesserung der Sicherheit oder der Anpassung an neue technische Standards. Die Kernfunktionalitäten der Software, wie in der Leistungsbeschreibung definiert (insb. Erfassung und Auswertung von Lernfortschritten), bleiben dabei erhalten. Bei einer wesentlichen, für den Kunden nachteiligen Änderung einer Hauptfunktion wird Digidoo den Kunden rechtzeitig informieren und ihm ein Sonderkündigungsrecht einräumen.

Verfügbarkeit des Dienstes

Digidoo strebt an, die angebotenen Leistungen grundsätzlich 24 Stunden am Tag, 7 Tage die Woche zur Verfügung zu stellen. Hierbei strebt Digidoo eine jährliche Verfügbarkeit seiner Dienste von mindestens 99 % im Mittel an. Der Kunde nimmt jedoch zur Kenntnis, dass es aufgrund von Wartungsarbeiten, Updates, Erweiterungen, Serverausfällen, Problemen der Telekommunikationsanbieter oder aus sonstigen technischen Gründen zu zeitweiligen Unterbrechungen der Verfügbarkeit kommen kann.

Geplante Wartungs- und Update-Fenster legt Digidoo nach Möglichkeit in verkehrsarme Zeiten (typischerweise werktags in den Abend- und Nachtstunden zwischen 18:00 und 06:00 Uhr sowie am Wochenende). Über planbare Wartungsarbeiten, die zu einer Nichtverfügbarkeit der Dienste führen, wird der Kunde vorab informiert (z.B. durch Hinweis in der Anwendung oder per E-Mail). Solche angekündigten und für die ordnungsgemäße Betriebsführung erforderlichen Unterbrechungen sind von etwaigen Verfügbarkeitsgarantien ausgenommen und fließen nicht in die Berechnung von Verfügbarkeitszeiten ein.

Pflichten und Rechte des Kunden

Der Kunde ist verpflichtet, die Produkte und Dienste von Digidoo sachgerecht, entsprechend dem Grundsatz der fairen Nutzung und im Einklang mit diesen AGB sowie geltendem Recht zu nutzen. Insbesondere verpflichtet sich der Kunde zu Folgendem:

• Technische und sicherheitsrelevante Voraussetzungen: Der Kunde hat die technischen Voraussetzungen für die ordnungsgemäße Nutzung der Digidoo-Software zu schaffen (zB Anbindung an das Internet mit hinreichender Bandbreite, Einrichtung aktueller Versionen der denkbaren Browser, Zulassung notwendiger funktionaler Cookies; Umsetzung angemessener, dem Stand der Technik entsprechender IT-Sicherheitsmaßnahmen, Anwendung angemessener Sicherheitsstandards). Der Kunde ist für die fachliche Einrichtung und Administration des Accounts verantwortlich. Dies gilt unabhängig davon, ob Digidoo den Kunden bei der Einrichtung des Accounts in irgendeiner Form unterstützt. Dies umfasst ua die fachliche Einrichtung des Accounts, insbesondere eine allfällige Migration von Daten, Konfiguration von Prozessen und Produkten. Die Verwendung von Gemeinschaftskonten, sogenannte Shared Accounts, ist untersagt. Der Kunde ist verpflichtet, seine Zugangsdaten datenschutzkonform geheim zu halten bzw dafür zu sorgen, dass seine Nutzer der Software ihre Zugangsdaten nicht weitergeben.

• Angaben und Mitwirkung: Der Kunde wird während eines allfälligen Testzeitraums die Funktionalitäten der Software prüfen und Digidoo vor Abschluss eines kostenpflichtigen Vertrages über die Nutzung der Software auf mögliche Mängel und sonstige Abweichungen von der Servicebeschreibung in Textform (inklusive E-Mail) hinzuweisen. Der Kunde kann sich nicht auf Mängel und sonstige Abweichungen von der Servicebeschreibung berufen, die bereits im Testzeitraum bekannt oder vorhanden waren, aber nicht vor Abschluss eines kostenpflichtigen Vertrages über die Nutzung der Software angezeigt wurden. Der Kunde wird Digidoo unverzüglich über Änderungen der für den Vertrag relevanten Umstände informieren (z.B. Kontaktdaten, Berechtigungen, Änderungen in der Organisationsstruktur, soweit sie für die Nutzung der Software relevant sind). Außerdem stellt der Kunde alle für die Leistungserbringung durch Digidoo erforderlichen Unterlagen, Informationen und Daten rechtzeitig zur Verfügung und hält sie während der Vertragslaufzeit aktuell.
• Keine missbräuchliche oder rechtswidrige Nutzung: Der Kunde ist für die in der Software verarbeiteten Inhalte und Daten allein verantwortlich. Der Kunde darf die Produkte und Dienste des Anbieters nur im vertraglich vereinbarten Umfang und zu den vorgesehenen Zwecken im Rahmen der geltenden gesetzlichen Bestimmungen nutzen. Insbesondere ist es dem Kunden untersagt,
• Leistungen von Digidoo in einer nicht vertraglich vereinbarten Weise zu verwenden (z.B. unbefugterweise Funktionen oder Module zu nutzen, die nicht Teil der erworbenen Lizenz sind),
• die Software oder Teile davon unberechtigt an Dritte weiterzugeben oder Dritten zugänglich zu machen, Inhalte jedweder Art über die Dienste von Digidoo zu speichern, zu verbreiten oder zu verarbeiten, für die der Kunde nicht die erforderlichen Rechte besitzt oder die gegen geltendes Recht verstoßen. Dies umfasst insbesondere verbotene Inhalte wie pornographisches oder jugendgefährdendes Material, Gewalt verherrlichende Inhalte, solche, die gegen die verfassungsrechtlichen Grundprinzipien verstoßen, sowie extremistische oder diskriminierende Inhalte (insbesondere nationalsozialistisches, terroristisches oder volksverhetzendes Gedankengut, Propagandamittel und Kennzeichen verfassungswidriger Organisationen).
• die Software ohne ausdrückliche Vereinbarung automationsgestützt zu verwenden (z.B. durch Bots, Skripte oder nicht vom Anbieter genehmigte Schnittstellenzugriffe). Jede automatisierte Massennutzung oder externe Ansteuerung der Applikation ist unzulässig, sofern nicht schriftlich gestattet.

• Meldung von Störungen: Erkennbare missbräuchliche Nutzung oder ein Verdacht hierauf, datenschutzrechtliche Gefahren, sicherheitstechnische Gefahren, Schäden, Störungen oder Mängel der Produkte sind Digidoo möglichst umgehend anzuzeigen (Support-Störungsmeldung). Der Kunde soll dabei eine nachvollziehbare Beschreibung der erkennbaren Gefahren oder aufgetretenen Probleme liefern und bei der Eingrenzung und Behebung der Störung im notwendigen und zumutbaren Umfang mitwirken (z.B. durch Übermittlung von Fehlermeldungen oder Log-Daten).
• Referenznennung: Der Kunde erklärt sich grundsätzlich damit einverstanden, dass er von Digidoo im Rahmen der eigenen Geschäftstätigkeit als Referenzkunde genannt wird. Digidoo ist berechtigt, den Firmen- bzw. Schulnamen, die Anschrift und das Logo des Kunden sowie eine knappe Beschreibung des Projekts bzw. der genutzten Lösung in Präsentationen, Veröffentlichungen, Vorträgen und auf der eigenen Webseite zu Referenzzwecken zu verwenden. Ferner darf Digidoo in diesem Rahmen auf die erbrachten Leistungen und Projektergebnisse beim Kunden näher eingehen, soweit dabei keine vertraulichen oder betrieblichen Geheimnisse des Kunden offenbart werden. Möchte der Kunde eine solche Referenznennung nur eingeschränkt oder gar nicht gestattet wissen, hat er Digidoo hierauf schriftlich hinzuweisen oder eine einmal erteilte Ermächtigung schriftlich zu widerrufen. Im Falle eines Widerrufs wird Digidoo zukünftige Referenznennungen unterlassen; bereits publizierte Referenzen (z.B. Nennung in bereits gedruckten Medien oder auf der Webseite) wird Digidoo – soweit technisch und praktisch möglich – entfernen, jedoch kann ein vollständiges Rückgängigmachen bereits erfolgter Veröffentlichungen im Einzelfall nicht garantiert werden. Aus einer unterbleibenden Entfernung bereits veröffentlichter Referenzen kann der Kunde keine Ansprüche herleiten.

