Allgemeine SaaS-Servicebedingungen (CGS)
Die vorliegenden Allgemeinen SaaS-Servicebedingungen (nachfolgend die „CGS") regeln die Beziehungen zwischen der Gesellschaft DIGILAB, einer vereinfachten Aktiengesellschaft (Société par Actions Simplifiée) mit einem Stammkapital von 10.000 Euro, mit Sitz in 55 avenue Foch 75016 Paris, eingetragen im Handels- und Gesellschaftsregister Paris unter der Nummer 999 221 831, und ihren Kunden (nachfolgend der „Kunde").
Der Dienstleister und der Kunde werden nachfolgend gemeinsam als die „Parteien" bezeichnet, ohne dass eine gesamtschuldnerische Haftung zwischen ihnen besteht.
DIGILAB (nachfolgend „DIGILAB" oder der „Dienstleister") ist eine Gesellschaft, die eine auf die Verwaltung von Aufträgen, Produktionsabläufen und digitalen Prozessen in Dentallaboren spezialisierte Software namens DIGILAB (nachfolgend die „Lösung") bereitstellt und betreibt.
Die Lösung ist als Fernzugriffsdienst (oder „SaaS-Modus") zugänglich.
Der Kunde hat die Dienste im Rahmen seiner beruflichen Tätigkeit abonniert.
Die vorliegenden Bestimmungen treten ab dem Zugang des Kunden zu den Diensten in Kraft. Sie werden dem Kunden vor diesem Zugang auf beliebigem Weg vorgelegt.
Artikel 1. Definitionen
Anomalie: bezeichnet jede Fehlfunktion oder Nichtkonformität der Funktionen der Lösung gegenüber ihrem normalen Betriebszustand, wenn die Lösung entsprechend ihrem Zweck und der Dokumentation verwendet wird. Die verschiedenen Kategorien von Anomalien sind in Anhang 3 beschrieben.
Dokumentation: bezeichnet die Dokumentation jeder Art, die sich auf die Lösung und/oder die Dienste bezieht, einschließlich aller Aktualisierungen, Verbesserungen oder sonstigen Änderungen, die daran vorgenommen werden könnten, sowie aller anderen Elemente, die hinzugefügt werden könnten, die vom Dienstleister dem Kunden bereitgestellt oder zur Verfügung gestellt werden und sich auf die Dienste beziehen.
Daten: bezeichnet die Informationen (einschließlich personenbezogener Daten), deren Eigentümer und/oder Verantwortlicher der Kunde ist und die er im Rahmen der CGS eingibt, erfasst, überträgt, sammelt, speichert und/oder verarbeitet.
Personenbezogene Daten: bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, direkt oder indirekt.
Lizenz: bezeichnet die Bereitstellung der Lösung, die vom Dienstleister dem Kunden gemäß den Bedingungen dieser CGS eingeräumt wird.
Dienste: bezeichnet die Gesamtheit der in den Anhängen beschriebenen Dienste, die der Dienstleister dem Kunden in Erfüllung dieser CGS erbringt, umfassend (i) die Bereitstellung der Lösung im SaaS-Modus für den Kunden (oder die „Lizenz"), (ii) das Hosting der Lösung und der Daten, (iii) den Support und die korrektive und evolutive Wartung der Lösung sowie (iv) die Schulung der Nutzer, je nach dem vom Kunden abonnierten Tarif.
Nutzer: bezeichnet jede natürliche Person, die der Verantwortung des Kunden untersteht und vom Kunden berechtigt wurde, sich mit der Lösung zu verbinden und die Dienste gemäß den Bestimmungen der CGS in Anspruch zu nehmen. Die Anzahl der Nutzer, die berechtigt sind, sich mit der Lösung zu verbinden, hängt von dem vom Kunden abonnierten Tarif ab.
Zugangsdaten: bezeichnet den spezifischen Begriff, durch den sich jeder Nutzer identifiziert, um auf die Dienste zuzugreifen. Dies umfasst einen Login und ein Passwort, die jedem Nutzer eigen sind. Die Zugangsdaten des Nutzers sind vertraulich.
Artikel 2. Vertragsdokumente
Diese CGS bestehen ausschließlich aus folgenden Dokumenten:
- dem vorliegenden Dokument;
- folgenden Anhängen:
- Anhang 1: Beschreibung der Lösung und der Dienste sowie technische Voraussetzungen
- Anhang 2: Sicherheitsbestimmungen
- Anhang 3: Service Level (Verfügbarkeitsrate und Vorfallsmanagement)
- Anhang 4: Vereinbarung zur Verarbeitung personenbezogener Daten
Es wird verstanden, dass die Vertragsdokumente sich gegenseitig erläutern. Im Falle von Widersprüchen oder Abweichungen zwischen den Bedingungen der Vertragsdokumente vereinbaren die Parteien, dass das vorliegende Dokument Vorrang vor den Anhängen hat, die jeweils den gleichen Rang haben.
Es wird ausdrücklich zwischen den Parteien vereinbart, dass die allgemeinen Einkaufsbedingungen des Kunden nicht auf ihre Geschäftsbeziehung anwendbar sind.
Die technischen Anhänge können vom Dienstleister aktualisiert werden und müssen dem Kunden auf beliebigem Weg mitgeteilt werden.
Artikel 3. Gegenstand
Diese CGS haben zum Gegenstand, die Bedingungen zu definieren, unter denen:
- der Dienstleister dem Kunden die Lösung zur Verfügung stellt und ihm die damit verbundenen Dienste erbringt, und
- der Kunde sich verpflichtet, die Lösung zu nutzen.
Artikel 4. Inkrafttreten und Laufzeit
A. Laufzeit
Der Kunde abonniert die Dienste für eine bestimmte Laufzeit, je nach dem vom Kunden bei der Anmeldung gewählten Tarif, der monatlich oder jährlich sein kann, unter den nachfolgend präzisierten Bedingungen.
Monatliches Abonnement
Das monatliche Abonnement wird für eine anfängliche Laufzeit von einem (1) Monat abgeschlossen. Die monatliche Gebühr ist zum Zeitpunkt des Lizenzabschlusses für den kommenden Monat vollständig fällig.
Das Abonnement verlängert sich durch stillschweigende Verlängerung für aufeinanderfolgende Zeiträume von einem (1) Monat, vorbehaltlich der vorherigen Zahlung der entsprechenden Gebühr.
Es kann vom Kunden jederzeit gekündigt werden, wobei jeder angebrochene Monat vollständig geschuldet wird und keinen Anspruch auf Rückerstattung begründet.
Die Kündigung tritt zum Ende des laufenden Monats in Kraft.