Verstößt der Kunde gegen die obigen Pflichten, ist Digidoo berechtigt, das Vertragsverhältnis außerordentlich und fristlos zu kündigen. Digidoo kann bei Bekanntwerden eines Verstoßes zudem den Zugang des Kunden zu den vertraglich vereinbarten Leistungen mit sofortiger Wirkung einschränken oder sperren. Etwaige bereits bezahlte Entgelte (insbesondere Lizenzgebühren oder Wartungspauschalen) werden in diesem Fall nicht rückerstattet; weitergehende Ansprüche des Kunden sind ausgeschlossen. Die Geltendmachung von Schadensersatzansprüchen durch Digidoo aufgrund des Verstoßes bleibt unberührt.

Nutzungsbedingungen und Lizenzumfang

Mit vollständiger Bezahlung des vereinbarten Nutzungsentgelts und vorbehaltlosem Vertragsschluss über die Software erhalten Kunden das Recht, die Digidoo-Software im vereinbarten Umfang für eigene interne Zwecke zu nutzen. Dieses Nutzungsrecht ist – soweit nicht anders vereinbart – einfach (nicht exklusiv), auf die Dauer des Vertrages beschränkt, nicht übertragbar und nicht unterlizenzierbar.

Bis zur vollständigen Zahlung der jeweils fälligen Vergütung räumt Digidoo den Kunden ein widerrufliches Nutzungsrecht an der Software ein. Digidoo ist berechtigt, bei ausstehender Zahlung die Nutzung der Software vorübergehend zu sperren oder einzuschränken, bis der Zahlungsrückstand beglichen ist.

Digidoo wird weder die von Kunden eingegebenen Inhalte noch die mit Hilfe der Software erstellten Dokumente oder Auswertungen inhaltlich auf Richtigkeit oder Rechtmäßigkeit prüfen. Die Nutzung der Software als Hilfsmittel für die Tätigkeit der Kunden (z. B. zur Erstellung von Leistungsdokumentationen, Schülereinschätzungen oder Berichten) begründet keinen Beratungsvertrag oder Werkvertrag über das Ergebnis dieser Tätigkeit. Kunden haben daher die mit Hilfe der Software generierten Ergebnisse – insbesondere wenn sie rechtliche oder pädagogische Wirkungen haben – eigenverantwortlich auf fachliche und inhaltliche Richtigkeit zu überprüfen.

Verwenden Kunden die Software im Rahmen eines kostenlosen Testzugangs oder einer kostenlosen Basislizenz, so erfolgen Bereitstellung und Nutzung ohne Gewährleistung und Haftung seitens Digidoo. Digidoo haftet in diesem Fall nur für Vorsatz und grobe Fahrlässigkeit.

Kunden verpflichten sich, im Rahmen der Nutzung der Software keine rechtswidrigen, moralisch anstößigen oder unzulässigen Inhalte oder Daten einzugeben. Sie werden nur solche personenbezogenen Daten eingeben, zu deren Verarbeitung sie berechtigt sind. Gibt ein Kunde personenbezogene Daten Dritter (z.B. von Schülern oder Erziehungsberechtigten) in die Software ein, so sichert er zu, dass hierfür entweder eine gesetzliche Grundlage (z.B. im Schulorganisationsrecht oder auf Basis der Einwilligung der Betroffenen) vorliegt oder er anderweitig rechtmäßig dazu befugt ist. Für jegliche Verletzung datenschutzrechtlicher Bestimmungen durch eine unzulässige Verwendung der Software oder eine unzulässige Eingabe von Daten haftet ausschließlich der Kunde, der Digidoo in einem solchen Fall schad- und klaglos halten muss.

Besondere Bestimmungen für KI-Funktionen: Soweit in der Digidoo-Software KI-gestützte Assistenten oder Funktionen zur Verfügung gestellt werden (z. B. zum automatisierten Auswerten von Daten, Generieren von Texten oder Vorschlagen von Maßnahmen), erfolgt deren Nutzung auf eigene Verantwortung der Kunden. Die Ergebnisse solcher KI-Funktionen sind stets durch eine fachkundige Person auf Korrektheit, Vollständigkeit und rechtliche Zulässigkeit (insbesondere im Hinblick auf Datenschutz und Urheberrechte) zu prüfen. Automatisierte KI-Funktionen werden in der Software so implementiert, dass keine Änderungen ohne Bestätigung durch die Nutzer vorgenommen werden – die Entscheidungshoheit liegt immer bei den Kunden. Die Auswahl und Konfiguration etwaiger externer KI-Dienste (z. B. eigene API-Schlüssel oder selbst gehostete Modelle) liegt in der Verantwortung der Kunden. Verstoßen Kunden gegen die vorstehenden Nutzungsbedingungen, haften sie für sämtliche daraus resultierenden Schäden allein. Die Vertragsparteien verpflichten sich, bei der Nutzung der Software und der Auswertung der damit erzielten Ergebnisse die einschlägigen gesetzlichen Bestimmungen (z. B. österreichisches Schulorganisationsrecht, DSGVO, DSG) zu beachten. Die von Kunden in Digidoo eingegebenen Daten und Informationen werden – soweit nichts Abweichendes vereinbart ist – auf Servern des Anbieters oder dessen Auftragsverarbeiter gespeichert. (Bei On-Premises-Installationen liegen die Daten auf Servern der jeweiligen Bildungseinrichtung.)

Gewerbliche Schutzrechte und weitere Rechte

Alle Rechte an der Digidoo-Software und den dazugehörigen Unterlagen liegen bei Digidoo bzw. deren Lizenzgebern. Dem Kunden wird lediglich das in diesen Bedingungen beschriebene, nicht-exklusive, nicht übertragbare und nicht unterlizenzierbare Recht eingeräumt, die Software während der Vertragsdauer im vertraglich vorgesehenen Umfang zu nutzen. Der Kunde darf die Software nur insoweit vervielfältigen, wie es für die vertragsgemäße Nutzung erforderlich ist (z.B. Laden in den Arbeitsspeicher, Erstellung notwendiger Sicherungskopien). Sofern nicht gesondert schriftlich abweichend vereinbart, werden dem Kunden keine weitergehenden Rechte an der Software oder daran anknüpfenden Schutzrechten übertragen. Insbesondere erwirbt der Kunde keinerlei Rechte an Quellcode, Dokumentation (über die Nutzungsdokumentation hinaus), grafischen Benutzeroberflächen, Designs, Marken, Logos oder Bezeichnungen im Zusammenhang mit der Software. Es ist dem Kunden insbesondere nicht gestattet, Hinweise auf Urheberrechte, Marken oder sonstige Schutzrechte, die in der Software oder den Unterlagen enthalten sind, zu entfernen oder zu verändern. Diese Regelung gilt insbesondere auch für kundenspezifische Funktionalitäten und Erweiterungen, die Digidoo im Auftrag des Kunden (z.B. im Rahmen einer Individualentwicklung oder als kostenpflichtige Zusatzfunktion) erstellt hat. Auch an solchen Erweiterungen stehen sämtliche Immaterialgüterrechte Digidoo zu, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde. Der Kunde erhält daran lediglich ein Nutzungsrecht im Rahmen der Nutzung der Digidoo-Software.

Updates und Softwareanpassungen

Digidoo wird Software-Updates, Erweiterungen und Verbesserungen der Plattform nach eigenem Ermessen bereitstellen, um die Sicherheit zu erhöhen, neue Funktionen einzuführen oder Fehler zu beheben. Vorhersehbare Betriebsunterbrechungen für Wartungsarbeiten, Systemerweiterungen oder Updates werden so früh wie möglich angekündigt und nach Möglichkeit außerhalb der Hauptnutzungszeiten (typischerweise werktags in den Abend- und Nachtstunden zwischen 18:00 und 06:00 Uhr sowie am Wochenende) durchgeführt, um Beeinträchtigungen zu minimieren. Neue oder geänderte Funktionalitäten der Digidoo-Software werden in geeigneter Weise dokumentiert (z.B. durch Release-Notes oder Changelogs innerhalb der Applikation).

Gegebenenfalls informiert Digidoo die Kunden über wesentliche Neuerungen auch über andere Kanäle (z.B. per E-Mail-Newsletter), dies liegt jedoch im Ermessen des Anbieters. Soweit für die Nutzung der Software auf Kundenseite lokale Anwendungen oder Apps eingesetzt werden (z.B. mobile Apps, Browser-Plugins o.ä.), ist der Kunde – sofern keine abweichende Wartungsvereinbarung getroffen wurde – dafür verantwortlich, diese Updates zeitnah einzuspielen bzw. die jeweils aktuelle Version zu verwenden, um Sicherheit und Kompatibilität zu gewährleisten.

Schulungen und Produktvorführungen

Nimmt der Kunde oder seine Mitarbeiter an von Digidoo angebotenen Produktvorführungen, Schulungen oder Workshops teil, entsteht hierdurch allein noch keine vertragliche Verpflichtung zu weiterem Leistungsbezug. Insbesondere führt die Teilnahme an solchen Veranstaltungen nicht automatisch zum Abschluss eines Wartungs- oder Lizenzvertrages. Digidoo ist berechtigt, die Kontaktdaten und Angaben der Teilnehmer solcher Veranstaltungen zum eigenen Zweck zu verwenden (etwa zum Versand von Informationsmaterial), sofern die Teilnehmer darin eingewilligt haben. Etwaig im Rahmen von Schulungen überlassene Unterlagen, Skripten oder sonstiges Schulungsmaterial gehen in das Besitzrecht der Teilnehmer über, verbleiben jedoch geistiges Eigentum von Digidoo. Ohne ausdrückliche Genehmigung dürfen solche Unterlagen nicht vervielfältigt, veröffentlicht oder an Dritte weitergegeben werden. Die Anwendung, Umsetzung oder Interpretation des erworbenen Wissens durch die Teilnehmer erfolgt in deren eigener Verantwortung und auf eigenes Risiko.

Geringfügige Leistungsänderungen

Geringfügige oder sonstige Änderungen der Leistung, die dem Kunden zumutbar sind, gelten als vorweg genehmigt. Digidoo ist insbesondere berechtigt, im Zuge des technischen Fortschritts oder der Weiterentwicklung der Plattform das Erscheinungsbild, einzelne Abläufe oder die Gestaltung der Benutzeroberfläche anzupassen. Solche Änderungen, die den Gebrauchswert für den Kunden nicht negativ beeinträchtigen, bedürfen keiner gesonderten Ankündigung oder Zustimmung. Abweichungen von Darstellungen oder Beschreibungen der Software in Informationsmaterial, welche auf technischen Weiterentwicklungen beruhen und den Vertrag nicht wesentlich verändern, gelten als zumutbar und lösen keine Ansprüche des Kunden aus.

Zahlungsbedingungen

Forderungen von Digidoo sind mangels anderslautender Vereinbarung sofort nach Rechnungsstellung ohne Abzug zur Zahlung fällig. Die Zahlung hat spesenfrei auf das in der Rechnung angegebene Konto zu erfolgen. Digidoo behält sich das Recht vor, die Bereitstellung von Leistungen (insbesondere die Freischaltung von Lizenzen) von einer vollständigen Vorauszahlung abhängig zu machen.

Skontoabzüge sind nur bei ausdrücklicher schriftlicher Vereinbarung zulässig. Werden Teilzahlungen vereinbart und gerät der Kunde mit einer Rate in Verzug, so werden etwaige Skontovereinbarungen hinfällig. Eine Zahlung gilt erst als erfolgt, wenn der Betrag unwiderruflich auf dem Geschäftskonto von Digidoo eingegangen ist. Im Falle des Zahlungsverzugs ist Digidoo berechtigt, Verzugszinsen in gesetzlich zulässiger Höhe zu berechnen (bei unternehmensbezogenen Geschäften derzeit 9,2 Prozentpunkte über dem Basiszinssatz, das entspricht etwa 10 % p.a.). Für

Verbraucher kann ein geringerer Zinssatz gemäß den gesetzlichen Bestimmungen gelten. Bereits ab der ersten Mahnung, die 14 Tage nach Fälligkeit der Rechnung erfolgt, kann der Anbieter zudem eine pauschale Mahnspesen-Bearbeitungsgebühr in Höhe von € 40,00 der überfälligen Summe pro Mahnung in Rechnung stellen.

Preisänderungen und Indexanpassung

Digidoo ist berechtigt, die vereinbarten Entgelte im Wege der Indexanpassung zu erhöhen. Preisanpassungen können frühestens nach Ablauf von 12 Monaten ab Vertragsabschluss bzw. seit der letzten Preisänderung erfolgen. Eine solche Erhöhung darf maximal dem prozentualen Anstieg des österreichischen Verbraucherpreisindex VPI 2020 (oder eines gleichwertigen Nachfolgeindex) seit Vertragsbeginn bzw. seit der letzten Preisanpassung entsprechen. Über eine geplante Erhöhung wird der Kunde rechtzeitig, mindestens jedoch 6 Wochen im Voraus, schriftlich informiert. Erhöht Digidoo die Preise über den durch den Indexanstieg gerechtfertigten Prozentsatz hinaus, steht dem Kunden ein Sonderkündigungsrecht zu: Er kann den Vertrag mit Wirkung zum Inkrafttreten der Preisänderung außerordentlich kündigen. Unterbleibt eine Kündigung, tritt die Preisänderung ab dem angegebenen Zeitpunkt (frühestens mit Beginn der nächsten Verlängerungs- oder Abrechnungsperiode) in Kraft (siehe dazu auch den Punkt Änderungen der AGB“)

Aufrechnungs-, Zurückbehaltungsrechte

Der Kunde, soweit dieser kein Verbraucher ist, kann gegenüber Forderungen des Anbieters nur mit unbestrittenen oder rechtskräftig festgestellten eigenen Forderungen aufrechnen. Dem Kunden steht ein Zurückbehaltungsrecht nur wegen solcher Gegenansprüche zu, die in einem rechtlichen Verhältnis zu der Forderung von Digidoo stehen, gegen die das Zurückbehaltungsrecht ausgeübt wird (d.h. die aus demselben Vertragsverhältnis resultieren).

Gewährleistung

Der Kunde nimmt zur Kenntnis, dass es nach dem Stand der Technik nicht möglich ist, komplexe Software absolut fehlerfrei in allen Anwendungsfällen und Kombinationen zu entwickeln. Digidoo übernimmt daher eine Gewährleistung nur in dem Maße, dass die gelieferte Software im Wesentlichen frei von Material- und Herstellungsfehlern ist und den in der Leistungsbeschreibung zugesicherten Eigenschaften entspricht. Digidoo leistet Gewähr nur für solche Mängel, die unter vertragsgemäßer Nutzung der Software auftreten. Kein Gewährleistungsanspruch besteht für Fehler, die durch unsachgemäße Handhabung, Nichtbeachtung von Benutzungsanleitungen oder durch Einsatz der Software in einer nicht vorgesehenen Umgebung entstehen. Für Kunden, die Verbraucher im Sinne des KSchG sind, gelten die gesetzlichen Gewährleistungsbestimmungen ohne Einschränkungen. Für alle übrigen Kunden (Unternehmer, öffentliche Einrichtungen) gelten hinsichtlich der Gewährleistung die folgenden Einschränkungen und Pflichten:

• Offene Mängel der Software sind vom Kunden unverzüglich nach deren Entdeckung schriftlich zu rügen. Unterlässt der Kunde die rechtzeitige Mängelrüge, erlöschen diesbezügliche Gewährleistungsansprüche innerhalb der unternehmerischen Sorgfalt.
• Bei rechtzeitiger und begründeter Mängelrüge hat Digidoo nach eigener Wahl das Recht, den Mangel durch Nachbesserung zu beheben oder durch Ersatzlieferung (z.B. durch Einspielen eines Updates oder Patches) abzustellen. Schlagen zwei Nachbesserungsversuche fehl oder verweigert Digidoo die Verbesserung, kann der Kunde nach den gesetzlichen Bestimmungen vom Vertrag zurücktreten (Wandlung) oder den Preis angemessen mindern.
• Ein Recht des Kunden auf Wandlung (Rücktritt vom Vertrag) oder Minderung (Herabsetzung des Entgelts) besteht nur bei wesentlichen Mängeln, welche die vertraglich geschuldete Gesamtfunktionalität der Software erheblich beeinträchtigen. Bei unwesentlichen Fehlern oder Beeinträchtigungen ist eine Gewährleistungsminderung ausgeschlossen.
• Sofern nicht ausdrücklich schriftlich zugesichert, übernimmt Digidoo keine Gewähr dafür, dass die Software in allen vom Kunden gewünschten Anwendungsfällen, Unterrichtsszenarien oder auf beliebigen Systemumgebungen exakt funktioniert oder einen bestimmten vom Kunden verfolgten Zweck erfüllt. Insbesondere liegt es in der Verantwortung des Kunden zu prüfen, ob die mit Digidoo erzielten Ergebnisse (z.B. Auswertungen, Berichte) für seine konkreten Zwecke ausreichend und korrekt sind.