Bei Nichtzahlung der monatlichen Gebühr zum Fälligkeitstermin werden die Dienste automatisch ohne Vorankündigung ausgesetzt und der Vertrag wird von Rechts wegen aufgelöst.
Jährliches Abonnement
Das jährliche Abonnement wird für eine feste Laufzeit von zwölf (12) Monaten abgeschlossen (die „Anfangslaufzeit").
Die jährliche Gebühr ist zum Zeitpunkt des Lizenzabschlusses für die gesamte Anfangslaufzeit vollständig fällig.
Das Abonnement kann vom Kunden jederzeit während der Jahresperiode gekündigt werden. Die Gesamtheit der für das laufende Jahr geschuldeten Gebühren bleibt jedoch fällig; eine Rückerstattung kann nicht gewährt werden.
Abweichend davon sind im Falle einer Kündigung aufgrund einer schwerwiegenden und nicht behobenen Pflichtverletzung des Dienstleisters, die vom Kunden ordnungsgemäß unter den Bedingungen des Artikels 4.B notifiziert wurde, nur die bis zum tatsächlichen Kündigungsdatum fälligen Gebühren geschuldet.
Bei Nichtzahlung der jährlichen Gebühr bei Ablauf der Anfangslaufzeit werden die Dienste automatisch ohne Vorankündigung ausgesetzt und der Vertrag wird von Rechts wegen aufgelöst.
Bei fehlender Kündigung am Ende der Anfangslaufzeit und vorbehaltlich der vorherigen Zahlung der entsprechenden jährlichen Gebühr werden die Dienste stillschweigend für aufeinanderfolgende Zeiträume von zwölf (12) Monaten verlängert (jeder Verlängerungszeitraum wird als „Verlängerungszeitraum" bezeichnet), gemäß den zum Zeitpunkt der Verlängerung geltenden Tarifen.
Es wird jedoch darauf hingewiesen, dass der Kunde vor dem Abonnement der Dienste unter den oben genannten Bedingungen von einem eingeschränkten Zugang zur Lösung im Rahmen einer kostenlosen Testphase (die „Testphase") profitiert, gemäß den in Artikel 5c definierten Modalitäten.
B. Kündigung wegen Pflichtverletzung
Im Falle einer Pflichtverletzung einer der Parteien aus dieser Vereinbarung kann die andere Partei sie auffordern, diese Verletzung innerhalb einer Frist von maximal fünfzehn (15) Tagen zu beheben, und zwar per Einschreiben mit Empfangsbestätigung.
Wenn die Verletzung nach Ablauf dieser Frist von fünfzehn (15) Kalendertagen nicht behoben wurde oder nicht behoben werden konnte, kann die andere Partei von Rechts wegen per Einschreiben mit Empfangsbestätigung die Dienste kündigen, unbeschadet aller Schadensersatzansprüche, die sie geltend machen könnte.
Sofern die Kündigung der Dienste nicht auf eine Pflichtverletzung des Dienstleisters zurückzuführen ist, wird zwischen den Parteien vereinbart, dass der Kunde für die Gesamtheit der für die Dienste geschuldeten Beträge bis zum normalen Ende der Dienste (ob Anfangslaufzeit oder Verlängerungszeitraum) haftbar bleibt.
C. Folgen der Kündigung
Im Falle des Ablaufs oder der Kündigung der Dienste aus beliebigem Grund verpflichtet sich der Dienstleister, die im Artikel „Reversibilität" genannten Reversibilitätsleistungen zu erbringen.
Am Ende der Dienste, aus welchem Grund auch immer, wird die vom Dienstleister im Rahmen dieser Vereinbarung eingeräumte Lizenz automatisch aufgelöst, und die Parteien müssen sich unverzüglich und ohne weitere Formalitäten die Dokumente jeder Art, die sich in ihrem Besitz befinden und der anderen Partei gehören (einschließlich der Dokumentation gegebenenfalls), gegenseitig zurückgeben.
In jedem Fall und sofern der Kunde nicht die Anwendung des Artikels „Reversibilität" dieser CGS beantragt, löscht der Dienstleister die Daten drei (3) Wochen nach dem tatsächlichen Datum der Dienstekündigung, sofern keine besondere gesetzliche Verpflichtung besteht.
Artikel 5. Nutzungs- und Umsetzungsbedingungen der Dienste
A. Nutzungsrechte an der Lösung und den Diensten
Als Gegenleistung für die Zahlung des Dienstpreises räumt der Dienstleister dem Kunden ein nicht exklusives, persönliches, nicht abtretbares und nicht übertragbares Recht zum Zugang und zur Nutzung der Lösung und ihrer Dokumentation durch seine Nutzer unter den Bedingungen und für die Dauer dieser Vereinbarung ein.
Die Lösung DIGILAB ist ausschließlich für die interne professionelle Nutzung durch Labore und Prothesenfabriken im Rahmen ihrer Tätigkeiten zur Konzeption, Herstellung und Verwaltung von Prothesen vorbehalten. Es ist ausdrücklich untersagt, DIGILAB zur Erstellung, zum Betrieb oder zur Speisung von Vermittlungs- oder Intermediationsplattformen zwischen Behandlern und Prothesenlaboren zu verwenden, wenn diese Nutzungen von einem Kunden außerhalb des strikten Rahmens der Nutzung der Lösung und der Dienste, wie in diesen Allgemeinen Servicebedingungen vorgesehen und genehmigt, durchgeführt werden.
Die Lösung wird vom Kunden unter seiner alleinigen Kontrolle, Leitung und alleinigen Verantwortung genutzt. Der Kunde haftet für die Einhaltung dieser Vereinbarung durch die Nutzer.
Der Kunde verpflichtet sich, (i) die Lösung und die Dienste nicht an Dritte weiterzuverkaufen, unterzulizenzieren, zu vermieten, zu teilen oder auf beliebige Weise ohne die vorherige schriftliche Genehmigung des Dienstleisters zur Verfügung zu stellen; (ii) nicht unbefugt auf die Lösung zuzugreifen oder die Integrität oder Leistung der Lösung oder der darin enthaltenen Daten zu stören; (iii) keine Rückentwicklung (Reverse Engineering) der Lösung durchzuführen.
Jede nicht konforme Nutzung sowie jeder Versuch, die Lösung zu diesem Zweck zu missbrauchen, führt zur sofortigen Sperrung oder Deaktivierung des Zugangs zur Lösung, ohne Vorankündigung und ohne Entschädigungsanspruch.
B. Modalitäten der Diensterbringung
Die Dienste werden im Rahmen einer Infrastruktur erbracht, die die Ressourcen des Dienstleisters nutzt.