Die Gewährleistungsfrist für von Digidoo gegenüber Unternehmer-Kunden erbrachte Leistungen (inklusive Softwareüberlassung) beträgt – soweit gesetzlich zulässig – 12 Monate ab Ablieferung bzw. Abnahme. Für Verbraucher gelten die gesetzlichen Fristen.

Haftung und Schadenersatz

Digidoo haftet im Rahmen der gesetzlichen Vorschriften für Schäden, die dem Kunden durch vorsätzliches oder grob fahrlässiges Verhalten von Digidoo, deren gesetzlichen Vertreter oder Erfüllungsgehilfen entstehen. Bei leichter Fahrlässigkeit haftet Digidoo – außer im Verbrauchergeschäft, für welches die gesetzliche Regelung gilt – nur bei Verletzung einer wesentlichen Vertragspflicht; in diesen Fällen ist die Haftung von Digidoo der Höhe nach jedoch beschränkt.

Höchstgrenze: Soweit gesetzlich zulässig, ist die Haftung der Digidoo GmbH für Schadensfälle der Höhe nach mit EUR 500.000,-- pro Schadensfall begrenzt. Diese Haftungsobergrenze gilt nicht für Personenschäden sowie nicht bei vorsätzlichem Verhalten.

Ausgenommene Schäden: Von der vorstehenden Haftung ausgeschlossen sind entgangener Gewinn, mittelbare Schäden und Folgeschäden jeder Art, soweit sie nicht auf grober Fahrlässigkeit oder Vorsatz beruhen.

Digidoo stellt die Software als unterstützendes Werkzeug zur Verfügung. Die pädagogische Interpretation, Bewertung und finale Überprüfung der mit der Software generierten Ergebnisse und Analysen obliegt der fachlichen Verantwortung der Kunden. Die Haftung für Schäden, die aus einer fehlerhaften Interpretation oder Nutzung der Ergebnisse durch die Kunden entstehen, ist ausgeschlossen. Unberührt davon bleibt die Gewährleistung für nachweisbare Programmfehler (Bugs), die zu objektiv falschen Berechnungsergebnissen führen, im Rahmen der allgemeinen Haftungsregelungen dieses Vertrages.

Digidoo übernimmt keine Haftung für den (wirtschaftlichen) Erfolg, den der Kunde durch den Einsatz der Software anstrebt (z. B. verbesserte Lernergebnisse, Zeitersparnis o. ä.). Ebenso wenig haftet Digidoo für Datenverluste nach Beendigung der Vertragslaufzeit: Der Kunde ist dafür verantwortlich, rechtzeitig vor Vertragsende etwaige in der Software gespeicherte Daten eigenständig zu exportieren oder zu sichern.

Verjährung: Schadenersatzansprüche der Kunden gegen Digidoo verjähren in einem Jahr ab dem gesetzlichen Verjährungsbeginn, sofern nicht gesetzlich zwingend eine längere Frist gilt oder Digidoo vorsätzlich gehandelt hat.

Die vorstehenden Haftungsbeschränkungen betreffen nicht etwaige Ansprüche des Kunden aus Produkthaftung und gelten nicht bei Verletzung von Leben, Körper oder Gesundheit. In diesen Fällen haftet Digidoo uneingeschränkt nach den gesetzlichen Vorschriften.

Verfügbarkeit: Schadensersatzansprüche des Kunden wegen Leistungsstörungen (insbesondere wegen zeitweiliger Nichtverfügbarkeit der Software) sind ausgeschlossen, sofern der Anbieter diese nicht vorsätzlich oder grob fahrlässig verschuldet hat. Sollte die tatsächliche Verfügbarkeit des Dienstes im Jahresmittel unter 99 % liegen und hat Digidoo dies zu vertreten, ist der Kunde berechtigt, die gezahlten Entgelte für den Zeitraum der Unterschreitung angemessen zu mindern (d.h. eine anteilige Reduktion der Gebühren für die Dauer der Überschreitung der vereinbarten Ausfallzeiten zu verlangen). Keine Minderungs- oder Schadensersatzansprüche bestehen, wenn die Beeinträchtigung der Verfügbarkeit außerhalb des Einflussbereichs des Anbieters liegt (z.B. höhere Gewalt, Netzwerkausfälle bei Dritten) oder auf angekündigten Wartungsarbeiten beruht (siehe Abschnitt Verfügbarkeit des Dienstes). Gleiches gilt für vorübergehende Ausfälle aufgrund erforderlicher Updates oder sonstiger technisch notwendiger Betriebsunterbrechungen. Tritt eine unvorhergesehene technische Schwierigkeit auf, die im konkreten Fall die Erfüllung des Vertrags für Digidoo unzumutbar macht (etwa weil ein Problem auftritt, das mit vertretbarem Aufwand nicht lösbar ist), so ist Digidoo berechtigt, vom Vertrag zurückzutreten, ohne dass dem Kunden hieraus Schadensersatzansprüche entstehen.

Produkthaftung

Regressforderungen im Sinne des § 12 Produkthaftungsgesetz (PHG) sind ausgeschlossen, es sei denn, der Regressberechtigte weist nach, dass der Fehler in der Sphäre von Digidoo verursacht und zumindest grob fahrlässig verschuldet worden ist. Im Übrigen gelten die Bestimmungen des PHG.

Individualentwicklung

Gegen gesondertes Entgelt kann Digidoo auch kundenspezifische Programmierleistungen (Individualentwicklungen oder Anpassungen) erbringen.

Hierfür wird in der Regel ein gesonderter Werkvertrag zwischen dem Kunden (Auftraggeber) und Digidoo (Auftragnehmer) abgeschlossen, der den konkreten Leistungsumfang, Zeitplan und das Entgelt regelt. Soweit im Einzelfall nichts Abweichendes vereinbart ist, gelten ergänzend zu diesen AGB folgende Bestimmungen als Teil des Werkvertrages als vereinbart:

• Mitwirkung und Informationen: Der Kunde wird in einer vertrauensvollen Zusammenarbeit Digidoo sämtliche für die ordnungsgemäße Durchführung des Auftrags benötigten Informationen, Unterlagen, Zugangsdaten und Entscheidungsgrundlagen rechtzeitig zur Verfügung stellen. Er benennt einen kompetenten Ansprechpartner, der für Rückfragen und Abstimmungen zur Verfügung steht.
• Abnahme von Teilleistungen: Nach Fertigstellung von definierten Leistungspaketen oder Meilensteinen (auch wenn diese nur Teilaspekte des, Gesamtsystems betreffen) ist der Kunde zur Abnahme der jeweiligen (Teil-)Leistung verpflichtet, sofern keine wesentlichen Mängel vorliegen. Digidoo wird den Kunden über die Fertigstellung einer (Teil-)Leistung informieren oder eine (Teil-)Rechnung legen. Daraufhin beginnt eine Abnahmefrist von zwei Wochen zu laufen. Innerhalb dieser Frist hat der Kunde die (Teil-)Leistung zu überprüfen und entweder abzunehmen oder etwaige erhebliche Mängel schriftlich zu rügen. Lässt der Kunde die Abnahmefrist ohne Erklärung verstreichen, gilt die jeweilige Leistung mit Fristablauf als abgenommen.
• Mängelbeseitigung und erneute Abnahme: Zeigen sich bei Prüfung erhebliche Mängel und rügt der Kunde diese begründet innerhalb der Abnahmefrist, wird Digidoo die Mängel unverzüglich beseitigen. Die Abnahme der betreffenden Leistung(en) ist anschließend innerhalb einer Woche nach Mitteilung über die erfolgte Mängelbehebung vom Kunden zu wiederholen. Etwaige verbleibende unwesentliche Mängel berechtigen den Kunden nicht zur Verweigerung der Abnahme.
• Gewährleistung für Individualleistungen: Digidoo übernimmt für individuell erstellte Leistungen eine Gewährleistung von 12 Monaten ab Endabnahme. Es wird vermutet, dass Mängel, die innerhalb dieser Frist zutage treten, bereits zum Zeitpunkt der Abnahme vorhanden waren. Auf die Obliegenheit zur Mängelrüge (nach § 377 UGB) wird im Hinblick auf diese Vermutungswirkung verzichtet.
• Haftung bei Individualentwicklung: Für individuell erbrachte Entwicklungsleistungen haftet Digidoo – ebenso wie für die Standardsoftware – gemäß den Regelungen der Haftungs- und Schadensersatzbestimmungen in diesen AGB. Soweit im individuellen Werkvertrag nicht ausdrücklich abweichend geregelt, gelten keine weitergehenden Haftungsübernahmen. Im Falle von Vorsatz oder grober Fahrlässigkeit seitens Digidoo oder seiner Erfüllungsgehilfen haftet Digidoo nach den gesetzlichen Bestimmungen. Für leichte Fahrlässigkeit haftet Digidoo nur bei Verletzung wesentlicher Vertragspflichten, und auch dann begrenzt gemäß diesen AGB.
• Prüf- und Hinweispflichten: Die gesamte kundenspezifische Entwicklungsleistung erfolgt in enger Abstimmung mit dem Kunden. Digidoo trifft eine Prüf- und Warnpflicht in Bezug auf vom Kunden gelieferte Vorgaben (z.B. Lastenhefte, Konzeptbeschreibungen). Der Anbieter wird die vom Kunden zur Verfügung gestellten Unterlagen und Anforderungen so bald wie möglich prüfen und den Kunden auf etwaige erkennbare Unstimmigkeiten, technische Unmöglichkeiten oder begründete Bedenken gegen die vorgesehene Ausführung unverzüglich schriftlich hinweisen. Innerhalb einer zumutbaren Frist wird Digidoo Vorschläge zur Behebung oder Verbesserung vorlegen, falls dies erforderlich ist, um das Projektziel zu erreichen.

Adressänderung

Der Kunde ist verpflichtet, Digidoo Änderungen seiner Anschrift, seines Namens oder seiner E-Mail-Adresse rechtzeitig bekannt zu geben, solange das vertragsgegenständliche Rechtsgeschäft nicht beiderseitig vollständig erfüllt ist. Sendet Digidoo während eines laufenden Vertrags rechtserhebliche Mitteilungen an die letzte vom Kunden bekannt gegebene (Post-)Adresse oder E-Mail-Adresse, gelten diese Mitteilungen als ordnungsgemäß zugegangen, sofern der Kunde eine Änderung seiner Kontaktdaten nicht zuvor schriftlich mitgeteilt hat. Diese Zustellfiktion gilt nicht, wenn der Kunde nachweist, dass ihn an der Versäumung der Mitteilung kein Verschulden trifft.

Datenschutz und Vertraulichkeit

Digidoo handelt als Auftragsverarbeiter iSd DSGVO für die in der Software gespeicherten und verarbeiteten Kundendaten und der Kunde ist der für diese Daten Verantwortliche iSd DSGVO. Für Kunden, die bereits vor dem 01.02.2026 eine separate Auftragsverarbeitungsvereinbarung abgeschlossen haben, bleibt diese gültig. Für alle anderen Kunden wird nachfolgende Datenverarbeitungsvereinbarung hiermit vereinbart und aufgenommen und bildet einen integrierten Bestandteil des Vertrags. Im Falle eines Konflikts hat die Auftragsverarbeitungsvereinbarung Vorrang vor diesen AGB.

Schlussbestimmungen

Änderungen dieser AGB:

Digidoo darf diese AGB und ihre Online‑Dienste ändern, wenn

- es um Nebenpunkte geht (z.B. Bedienung der Oberfläche, technische Abläufe), oder

- eine Änderung nötig ist, weil

• sich Gesetze oder behördliche Vorgaben ändern,
• Sicherheits‑ oder Leistungsverbesserungen vorgenommen werden, oder
• Kosten für Betrieb, Lizenzen, Support, Energie oder Steuern deutlich ändern,

und die Änderung dem Kunden zumutbar ist und das vertragliche Gleichgewicht sich nicht deutlich zu Lasten des Kunden verschiebt. Die grundlegenden Hauptfunktionen bleiben erhalten.

Digidoo informiert über geplante Änderungen dieser AGB oder wichtige Änderungen der angebotenen Leistungen mindestens einen Monat bevor sie gelten sollen, z.B. per E‑Mail an die vom Kunden angegebene Adresse. In dieser Nachricht stehen

- ab wann die Änderungen gelten sollen,

- die betroffenen Bestimmungen im genauen Wortlaut und

- eine kurze, verständliche Zusammenfassung der wichtigsten Änderungen.

Die neuen, vollständigen AGB stellt digidoo online bereit und verlinkt sie in der Nachricht.

Wenn der Kunde mit den Änderungen nicht einverstanden bist, kann der Kunde

- den Änderungen bis zu dem in der Nachricht genannten Datum „widersprechen“ oder

- den Vertrag bis zu diesem Datum „kostenlos und fristlos kündigen“.

Digidoo weist den Kunden in der Nachricht ausdrücklich auf dieses Widerspruchs‑ und Kündigungsrecht hin und gibt dem Kunden eine einfache Möglichkeit, Digidoo das mitzuteilen (z.B. Antwort‑E‑Mail oder Button/Funktion im Kundenkonto).

Reagiert der Kunde bis zu dem angegebenen Datum weder mit einem Widerspruch noch mit einer Kündigung, gelten die Änderungen ab diesem Zeitpunkt als „angenommen“. In der Nachricht erinnert Digidoo nochmals klar daran, dass

- das Schweigen des Kunden als Zustimmung zu den Änderungen gilt und

- der Kunde bis dahin kostenlos kündigen kann.

Die wichtigsten Hauptleistungen von Digidoo (also die grundlegenden Kernfunktionen) oder Änderungen, die das vertragliche Gleichgewicht deutlich zum Nachteil des Kunden verschieben würden, dürfen nicht einseitig nach dieser Klausel geändert werden.

Änderungen des Vertrags: Änderungen des Vertrages bedürfen der Schriftform. Dies gilt auch für das Abgehen von diesem Schriftformerfordernis.

Anwendbares Recht: Auf den Vertrag findet ausschließlich österreichisches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.

Erfüllungsort für alle Leistungen aus diesem Vertrag ist – sofern nicht anders vereinbart – der Sitz der Digidoo GmbH in Graz, Österreich.

Gerichtsstand: Für eventuelle Streitigkeiten aus oder im Zusammenhang mitdiesem Vertragsverhältnis vereinbaren die Parteien, soweit rechtlich zulässig, die Zuständigkeit des sachlich zuständigen Gerichts in Graz. Hat der Kunde seinen Sitz (oder Wohnsitz) außerhalb Österreichs, so behält sich Digidoo das Recht vor, wahlweise auch am allgemeinen Gerichtsstand des Kunden Klage zu erheben. Für Verbraucher gelten insoweit die gesetzlichen Gerichtsstandsregelungen.

Anzuwendendes Recht: Es gilt österreichisches Recht unter Ausschluss dessen Kollisionsnormen und des UN-Kaufrechts. Bei Verträgen mit Verbrauchern mit gewöhnlichem Aufenthalt in der EU können auch zwingende Bestimmungen des Verbraucherrechts des Aufenthaltsstaates anwendbar sein, sofern diese für den Verbraucher günstiger sind.

Salvatorische Klausel: Sollte eine Bestimmung dieses Vertrages unwirksam, undurchführbar oder nichtig sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Anstelle der unwirksamen Bestimmung verpflichten sich die Parteien, eine wirksame Regelung zu vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt und den übrigen vertraglichen Vereinbarungen nicht zuwiderläuft. Gleiches gilt, falls dieser Vertrag eine Regelungslücke aufweisen sollte. Die Parteien werden in einem solchen Fall eine dem Vertragszweck entsprechende und angemessene Regelung vereinbaren.

Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO

Zwischen dem Kunden als Verantwortlichem iSd DSGVO (im Folgenden Auftraggeber) und Digidoo GmbH, Griesgasse 1, 8020 Graz, als Auftragsverarbeiter iSd DSGVO (im Folgenden Auftragnehmer) wird folgende Vereinbarung zur Auftragsverarbeitung personenbezogener Daten im Sinne des Art. 28 DSGVO geschlossen:

Gegenstand der Vereinbarung

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Rahmen der Nutzung der Digidoo-Software. Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten im Auftrag des Kunden zu den folgenden Zwecken:

• Bereitstellung der vereinbarten Funktionalitäten der Digidoo-Software (digitale Lernfortschrittsdokumentation, Analysetools, Kommunikationsfunktionen etc.),
• Hosting und Speicherung der im Rahmen der Software anfallenden Daten auf Serversystemen des Auftragnehmers oder dessen Unterauftragsverarbeitern (sofern die Software nicht ausnahmsweise als On-Premises-Variante beim Auftraggeber betrieben wird),
• technischer Support und Wartung der Software sowie Durchführung von Analysen/Updates zur Sicherstellung von Verfügbarkeit und Sicherheit.

Diese Auftragsverarbeitungsvereinbarung ist als Ergänzung zum Nutzungsvertrag/Lizenzvertrag und den Allgemeinen Geschäftsbedingungen (Hauptvertrag) der Digidoo GmbH zu verstehen. Im Falle von Widersprüchen zwischen dieser Vereinbarung und anderen vertraglichen Regelungen gehen die Bestimmungen dieser AVV in Bezug auf den Datenschutz vor.

Datenkategorien: Im Rahmen der Auftragsverarbeitung verarbeitet der Auftragnehmer alle Arten von Daten, die der Auftraggeber ihm über die Software zugänglich macht. Dies umfasst insbesondere Stammdaten (z.B. Namen von Lehrkräften, Schülern, Klassen, ggf. Kontaktdaten von Erziehungsberechtigten), Leistungs- und Lernfortschrittsdaten (Kompetenzbewertungen, Notizen, statistische Auswertungen), sowie ggf. Kommunikations- und Nutzungsdaten (Chats, Feedback, Logfiles). Mit anderen Worten: sämtliche Daten, die vom Auftraggeber in die Digidoo-Software eingegeben, hochgeladen oder durch Nutzung generiert werden, können Gegenstand der Verarbeitung sein.

Kategorien betroffener Personen: Von der Verarbeitung können je nach Nutzung insbesondere folgende Personengruppen betroffen sein: Schüler, deren Leistungsdaten im System dokumentiert werden; Lehrkräfte und Schulpersonal als Nutzer der Plattform (mit eigenen Accounts und Profildaten); Erziehungsberechtigte der Schüler, soweit deren Daten (z.B. Name, E-Mail für Kommunikation) im System erfasst werden; sowie etwaige weitere Dritte, deren personenbezogene Daten der Auftraggeber in die Software eingibt (z.B. externe Pädagogen, Schulaufsichtsbeamte oder sonstige an einem Schulprojekt beteiligte Personen).

Hinweis: Welche konkreten Datenarten und Kategorien der Auftraggeber in die Software eingibt, entzieht sich der Kontrolle des Auftragnehmers. Die obigen Aufzählungen der Daten- und Personenkategorien sind daher nicht abschließend. Der Auftraggeber allein entscheidet, welche Daten er im Rahmen der Software verarbeitet – und trägt dafür die Verantwortung.

Dauer der Vereinbarung

Diese Vereinbarung wird auf unbestimmte Zeit für die Dauer der Nutzung der Digidoo-Software durch den Auftraggeber geschlossen. Sie kann von beiden Parteien jederzeit durch Kündigung des zugrundeliegenden Nutzungsvertrags beendet werden. Eine isolierte Kündigung dieser Auftragsverarbeitungsvereinbarung ohne Kündigung des Hauptvertrages ist nicht möglich. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Endet der Nutzungsvertrag (z.B. durch Kündigung oder Nichtverlängerung der Lizenz) und besteht kein weiterer Nutzungsanspruch des Auftraggebers, so endet automatisch auch diese AV-Vereinbarung.

Pflichten des Auftragnehmers (Digidoo GmbH)

Der Auftragnehmer verpflichtet sich im Rahmen dieses Auftrags zu strikter Weisungsgebundenheit: Er wird die überlassenen personenbezogenen Daten sowie deren Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlich oder elektronisch erteilten Weisungen des Auftraggebers verarbeiten. Eine Verarbeitung der personenbezogenen Daten für eigene Zwecke des Auftragnehmers ist ausgeschlossen. Der Auftragnehmer behält sich jedoch vor, anonymisierte und aggregierte Daten zur Erstellung statistischer Auswertungen, Analysen oder Berichte zu nutzen, sofern dabei keinerlei Rückschlüsse auf identifizierbare Personen oder einzelne Kunden möglich sind. Erhält der Auftragnehmer eine Anfrage einer Behörde oder eines Gerichts zur Herausgabe von Daten des Auftraggebers, wird er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber informieren und die herausverlangten Daten erst herausgeben, wenn die Behörde den Datenbezug erkennbar direkt beim Auftraggeber versucht hat oder eine rechtliche Verpflichtung zur Herausgabe besteht. Der Auftragnehmer wird Daten aus diesem Auftrag nicht ohne ausdrückliche Zustimmung für eigene Zwecke verwenden. Der Auftragnehmer sichert zu, dass alle mit der Datenverarbeitung befassten Personen (Mitarbeiter sowie evtl. Subdienstleister) vertraulichen Umgang mit personenbezogenen Daten wahren. Personenbezogene Daten dürfen diesen Personen nur im für die Aufgabenerfüllung erforderlichen Umfang zugänglich gemacht werden. Alle Personen, die beim Auftragnehmer auftragsbezogene Daten verarbeiten, sind vor Beginn der Verarbeitung auf Vertraulichkeit und Datensicherheit verpflichtet worden bzw. unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Diese Pflicht besteht auch nach Beendigung des Auftrags und Ausscheiden der jeweiligen Personen fort. Der Auftragnehmer erklärt, dass er alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO ergriffen hat und weiterhin aufrechterhalten wird. Details zu diesen Maßnahmen sind in der Anlage "Technisch-organisatorische Maßnahmen" zu dieser Vereinbarung beschrieben. Der Auftragnehmer kann die in Anlage 1 aufgeführten Maßnahmen bei Bedarf anpassen, solange das Schutzniveau nicht unterschritten wird; wesentliche Änderungen sind dem Auftraggeber mitzuteilen. Der Auftragnehmer unterstützt den Auftraggeber – unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen – bei der Einhaltung der Betroffenenrechte gemäß Kapitel III DSGVO. Insbesondere wird der Auftragnehmer dem Auftraggeber alle erforderlichen Informationen bereitstellen, damit dieser Auskunftsersuchen, Berichtigungen, Löschungen, Datenübertragungen, Widersprüche oder Einschränkungen entsprechend bearbeiten kann. Sollte eine betroffene Person irrtümlich den Auftragnehmer direkt zur Wahrnehmung von Betroffenenrechten auffordern (und ist erkennbar, dass die Anfrage eigentlich den Auftraggeber als Verantwortlichen betrifft), wird der Auftragnehmer diese Anfrage unverzüglich an den Auftraggeber weiterleiten und den Anfragenden entsprechend informieren. Automatisierte Unterstützung bietet der Auftragnehmer nur im Rahmen der vorgesehenen Funktionen der Software (z.B. Export- oder Löschfunktion); sollten Betroffenenrechte Daten betreffen, die in Freitextfeldern oder ähnlichen nicht standardisierten Feldern gespeichert sind, obliegt es dem Auftraggeber, diese selbst zu durchsuchen. Der Auftragnehmer unterstützt den Auftraggeber ferner bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten. Dazu zählen insbesondere: Gewährleistung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen (Art. 32), Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen (Art. 33, 34) – soweit erforderlich und im Verantwortungsbereich des Auftragnehmers –, Unterstützung bei der Datenschutz-Folgenabschätzung und ggf. vorherigen Konsultation der Aufsichtsbehörde (Art. 35, 36), soweit der Auftraggeber hierfür Informationen vom Auftragnehmer benötigt. Sollte der Auftragnehmer etwaige Datenschutzverletzungen in seinem Einflussbereich feststellen, wird er den Auftraggeber unverzüglich informieren, damit dieser seinen Meldepflichten nachkommen kann. Der Auftragnehmer weist den Auftraggeber hiermit darauf hin, dass der Auftraggeber als Verantwortlicher gesetzlich verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu führen, welches auch die durch den Auftragnehmer im Auftrag ausgeführten Verarbeitungen umfasst. Da der Auftragnehmer keinen vollständigen Überblick über alle vom Auftraggeber mit der Software durchgeführten Verarbeitungsvorgänge hat (aufgrund der flexiblen Nutzungsmöglichkeiten), kann er dem Auftraggeber kein abgeschlossenes Muster-Verzeichnis zur Verfügung stellen. Der Auftragnehmer wird dem Auftraggeber jedoch auf Anfrage die benötigten Angaben zu den eigenen Verarbeitungstätigkeiten mitteilen (z.B. Kategorien von Empfängern, Löschfristen, TOM-Beschreibungen), damit der Auftraggeber sein Verzeichnis führen kann. Der Auftragnehmer ermöglicht dem Auftraggeber Kontrollen und Inspektionen, soweit dies zur Überprüfung der Einhaltung dieser Vereinbarung erforderlich ist. Der Auftraggeber hat das Recht, nach vorheriger Abstimmung in angemessenem Umfang selbst oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Dritten, die Datenverarbeitung und die getroffenen Sicherheitsmaßnahmen beim Auftragnehmer zu überprüfen (z.B. durch Audits vor Ort oder durch Einholung von Auskünften). Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anfrage alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung eines solchen Audits erforderlich sind. Die Kosten für vom Auftraggeber beauftragte externe Prüfer trägt der Auftraggeber. Regelmäßige Prüfungen des Auftragnehmers (z.B. Zertifizierungen, SOC-Berichte) wird der Auftragnehmer dem Auftraggeber auf Wunsch nachweisen. Nach Beendigung dieser Vereinbarung – sei es durch Vertragsende oder vorzeitige Kündigung – wird der Auftragnehmer sämtliche in seinem Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder dem Auftraggeber zurückgeben, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Bestimmte Daten kann der Auftragnehmer aufgrund gesetzlicher Pflichten auch nach Vertragsende noch aufbewahren müssen (z.B. Rechnungsdaten für 7 Jahre nach §132 BAO). Solche Daten wird der Auftragnehmer bis zum Ablauf der Aufbewahrungsfrist geschützt aufbewahren und danach löschen. Der Auftraggeber sollte dem Auftragnehmer mindestens einen Monat vor Vertragsendemitteilen, ob er eine Rückgabe der Daten (z.B. in Form eines Exports) wünscht. Sofern der Auftraggeber binnen dieser Frist keine Weisung erteilt, ist der Auftragnehmer berechtigt, sämtliche Daten (mit Ausnahme der gesetzlich aufzubewahrenden) einen Monat nach Vertragsende zu löschen. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, dass eine vom Auftraggeber erteilte Weisung gegen einschlägige Datenschutzbestimmungen (DSGVO oder nationales Datenschutzrecht) verstößt. Der Auftragnehmer darf die Durchführung der betreffenden Weisung solange aussetzen, bis sie durch den Verantwortlichen (ggf. nach Prüfung) bestätigt oder geändert wurde.