Der Dienstleister kann jederzeit die Lösung und/oder die Dienste ändern oder die Art und Weise der Diensterbringung ändern, sofern dies keine wesentliche Verschlechterung der Leistung und Funktionalitäten der Dienste zur Folge hat, außer wenn dies zur Behebung einer Anomalie erforderlich ist.
Der Kunde erkennt an, vom Dienstleister über alle technischen Voraussetzungen informiert worden zu sein, die für den optimalen Betrieb der Dienste erforderlich sind, die in Anhang 1 zugänglich sind. Der Kunde wird ferner darüber informiert, dass sich diese Voraussetzungen, insbesondere aus technischen Gründen, weiterentwickeln können.
Der Kunde ist allein verantwortlich für den Zugang zu den Diensten; es obliegt ihm, alle Vorkehrungen zu treffen, um diesen Zugang aufrechtzuerhalten. Der Dienstleister ist von jeder Haftung befreit im Falle einer Unmöglichkeit des Zugangs zu den Diensten aufgrund eines Ereignisses, das seiner Kontrolle entzogen ist.
Der Kunde verpflichtet sich, keine nicht autorisierten Personen auf die Dienste zuzugreifen zu lassen, und muss sicherstellen, dass jede autorisierte Person diese CGS einhält.
C. Validierung der Dienste
Die Dienste sind Gegenstand einer Testphase, deren Dauer zwischen den Parteien vereinbart wird, ohne jedoch vierzehn (14) Tage überschreiten zu können.
Während dieser Testphase gewährt der Dienstleister dem Kunden einen eingeschränkten Zugang zur Lösung für hundert (100) Fälle.
Am Ende der Testphase, entweder nach Ablauf der vierzehn (14) Tage oder sobald die Schwelle von hundert (100) behandelten Fällen erreicht ist, je nachdem, was zuerst eintritt, muss der Kunde obligatorisch ein kostenpflichtiges Abonnement abschließen, um weiterhin auf die Lösung und die Dienste zugreifen zu können.
Ohne Abschluss eines Abonnements unter diesen Bedingungen wird der Zugang zur Lösung und zu den Diensten automatisch ohne Vorankündigung gesperrt, bis der Kunde tatsächlich ein Abonnement abgeschlossen hat.
D. Zugang zu den Diensten – Verfügbarkeit
Der Dienstleister garantiert den Zugang zu den Diensten und deren Ausführung gemäß den Bestimmungen der SLA in Anhang 3.
Die Lösung ist normalerweise 24 Stunden am Tag und 7 Tage die Woche zugänglich, mit Ausnahme:
- der Nichtverfügbarkeitszeiträume im Zusammenhang mit Wartungsarbeiten, die für den ordnungsgemäßen Betrieb der Lösung erforderlich sind;
- der Nichtverfügbarkeitszeiträume, die auf höhere Gewalt oder auf Ereignisse zurückzuführen sind, die außerhalb der Kontrolle des Dienstleisters liegen, wie z. B. Vorfälle, Fehler oder Ausfälle, die Online-Anwendungen oder den Internetzugang beeinträchtigen können;
- der Nichtverfügbarkeitszeiträume, Beeinträchtigungen oder Unterbrechungen der Dienste, die direkt oder indirekt auf Programmierschnittstellen (API), Datenflüsse, Cloud-Plattformen oder von den Herstellern von Intraoralscangeräten oder von anderen Drittanbietern, von denen die Dienste abhängen, betriebene Dienste zurückzuführen sind, insbesondere im Falle von Änderungen, Sperrungen, Zugriffsbeschränkungen, Nichtverfügbarkeit, Löschung oder technischen Weiterentwicklungen, die von diesen Dritten beschlossen wurden.
Die oben genannten Nichtverfügbarkeitszeiträume werden bei der Berechnung der garantierten Verfügbarkeitsrate im Rahmen der in Anhang 3 definierten Service Level nicht berücksichtigt und begründen keinen Anspruch auf Vertragsstrafe, Gutschrift oder Entschädigung.
Soweit technisch möglich, wird der Dienstleister bestrebt sein, den Nutzer so schnell wie möglich auf beliebigem Weg über jede Unterbrechung zu informieren.
Der Zugang zu den Diensten durch die Nutzer erfolgt bei jeder Nutzung mithilfe der Zugangsdaten von jedem Desktop- oder Laptop-Computer, Tablet oder Smartphone aus.
Der Kunde wird jedoch darüber informiert, dass die Verbindung zu den Diensten über das Internetnetz erfolgt. Er wird in dieser Hinsicht über die technischen Unwägbarkeiten informiert, die dieses Netzwerk beeinflussen und zu Verlangsamungen oder Nichtverfügbarkeiten führen können, die die Verbindung unmöglich machen. Der Dienstleister kann nicht für Schwierigkeiten beim Zugang zu den Diensten verantwortlich gemacht werden, die auf Störungen des Internetnetzes zurückzuführen sind.
Die Zugangsdaten werden jedem Nutzer zugewiesen. Der Kunde muss sicherstellen, dass seine Nutzer die Vertraulichkeit der Zugangsdaten wahren. Die Zugangsdaten dürfen nur verwendet werden, um den vom Kunden autorisierten Nutzern Zugang zu den Diensten zu gewähren, um die Datensicherheit des Kunden zu gewährleisten.
Der Kunde ist allein verantwortlich für die Nutzung und den eventuellen Verlust oder die missbräuchliche Verwendung der Zugangsdaten. Er muss den Dienstleister unverzüglich informieren, wenn er eine Sicherheitslücke feststellt, die insbesondere auf die freiwillige Weitergabe oder den Missbrauch von Zugangsdaten zurückzuführen ist, damit der Dienstleister unverzüglich geeignete Maßnahmen ergreifen kann, um die Sicherheitslücke zu beheben.
Im Falle des Verlusts oder der missbräuchlichen Verwendung von Zugangsdaten behält sich der Dienstleister das Recht vor, das betreffende Konto zu schließen oder zu sperren, ohne dass seine Haftung geltend gemacht werden kann.
Der Zugang zu den Diensten kann vorübergehend und ohne Entschädigung für wartungsbedingte Notwendigkeiten unterbrochen werden, insbesondere um die Wartung der Lösung oder der Server des Dienstleisters sicherzustellen. In diesem Fall wird der Kunde auf beliebigem Weg mindestens vierundzwanzig (24) Stunden im Voraus informiert.
Im Falle einer vom Dienstleister festgestellten Sicherheitslücke, die die Sicherheit der Dienste und/oder der Daten ernsthaft gefährden könnte, kann der Dienstleister ohne Vorankündigung eine vorübergehende Unterbrechung der Dienste vornehmen, um die Sicherheitslücke so schnell wie möglich zu beheben.