Ort der Datenverarbeitung

Alle Verarbeitungstätigkeiten des Auftragnehmers werden grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes (EWR) erbracht. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO (z.B. Angemessenheitsbeschluss oder geeignete Garantien wie EU-Standardvertragsklauseln) erfüllt sind.

Unterauftragsverarbeiter (Sub-Auftragsverarbeiter)

Der Auftragnehmer ist berechtigt, zur Erfüllung seiner vertraglichen Pflichten Sub-Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Dies umfasst insbesondere Dienstleistungen in den Bereichen Hosting, Cloud-Infrastruktur,

Datenbankbetrieb, E-Mail-Dienste und ähnliche unterstützende Services. Derzeit setzt der Auftragnehmer folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland Leistung: Hosting der Server-Infrastruktur (Serverbetrieb, Datenbanken) und regelmäßige Datensicherung (Backups) in ISO 27001-zertifizierten Rechenzentren in Deutschland.
• Microsoft Ireland Operations Ltd. (Azure Cloud Services), One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland Leistung: KI-gestützte Dienste und Cloud Computing (Azure OpenAI Service, temporäre Verarbeitung personenbezogener Daten in EU-Rechenzentren, Standort West Europa). Keine dauerhafte Speicherung personenbezogener Daten.
• Open Telekom Cloud (T-Systems International GmbH), Hahnstraße 43d, 60528 Frankfurt am Main, Deutschland Leistung: Betrieb privat gehosteter Large Language Models (LLMs) auf Cloud-Infrastruktur innerhalb Deutschlands bzw. EU.
• Chax.at Midlight GmbH, als Softwareagenturpartner, Österreich Leistung: Hosting und Betrieb ausgewählter Softwareprozesse auf der Server-Infrastruktur des Partners.
• Amazon Simple Email Service (SES), Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg Leistung: Versand von automatisierten System-E-Mails (z.B. Benachrichtigungen).
• Google Analytics (Google Ireland Limited), Gordon House, Barrow Street, Dublin 4, Irland Leistung: Web-Analyse zur Optimierung und Auswertung der Nutzung der Anwendung.
• Microsoft Clarity (Microsoft Ireland Operations Ltd.) (optional), One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland Leistung: Nutzung optionaler Website-Analyse-Tools für Nutzerverhalten.
• Sentry.io (Functional Software Inc.), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Leistung: Monitoring und Logging zur Fehlerverfolgung und Qualitätsverbesserung (Nutzung EU-Standort möglich).
• Freshdesk (Freshworks GmbH) (optional geplant), Alte Jakobstraße 85/86, Hof 3, Haus 6, 10179 Berlin, Deutschland Leistung: Kunden-Support und Ticketmanagement.
• Stripe Payments Europe Ltd., Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland Leistung: Zahlungsabwicklung und Management von Zahlungsinformationen.
• Fathom Analytics (Conva Ventures Inc.), 240 King Street East, Toronto, ON M5A 1K1, Kanada Leistung: Datenschutzfreundliches Web-Analytics-Tool zur anonymisierten Nutzungsanalyse; vollständig ohne Cookies, DSGVO-konform und mit EU-Hosting-Option.
• ID Austria und Single Sign-On (SSO)-Lösungen (optional vorgesehen) Leistung: Sichere Nutzer-Authentifizierung und Identitätsmanagement.

Der Auftragnehmer hat mit sämtlichen oben genannten Sub-Auftragsverarbeitern eine Vereinbarung gemäß Art. 28 Abs. 4 DSGVO abgeschlossen. Darin wird insbesondere sichergestellt, dass der Sub-Auftragsverarbeiter dieselben Pflichten übernimmt, die dem Auftragnehmer aus dieser Vereinbarung obliegen. Die derzeit eingesetzten Sub-Auftragsverarbeiter erfüllen anerkannte Sicherheitsstandards und Datenschutzvorgaben. Sollte Digidoo beabsichtigen, einen neuen Sub-Auftragsverarbeiter hinzuzuziehen oder einen bestehenden durch einen anderen zu ersetzen, wird der Auftraggeber hierüber vorab schriftlich oder in Textform informiert. Der Auftraggeber hat das Recht, aus berechtigtem datenschutzbezogenen Grund dem Wechsel oder Einsatz eines Sub-Auftragsverarbeiters zu widersprechen. In einem solchen Fall wird Digidoo versuchen, eine zumutbare Alternative bereitzustellen. Kommt der Auftragnehmer dieser Verpflichtung zur Information nicht nach oder berücksichtigt einen berechtigten Widerspruch nicht, steht dem Auftraggeber ein außerordentliches Kündigungsrecht hinsichtlich des betroffenen Dienstes zu. Für Pflichtverletzungen eines Sub-Auftragsverarbeiters haftet Digidoo dem Auftraggeber gegenüber so, als hätte Digidoo die Pflicht selbst verletzt.