Im Falle einer erwiesenen oder vermuteten Pflichtverletzung des Kunden in Bezug auf die oben genannten Verpflichtungen kann der Dienstleister alle Maßnahmen ergreifen, die er für notwendig erachtet, einschließlich insbesondere der sofortigen und ohne Vorankündigung erfolgenden Sperrung des Zugangs zur Lösung, ohne dass seine Haftung aus irgendeinem Grund geltend gemacht werden kann.
Artikel 6. Pflichten der Parteien
A. Pflichten des Dienstleisters
Der Dienstleister verpflichtet sich, die Lösung dem Kunden zur Verfügung zu stellen und dem Kunden die Dienste gemäß den vorliegenden Bestimmungen und nach den Regeln der Kunst ab der Bereitstellung der Dienste im Rahmen einer Bemühenspflicht zu erbringen.
In diesem Rahmen verpflichtet sich der Dienstleister:
- die Dienste unter Einhaltung der in Anhang 3 definierten Service Level (SLA) zu erbringen;
- für die Ausführung der Dienste qualifiziertes und kompetentes Personal einzusetzen.
B. Kooperationspflicht des Kunden
Neben den Verpflichtungen zur Nutzung der Lösung und der Dienste sowie den Zahlungsverpflichtungen für die Dienste, die in dieser Vereinbarung beschrieben sind, verpflichtet sich der Kunde, mit dem Dienstleister zusammenzuarbeiten und den Zugang zu allen Informationen oder Elementen zu gewähren oder sicherzustellen, die der Dienstleister vernünftigerweise benötigen könnte, um seine Verpflichtungen aus dieser Vereinbarung zu erfüllen.
Der Kunde verpflichtet sich, die Dienste unter Einhaltung der geltenden Gesetze und Vorschriften zu nutzen.
Artikel 7. Geistiges Eigentum
A. Eigentumsrechte und Nutzung der Lösung
Die Lösung und die damit verbundene Dokumentation sind und bleiben das Eigentum des Dienstleisters oder seiner Lizenzgeber.
Der Dienstleister garantiert, dass er Urheber ist oder über die ausschließlichen Verwertungsrechte an der Lösung gemäß den Bestimmungen des Gesetzes über geistiges Eigentum verfügt. Der Dienstleister behält alle Rechte am geistigen Eigentum in Bezug auf die Lösung und die vertraulichen Informationen, deren Eigentümer er ist.
Daher versteht und erkennt der Kunde an, dass die ihm im Rahmen dieser Vereinbarung eingeräumte Lizenz keine Eigentumsübertragung zu seinen Gunsten bewirkt. Es ist dem Kunden untersagt, die Lösung auf irgendeine Weise zu beeinträchtigen, insbesondere die Lösung auf eine Weise zu nutzen, die nicht ihrem professionellen Zweck und den in dieser Vereinbarung festgelegten Bedingungen entspricht.
Die Parteien garantieren, die Rechte am geistigen Eigentum des jeweils anderen anzuerkennen und zu respektieren.
Dieser Artikel überlebt die Kündigung oder den Ablauf dieser Vereinbarung aus beliebigem Grund.
B. Freistellungsgarantie
Der Dienstleister garantiert, dass er über alle Rechte am geistigen Eigentum verfügt, die es ihm erlauben, die Lösung bereitzustellen, und dass diese nach seinem Wissen keine Rechte am geistigen Eigentum Dritter verletzen.
Der Dienstleister stellt den Kunden gegenüber Ansprüchen Dritter aufgrund von Verletzungen frei, die sich aus der Nutzung der Lösung durch den Kunden ergeben.
Daher übernimmt der Dienstleister alle Verurteilungen in der Hauptsache, Kosten und Nebenkosten, zu denen der Kunde durch ein rechtskräftiges Gerichtsurteil verurteilt werden könnte.
Wenn der Kunde aufgrund einer solchen Klage an der Nutzung der Lösung gehindert wird, muss der Dienstleister auf seine Kosten eine der folgenden Maßnahmen ergreifen, die er als am geeignetsten erachtet und die das einzige und ausschließliche Rechtsmittel des Kunden darstellt:
- Das Recht für den Kunden erwerben, die Lösung gemäß dieser Vereinbarung zu nutzen;
- die Lösung ersetzen oder modifizieren, um dieser Klage zu entgehen, während ein gleichwertiges Funktionalitäts- und Relevanzniveau erhalten bleibt;
- dem Kunden die von diesem im Rahmen dieser Vereinbarung gezahlten Beträge erstatten, proportional zur Dauer, während der die Dienste aufgrund dieses Artikels nicht erbracht werden konnten.
Artikel 8. Wartung und Support
Der Dienstleister erbringt Wartungs- und Supportleistungen für die Lösung unter den in den Anhängen 1 und 2 ausdrücklich und abschließend aufgeführten Bedingungen.
Artikel 9. Daten
A. Eigentum an den Daten
Der Kunde ist alleiniger Rechteinhaber an den Daten, die vom Dienstleister im Rahmen der Dienste verarbeitet werden.
Der Kunde räumt dem Dienstleister und seinen etwaigen Unterauftragnehmern eine nicht exklusive, weltweite, kostenlose und abtretbare Lizenz ein, die insbesondere den Zugang, das Hosting, die Nutzung und die Kopie der genannten Daten zum Zweck der Erbringung der Dienste erlaubt.
Diese Lizenz endet automatisch mit dem Ende dieser Vereinbarung, es sei denn, es besteht die Notwendigkeit, das Hosting der Daten und deren Verarbeitung fortzusetzen, insbesondere im Rahmen der Durchführung der Reversibilitätsoperationen.
Der Dienstleister behält sich das Recht vor, die aus der Nutzung der Lösung und der Dienste durch den Kunden stammenden Daten in streng anonymisierter Form zum Zweck der Erstellung von Statistiken, Analysen oder Studien zu nutzen, die darauf abzielen, die Leistung, Qualität und Funktionalitäten der Lösung und der Dienste zu verbessern. Diese Verarbeitungen werden unter Einhaltung der anwendbaren Regelung durchgeführt und ermöglichen in keinem Fall die direkte oder indirekte Identifizierung des Kunden oder seiner Nutzer.