Technisch-organisatorische Maßnahmen (Anlage 1 zur AVV)

Der Auftragnehmer hat zum Schutz der im Auftrag verarbeiteten personenbezogenen Daten umfangreiche technische und organisatorische Maßnahmen getroffen. Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Im Folgenden sind die wesentlichen Maßnahmen zusammengefasst:

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) – Schutz der Daten vor unbefugter Kenntnisnahme durch Dritte:

• Zutrittskontrolle: Die Büroräume und Serverräume des Auftragnehmers (bzw. des Hosting-Providers) sind vor unbefugtem Zutritt geschützt durch entsprechende Sicherheitsvorkehrungen, u.a.:
• Videoüberwachung sensibler Zugangsbereiche (bei Rechenzentren des Providers),
• Elektronische Türschließsysteme und Alarmanlagen,
• Physische Schlüssel-/Schließkonzepte mit berechtigungsbezogener Ausgabe,
• Zugang zu Serverräumen nur für autorisierte Mitarbeiter; Besucher nur in Begleitung,
• Einbruchshemmende Türen, Fenster und Zugänge in Unternehmensgebäuden.

• Zugangskontrolle (Systemzugang): Schutz vor unbefugter Nutzung der IT-Systeme durch:
• Personalisierte Benutzerkonten mit starken Passwörtern (Passwortrichtlinien, regelmäßige Änderung),
• Automatische Sperrung/Timeout von Sitzungen bei Inaktivität,
• Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge und Fernzugriffe,
• Verschlüsselung der Notebook-Festplatten und mobiler Datenträger der Mitarbeiter,
• Prinzip der minimalen Rechtevergabe (Need-to-know-Prinzip) bei Systemberechtigungen.

• Zugriffskontrolle (Datenzugriff innerhalb der Systeme): Sicherstellung, dass nur berechtigte Personen im Auftrag Zugriff auf Daten haben, und Vermeidung unbefugter Einsicht, Änderung oder Löschung von Daten durch:
• Feingranulares Berechtigungskonzept in der Software (rollenbasierte Rechtevergabe für Kunden-Accounts),
• Interne Mitarbeiterzugriffe auf Live-Datenbank nur für eng begrenzten Kreis von Administratoren und nur zu Supportzwecken,
• Protokollierung von Datenbankzugriffen und Administrationshandlungen,
• Regelmäßige Überprüfung und Rezertifizierung vergebener Berechtigungen,
• Sichere Verwahrung von Backups und Datenträgern; Datenschutzgerechte Entsorgung bzw. Löschung nicht mehr benötigter Datenträger (physisch und elektronisch),
• Clean-Desk/Clear-Screen-Policy in Büros (keine offen herumliegenden Notizen mit personenbezogenen Daten etc.)

• Trennungskontrolle: Logische Trennung der Daten unterschiedlicher Auftraggeber, sodass diese ausschließlich auf ihre eigenen Daten zugreifen können:
• Mandantentrennung in der Datenbankarchitektur der Anwendung,
• Getrennte Datenbank-Schemata oder entsprechende Kennzeichnungen je Schule/Kunde,
• Getrennte Entwicklungs-, Test- und Produktionsumgebungen, um echte Daten nur in Produktionssystemen zu verarbeiten.

B. Integrität (Art. 32 Abs. 1 lit. b und c DSGVO) – Schutz der Daten vor Verfälschung, unbemerkter Veränderung oder unbefugter Weitergabe:

• Weitergabekontrolle: Sicherstellung, dass bei der elektronischen Übertragung oder Transport von Daten kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen erfolgen kann durch:
• Umfassende Datenverschlüsselung bei der Übertragung: alle Datenverbindungen zwischen Kunde und Server erfolgen über HTTPS (TLS-Verschlüsselung),
• Auch interne Verbindungen zwischen Backend-Diensten sind, wenn technisch möglich und sinnvoll (nicht am gleichen Host), ausschließlich verschlüsselt und finden innerhalb gesicherter Netze statt,
• Nutzung von SSH-Verbindungen über VPN-Tunnel mit Public/Private-Key-Zugriffskontrolle für Administratorzugriffe auf Server,
• Verschlüsselter Dateitransfer (z.B. SFTP oder HTTPS) für etwaige Datenaustauschvorgänge,
• Wo möglich elektronische Signatur oder Prüfsummen bei wichtigen Konfigurationsdateien,
• Bei physischem Transport von Datenträgern: verschlüsselte Datenträger und persönliche Übergabe.

• Eingabekontrolle: Nachvollziehbarkeit, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch:
• Protokollierung von wichtigen Änderungen und Aktionen in der Anwendung (Änderungs-Logs, z.B. wer hat welche Schülerdaten wann geändert),
• Versionierung von Datensätzen (soweit relevant) oder Archivierung von Änderungsständen,
• Administrative Änderungen (z.B. Berechtigungsänderungen) werden intern mit Benutzerkennung und Zeitstempel protokolliert,
• Auswertung der Protokolle im Falle eines Verdachts auf unbefugte Aktivitäten.

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO) – Schutz der Daten und Systeme vor Zerstörung, Verlust oder Ausfall, Gewährleistung einer schnellen Wiederherstellbarkeit:

• Verfügbarkeitskontrolle: Maßnahmen gegen zufällige oder mutwillige Zerstörung oder Verlust von Daten:
• Umfassende Backup-Strategie: Tägliche Backups der Anwendungsdaten (teils kontinuierliche Sicherungen), Kombination aus Online- und Offline-Backups, On-Site- und Off-Site-Sicherung (Speicherung von Backups räumlich getrennt),
• Verwendung von redundanten Speichersystemen (RAID) und Ausfallkonzepten für Server (z.B. automatisches Failover auf Ersatzserver bei Cloud-Infrastruktur),
• Einsatz einer unterbrechungsfreien Stromversorgung (USV) in Rechenzentren, Notstromaggregate, um Stromausfälle zu überbrücken,
• Aktiver Viren- und Malware-Schutz auf Servern und Endgeräten (regelmäßige Scans, Echtzeit-Scanner),
• Einsatz von Firewalls und Netzwerk-Segmentierung, um unberechtigte Zugriffe und Angriffe aus dem Internet abzuwehren,
• Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein geografisch getrenntes Ausweichrechenzentrum,
• Regelmäßige Security-Checks und Schwachstellen-Scans auf Infrastruktur- und Anwendungsebene,
• Standardisierte Prozesse beim Eintritt und Austritt von Mitarbeitern (sofortige Deaktivierung nicht mehr benötigter Accounts, Rückgabe von Schlüsseln etc.),
• Disaster-Recovery-Plan mit vordefinierten Verfahren zur schnellen Wiederherstellung der Dienste und Daten im Fall eines schwerwiegenden Ausfalls; regelmäßiges Testen der Datenwiederherstellung.

D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO) – Kontinuierliche Sicherstellung der Wirksamkeit der technischen und organisatorischen Maßnahmen:

• Datenschutz-Management: Der Auftragnehmer betreibt ein systematisches Datenschutz-Management. Es umfasst die regelmäßige Schulung und Sensibilisierung der Mitarbeiter in Datenschutz und Datensicherheit, klare Richtlinien (Datenschutzrichtlinie, IT-Sicherheitsrichtlinie) und die Bestellung eines Datenschutz-Koordinators, der die Einhaltung der Datenschutzvorschriften überwacht.
• Datenschutzfreundliche Voreinstellungen: Die Digidoo-Software ist so entwickelt, dass standardmäßig nur solche Daten erhoben und dargestellt werden, die für den Zweck erforderlich sind (Privacy by Default). Beispielsweise sind neue Funktionen datenschutzfreundlich vorbelegt, und es werden nur notwendige personenbezogene Daten abgefragt.
• Auftragskontrolle: Der Auftragnehmer stellt sicher, dass keine Verarbeitung im Auftrag im Sinne des Art. 28 DSGVO erfolgt, die nicht durch den Auftraggeber autorisiert wurde. Dies wird gewährleistet durch eindeutige vertragliche Regelungen (diese AVV) sowie die Verpflichtung aller Subunternehmer auf die Einhaltung derselben Pflichten. Die Einhaltung dieser Vorgaben wird vom Auftragnehmer in regelmäßigen Abständen überprüft.

Diese Auftragsverarbeitungsvereinbarung ist Bestandteil der AGB der Digidoo GmbH. Version 3.0, Stand Jänner 2026.