Der Kunde erklärt und garantiert, dass er über alle notwendigen Genehmigungen für die Nutzung der Daten im Rahmen der Dienste verfügt und dem Dienstleister und seinen etwaigen Unterauftragnehmern die Lizenz unter den oben genannten Bedingungen frei einräumen kann. Der Kunde erklärt und garantiert ferner, dass er durch die Erstellung, Installation oder das Hochladen der Daten im Rahmen der Dienste kein Recht überschreitet, das ihm gegebenenfalls an allen oder Teilen der Daten eingeräumt worden ist, und dass er keine Rechte Dritter verletzt.
Der Kunde verpflichtet sich sicherzustellen, dass die Nutzer bei der Nutzung der Lösung keine personenbezogenen, sensiblen, vertraulichen oder durch das Geschäftsgeheimnis geschützten Daten eingeben oder übermitteln.
Es obliegt dem Kunden, die notwendigen internen Kontrollen und Anweisungen einzurichten, um jede unbefugte Eingabe oder Übermittlung solcher Daten zu verhindern. Der Dienstleister kann nicht für eine unbeabsichtigte oder unangemessene Verarbeitung haftbar gemacht werden, die sich aus der Übermittlung dieser Daten durch den Kunden oder seine Nutzer unter Verletzung dieser Bestimmungen ergibt.
Der Kunde wird darauf achten, bei der Nutzung der Dienste keine Daten zu übermitteln, die den Dienstleister verpflichten würden, spezifische Gesetze oder Vorschriften einzuhalten, die über die im Rahmen der normalen Diensterbringung vorgesehenen hinausgehen.
Der Kunde verpflichtet sich, den Dienstleister für alle finanziellen Konsequenzen zu entschädigen, die dem Dienstleister aufgrund einer Verletzung der oben genannten Garantien des Kunden bezüglich der Daten entstehen könnten.
B. Sicherheit
Der Dienstleister verpflichtet sich, die Dienste unter Einhaltung des in Anhang 2 wiedergegebenen Sicherheitsdokuments zu erbringen.
C. Personenbezogene Daten
Im Rahmen der Erbringung der Dienste verpflichten sich die Parteien, alle Verpflichtungen zu erfüllen, die sich aus der Anwendung aller anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten ergeben, insbesondere jene aus dem Gesetz vom 6. Januar 1978 in seiner geänderten Fassung über die Informatik, Dateien und Freiheiten sowie seit dem 25. Mai 2018 aus dem Règlement UE/2016/679 vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr (die „DSGVO"; „Anwendbare Regelung").
Im Rahmen der Dienste hat der Dienstleister die Eigenschaft eines Auftragsverarbeiters im Sinne der Anwendbaren Regelung. Die Bedingungen bezüglich der in diesem Rahmen durchgeführten Verarbeitungen sind im Dokument zum Schutz personenbezogener Daten (Anhang 4) beschrieben.
Hinsichtlich der personenbezogenen Daten, die von jeder der Parteien für eigene Zwecke zur Verwaltung dieser Vereinbarung erhoben und verarbeitet werden, erkennt jede der Parteien an, diese in ihrer Eigenschaft als Verantwortlicher im Sinne der DSGVO zu verarbeiten, und verpflichtet sich, alle ihr in dieser Eigenschaft obliegenden Verpflichtungen zu erfüllen.
Der Dienstleister ist in keinem Fall verantwortlich für die Nichteinhaltung der gesetzlichen oder vertraglichen Verpflichtungen des Kunden in Bezug auf personenbezogene Daten, die möglicherweise vom Nutzer in die Lösung eingeführt werden.
Dieser Artikel überlebt die Kündigung oder den Ablauf dieser Vereinbarung aus beliebigem Grund.
Artikel 10. Preise
Die geltenden Preise sind jene, die zum Zeitpunkt des Abonnements der Dienste online auf der Website (https://digilab.dental) in Kraft sind, in der Währung des betreffenden Landes ausgedrückt und je nach Art des vom Kunden abonnierten Tarifs und etwaiger Fallüberschreitungen bestimmt.
Die Preise können auf Initiative des Dienstleisters revidiert werden.
Die Zahlung erfolgt online zum Zeitpunkt des Abonnements und dann automatisch bei jeder Fälligkeit per Lastschrift auf dem vom Kunden angegebenen Zahlungsmittel. Durch die Angabe seiner Bankverbindung ermächtigt der Kunde den Dienstleister ausdrücklich, die für die Dienste geschuldeten Beträge einzuziehen.
Die Rechnungen werden dem Kunden in elektronischem Format ausgestellt und übermittelt. Im Falle einer Beanstandung einer Rechnung bleibt die Zahlung der beanstandeten Rechnung geschuldet. Wenn die Beanstandung anerkannt wird, wird dem Kunden eine Gutschrift so schnell wie möglich zugestellt.
Artikel 11. Garantien
Der Dienstleister garantiert die Konformität der Dienste mit seiner Dokumentation.
Der Dienstleister garantiert nicht, dass die Dienste frei von Mängeln oder Zufälligkeiten sind, und verpflichtet sich, ausschließlich die gemäß Anhang 3 erkannten Anomalien zu beheben.
Die Konformität der Dienste kann nicht auf andere ausdrückliche oder stillschweigende Garantien in Bezug auf die Dienste ausgedehnt werden, einschließlich insbesondere jeder stillschweigenden Garantie der Marktgängigkeit oder der Eignung der Lösung für ein bestimmtes Ziel oder Ergebnis, das der Kunde sich gesetzt hat, und/oder für die Ausführung bestimmter Aufgaben, die ihn in seiner Entscheidung zur Abonnierung der Dienste motiviert haben. Der Dienstleister garantiert nicht, dass die Funktionalitäten der Dienste, einschließlich der Lösung, den Anforderungen des Kunden gerecht werden.
Im Rahmen des gesetzlich Erlaubten sind alle anderen Garantien als die in dieser Vereinbarung ausgedrückten ausdrücklich ausgeschlossen.
Artikel 12. Haftung
Der Dienstleister kann in keinem Fall für indirekte Schäden des Kunden haftbar gemacht werden, die aus oder im Zusammenhang mit der Ausführung dieser Vereinbarung und ihrer Folgen entstehen könnten. Als indirekte Schäden gelten insbesondere, ohne dass diese Aufzählung abschließend ist, Gewinne oder Profitverluste, entgangene Chancen, kommerzielle Schäden, Datenverluste, ungeachtet der Tatsache, dass der Dienstleister über die Möglichkeit ihres Eintretens informiert worden wäre.
In dem Fall, dass die Haftung des Dienstleisters aufgrund einer Pflichtverletzung des Dienstleisters aus seinen vertraglichen Verpflichtungen geltend gemacht wird, wird der Gesamtbetrag der kumulierten Entschädigung, ungeachtet der Ursache, an Hauptforderung, Zinsen und Kosten, auf die der Kunde Anspruch haben könnte, auf den direkten und vorhersehbaren Schaden des Kunden begrenzt, ohne den Betrag der vom Kunden an den Dienstleister für die Dienste in den sechs (6) Monaten vor dem Ereignis gezahlten Beträge übersteigen zu können, das den Haftungsanspruch gegen den Dienstleister begründet hat.
Die Haftung der Parteien kann jedoch nicht ausgeschlossen oder begrenzt werden im Falle von Körperverletzungen oder Schäden, die durch Vorsatz oder grobe Fahrlässigkeit verursacht werden.
In jedem Fall kann die Haftung des Dienstleisters nicht geltend gemacht werden bei:
- einer Nutzung der Dienste auf eine Weise, die in der Dokumentation nicht vorgesehen und/oder durch diese oder die Dokumentation nicht ausdrücklich autorisiert ist;
- einer Änderung der Lösung und der Dienste ganz oder teilweise ohne Zustimmung des Dienstleisters durch den Kunden oder einen Dritten;
- der Fortsetzung der Nutzung der Lösung und der Dienste ganz oder teilweise, nachdem der Dienstleister deren Nutzung empfohlen hatte auszusetzen;
- einer Nutzung der Lösung und der Dienste in einer Umgebung oder Konfiguration, die die technischen Voraussetzungen des Dienstleisters nicht respektiert, oder im Zusammenhang mit Programmen oder Daten Dritter, die vom Dienstleister nicht ausdrücklich genehmigt wurden;
- dem Eintreten jedes Schadens, der auf einen Fehler oder eine Nachlässigkeit des Kunden zurückzuführen ist oder den dieser durch Inanspruchnahme der Beratung des Dienstleisters hätte vermeiden können;
- der Nutzung von nicht durch den Dienstleister bereitgestellten oder genehmigten Programmen im Zusammenhang mit der Lösung und den Diensten, die die Lösung, die Dienste oder die Daten des Kunden beeinträchtigen könnten.
Artikel 13. Vertraulichkeit
Sofern keine ausdrückliche anderslautende Bestimmung der übermittelnden Partei vorliegt, gelten alle Informationen, Daten, Dokumente, Liefergegenstände und/oder das Know-how jeglicher Art, die von einer Partei an die andere im Rahmen der Ausführung dieser Vereinbarung übermittelt werden, sowie die Bedingungen dieser Vereinbarung als vertraulich (die „Vertraulichen Informationen"). Darüber hinaus verpflichten sich die Parteien, die im Rahmen der vorvertraglichen Verhandlungen oder der Ausführung dieser Vereinbarung gesammelten Informationen auf keine Weise zu verwenden, die der anderen Partei Schaden zufügen könnte.
Diese Verpflichtung gilt für die Dauer dieser Vereinbarung und für einen Zeitraum von fünf (5) Jahren ab ihrer Kündigung oder ihrem Ablauf, aus welchem Grund auch immer.
Als Vertrauliche Informationen gelten nicht die Informationen, (i) die sich vor ihrer Offenlegung durch die andere Partei im Besitz der empfangenden Partei befanden, ohne dass ein solcher Besitz direkt oder indirekt aus der unbefugten Offenlegung dieser Informationen durch einen Dritten resultiert, (ii) die zum Zeitpunkt ihrer Offenlegung zum öffentlichen Bereich gehören oder später ohne Verschulden des Empfängers dahin fallen, (iii) die rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitsverpflichtung erlangt wurden.
Im gesetzlich erlaubten Rahmen verpflichten sich die Parteien, auf Anfrage der betreffenden Partei alle Daten und Informationen gemäß den Anweisungen der anderen Partei zurückzugeben oder zu vernichten, innerhalb einer Frist von maximal fünfzehn (15) Tagen ab Eingang der Anfrage.
Dieser Artikel überlebt die Kündigung oder den Ablauf dieser Vereinbarung aus beliebigem Grund.
Artikel 14. Reversibilität
Im Falle des Ablaufs und/oder der Kündigung der Dienste hat der Kunde die Datenspeicherdauer gemäß dem abonnierten Tarif zur Verfügung, um die über die Funktionalitäten der Lösung zugänglichen Daten abzurufen.
Artikel 15. Anwendbares Recht und zuständige Gerichte
Diese CGS und alle damit verbundenen Streitigkeiten unterliegen dem französischen Recht und werden gemäß diesem ausgelegt.
Im Falle eines Streits zwischen dem Dienstleister und dem Kunden über die Gültigkeit, die Ausführung, die Nichtigkeit oder die Auslegung dieser Vereinbarung verpflichten sich die Parteien, sorgfältig und in gutem Glauben zusammenzuarbeiten, um eine gütliche Lösung zu finden.
Wenn jedoch innerhalb einer angemessenen Frist keine Einigung erzielt wird, sind ausschließlich die Gerichte im Bezirk des Berufungsgerichts Paris zuständig, auch im Falle einer Vielzahl von Beklagten, Gewährleistungsklage oder einstweiliger Verfügung.
Diese CGS sind in französischer Sprache abgefasst, und jede Übersetzung in eine Fremdsprache dient nur als Information; Französisch ist die einzige verbindliche Sprache.
Artikel 16. Verschiedene Bestimmungen
A. Vollständigkeit
Diese CGS ersetzen und machen hinfällig alle etwaigen vorherigen Diskussionen, Verhandlungen und/oder Verträge zwischen den Parteien bezüglich desselben Gegenstands und derselben Dienste.
B. Überschriften
Die Überschriften der Absätze und Artikel der CGS sind zur besseren Lesbarkeit eingefügt, können jedoch in keinem Fall zur Leitung ihrer Auslegung herangezogen werden.
C. Teilweise Ungültigkeit
Wenn eine (oder mehrere) der Bestimmungen der CGS aufgrund eines Gesetzes, einer Verordnung oder einer Entscheidung eines zuständigen Gerichts als ungültig erachtet, gemacht oder erklärt wird, werden die Parteien beraten, um eine oder mehrere Bestimmungen zu vereinbaren, die die ungültige(n) Bestimmung(en) ersetzen und es ermöglichen, soweit möglich, das von der ursprünglichen Klausel bzw. den ursprünglichen Klauseln angestrebte Ziel zu erreichen. Alle anderen Bestimmungen der CGS behalten ihre volle Kraft und Wirkung.
D. Kein Verzicht
Die Tatsache, dass eine der Parteien eine Pflichtverletzung der anderen Partei in Bezug auf eine ihrer Verpflichtungen nicht geltend macht, darf nicht als Verzicht auf die betreffende Verpflichtung oder als Nachtrag zu dieser Vereinbarung ausgelegt werden und kann die nicht verletzende Partei nicht daran hindern, dies in Zukunft geltend zu machen.
E. Höhere Gewalt
Als einzige Fälle höherer Gewalt gelten ausdrücklich solche, die einen unvorhersehbaren und unwiderstehlichen Charakter haben und eine oder beide Parteien daran hindern, ihre in dieser Vereinbarung vorgesehenen Verpflichtungen ganz oder teilweise zu erfüllen (gemäß der Definition in article 1218 du Code civil und der Rechtsprechung der Cour de cassation). Der Dienstleister und der Kunde vereinbaren, dass interne Arbeitskonflikte in ihrem jeweiligen Unternehmen und/oder ihren Unterauftragnehmern im Sinne dieses Artikels keinen Fall höherer Gewalt darstellen.
Im Falle eines Ereignisses höherer Gewalt werden die im Rahmen der CGS eingegangenen Verpflichtungen für die Dauer des Ereignisses ausgesetzt. Die Partei, die ein Ereignis höherer Gewalt geltend macht, muss die andere Partei bei dessen Eintreten davon informieren. Sollten die Auswirkungen des Ereignisses höherer Gewalt einen (1) Monat überschreiten, kann jede der Parteien die Dienste von Rechts wegen und ohne vorherige Abmahnung unter Einhaltung einer Mindestkündigungsfrist von einem (1) Monat kündigen.
F. Versicherung
Jede Partei erklärt, eine Versicherung bei einer allgemein bekannten und solventen Versicherungsgesellschaft abgeschlossen zu haben und aufrechtzuerhalten, die die Folgen ihrer Berufshaftpflicht und Betriebshaftpflicht abdeckt.
G. Benachrichtigung
Sofern nichts anderes vereinbart ist, erfolgen Benachrichtigungen per Einschreiben mit Empfangsbestätigung. Jede Benachrichtigung tritt ab dem Datum ihrer ersten Vorlage in Kraft.
H. Änderung
Der Dienstleister behält sich das Recht vor, diese CGS sowie ihre Anhänge jederzeit zu ändern, sofern diese Änderungen keine wesentliche Minderung der Rechte des Kunden bewirken. Jede Änderung wird dem Kunden auf beliebigem Weg mitgeteilt, den der Dienstleister für angemessen erachtet. Die geänderten CGS treten zu dem in der an den Kunden gerichteten Benachrichtigung angegebenen Datum in Kraft.
Anhang 1 – Beschreibung der Lösung und der Dienste sowie technische Voraussetzungen
Allgemeine Präsentation
DIGILAB ist eine webbasierte Softwareplattform für Dentallabore und Zahnbehandler, die die zentrale Verwaltung digitaler Aufträge aus Intraoralscangeräten ermöglicht.
Die Lösung ermöglicht die Vereinheitlichung des Zugangs zu Aufträgen aus mehreren Cloud-Plattformen von Herstellern dentaler Scangeräte in einer einzigen Oberfläche, was die Verwaltung, Rückverfolgbarkeit und Verarbeitung digitaler Fälle erleichtert.
DIGILAB ist über einen gesicherten Internetbrowser zugänglich und basiert auf einer Cloud-Infrastruktur, die auf Google Cloud gehostet wird.
1. Hauptfunktionen der Software
Die Lösung DIGILAB ermöglicht insbesondere:
- Automatische Zentralisierung digitaler Aufträge von verschiedenen Marken von Intraoralscangeräten;
- Einsicht und Download von Aufträgen und zugehörigen Dateien (STL, PLY, Bilder, vollständige Archive);
- 3D-Visualisierung digitaler Abdrücke direkt aus der Weboberfläche;
- Vollständiges Management des Produktionszyklus, einschließlich: Validierung, Planung, Modellierung, Herstellung, Versand;
- Verfolgung und Rückverfolgbarkeit von Aufträgen mit Verlauf und Timeline der Aktionen;
- Verwaltung des Produktionsstatus je nach Behandlungsart (Prothesen, chirurgische Bohrschablonen, Aligner);
- Integrierte Kommunikation über Diskussionsräume zwischen Zahnärzten und Laboren;
- Erstellung und Änderung von Aufträgen;
- Verwaltung von Laboren und Nutzern;
- Automatische Dokumentengeneration, insbesondere: Auftragsscheine, Konformitätserklärungen, Etiketten mit QR-Code, Rechnungen;
- Datenexport (insbesondere im Excel-Format);
- Integration mit dentalen CAD-Drittanbieter-Software und Labormanagementsoftware;
- Anpassung der Oberfläche an Farben und Logo des Labors (je nach Tarif).
Die Plattform ermöglicht die Verwaltung verschiedener Arten von Zahnbehandlungen: Zahnprothesen, chirurgische Bohrschablonen, Aligner-Schienen.
Module und verfügbare Optionen je nach Tarif
Tarif BASIC
Ermöglicht:
- Einsicht in Aufträge;
- Einfache Suche und Filter;
- Download von Dateien;
- 3D-Visualisierung von Scans;
- Integration mit Drittanbietersoftware.
Tarif ESSENTIAL
Beinhaltet alle BASIC-Funktionalitäten sowie:
- Erweitertes Auftragsmanagement;
- Änderung und Erstellung von Aufträgen;
- Filter und personalisierte Ansichten;
- Kollaborative Diskussionsräume;
- Grafische Anpassung des Labors;
- Automatische Dokumentengeneration;
- Verwaltung des Produktionsstatus;
- Datenexporte;
- Erweitertes Nutzermanagement und Laborverwaltung;
- Umfassende Rückverfolgbarkeitstools.
Optionales Modul: DL Desktop
Auf Windows-Arbeitsplätzen installierbares Softwaremodul, das ermöglicht:
- den automatischen lokalen Abruf von DIGILAB-Aufträgen;
- den automatischen Datei-Download;
- die automatische Generierung von EXOCAD-kompatiblen Exporten (.dentalProject);
- die automatische Dateiverwaltung auf dem Nutzerarbeitsplatz;
- das direkte Öffnen von Fällen in CAD-Software.
2. Zugehörige Dienste
Technischer Support
Bereitstellung eines online zugänglichen FAQ (Häufig gestellte Fragen). Bereitstellung eines von der DIGILAB-Oberfläche aus zugänglichen Assistenz-Chatbots. Zugang zu einer Ticketing-Plattform, die es den Nutzern ermöglicht, technische Supportanfragen zu stellen, Anomalien zu melden und die Bearbeitung von Vorfällen durch das DIGILAB-Team zu verfolgen.
Schulung
Online-Onboarding-Kurs in Form von Videos, der die schrittweise Einarbeitung in die Lösung DIGILAB ermöglicht, insbesondere einschließlich: der Erstkonfiguration des Kontos, der Verbindung zu Scanner-Plattformen, des Auftragsmanagements, der Produktionsverfolgung und der Nutzung der wichtigsten Funktionalitäten.
Wartung und Updates
Die Lösung DIGILAB profitiert von regelmäßigen Anwendungsupdates, kontinuierlichen funktionalen Verbesserungen, Sicherheits-Patches und der Wartung der Cloud-Infrastruktur. Die Infrastrukturen werden täglich automatisch gesichert, kontinuierlich technisch überwacht und die Daten und Kommunikationen werden verschlüsselt.
3. Technische Voraussetzungen
Mindestkonfiguration für den Zugang zur Weblösung
Kompatible Browser:
- Google Chrome (empfohlen)
- Microsoft Edge
- Jeder auf Chromium basierende Browser
Kompatible Betriebssysteme:
- Windows 10 oder höher
- macOS (aktuelle Version)
- Linux
Internetverbindung: Breitbandverbindung empfohlen, empfohlene Mindestbandbreite: 5 Mbps
Hardware: Standard-Computerarbeitsplatz mit Fähigkeit zur 3D-Modelldarstellung. Empfohlener Bildschirm ≥ 1920×1080 für optimalen Komfort.
Voraussetzungen für das DL Desktop-Modul
- Windows 10 oder Windows 11
- Intel Core i3-Prozessor oder gleichwertiges Minimum
- 4 GB RAM Minimum (8 GB empfohlen)
- 500 MB Festplattenspeicher Minimum
- Autorisierter Zugang zu lokalen Speicherordnern
- Stabile Internetverbindung
Integrationsvoraussetzungen
Um ordnungsgemäß zu funktionieren, muss das Labor über ein aktives Cloud-Konto bei den Herstellern kompatibler Intraoralscangeräte verfügen, insbesondere: 3Shape, Medit, Dexis, Shining 3D, 3Disc, iTero, Alliedstar (AS Connect), Panda / Freqtek, DScore, sowie über die notwendigen Zugänge zu etwaig verwendeten Drittanbietersoftware (CAD-Software oder Labormanagementsoftware).
DIGILAB bietet Unterstützung bei der Konfiguration dieser Verbindungen an.
Anhang 2 – Sicherheitsdokument
1. Technische Sicherheitsmaßnahmen
1.1 Datenschutz
Die Lösung basiert auf einer gesicherten Cloud-Infrastruktur, die auf Google Cloud Platform (GCP) gehostet wird, in der Europäischen Union, GCP-Region europe-west9-a (Paris), europe-west4-a (Niederlande), europe-west1 (Belgien).
Datenverschlüsselung
- Die gesamte Kommunikation mit der DIGILAB-Plattform wird über das HTTPS (TLS)-Protokoll gesichert, mit SSL-Zertifikaten, die von Google Cloud oder dem Caddy-Server ausgestellt werden.
- Nutzerpasswörter werden niemals im Klartext gespeichert und durch einen starken Hash-Algorithmus (bcrypt) geschützt.
- Die Zugangsdaten und Credentials, die für die Verbindung zu dentalen Scanner-Plattformen benötigt werden, werden vor der Speicherung mit einem AES-Algorithmus verschlüsselt.
- Die auf Google Cloud-Virtual Machines gespeicherten Daten profitieren von der nativen Verschlüsselung im Ruhezustand über von Google verwaltete Verschlüsselungsschlüssel.
Sichere Speicherung
- Die Anwendungsdaten werden in einer isolierten MongoDB-Datenbank innerhalb der Cloud-Infrastruktur gespeichert.
- Der Netzwerkzugang zur Datenbank ist durch IP-Filterung eingeschränkt, die nur die notwendigen internen Dienste erlaubt.
- Eine Migration zu MongoDB Atlas (gesicherter verwalteter Dienst) ist im Gange, um die Sicherheits- und Hochverfügbarkeitsmechanismen weiter zu stärken.
Backups
- Die virtuellen Maschinen werden täglich automatisch gesichert (Daily Snapshots).
- Die Backups werden vom Dienst Google Backup and Disaster Recovery verwaltet.
- Die automatischen Neustart-Mechanismen ermöglichen die schnelle Wiederherstellung der Dienste im Falle eines Vorfalls.
Zertifizierung und Hosting
Die Infrastruktur basiert auf Google Cloud Platform, einem Anbieter mit zahlreichen internationalen Sicherheitszertifizierungen (ISO 27001, ISO 27017, ISO 27018, HDS). Google Cloud Platform ist auch SOC 2 und SOC 3 zertifiziert.
Die DIGILAB-Plattform verarbeitet Daten, die als Gesundheitsdaten im Sinne des article L.1111-8 du Code de la santé publique qualifiziert werden können.
1.2 Zugangskontrolle
Authentifizierung
- Der Zugang zur DIGILAB-Plattform erfordert eine Authentifizierung mit Benutzername und Passwort.
- Die Auto-Login-Mechanismen zwischen den verschiedenen DIGILAB-Anwendungen sind serverseitig gesichert.
- Passwörter werden nur in gehashter Form gespeichert.
Berechtigungsverwaltung
- Nutzer haben nur Zugang zu den Aufträgen und Daten, die mit ihrem Labor verbunden sind.
- Die Rollenaufteilung ermöglicht es, den Zugang auf autorisierte Administratoren zu beschränken.
Administrator- und Infrastrukturzugang
- Der Zugang zu virtuellen Maschinen erfolgt ausschließlich über individuelle SSH-Schlüssel.
- Zugänge sind auf autorisierte Konten beschränkt.
- Google Cloud-Dienstkonten haben eingeschränkte API-Rechte gemäß dem Prinzip der minimalen Privilegien.
1.3 Netzwerk- und Infrastruktursicherheit
Gesicherte Architektur
- Die DIGILAB-Infrastruktur ist auf mehrere isolierte Dienste verteilt: Anwendungsdienste, Cloud Run-Funktionen, Datenbanken, Drittanbieter-Integrationsserver.
- Kritische Dienste verwenden feste IP-Adressen und VPC-Konnektoren, um die öffentliche Exposition zu begrenzen.
Netzwerkschutz
- Google Cloud-Firewall-Regeln begrenzen eingehende Datenflüsse auf die notwendigen Ports (HTTP/HTTPS).
- Die MongoDB-Datenbank ist durch IP-Adressfilterung geschützt.
- Die Kommunikation zwischen Diensten erfolgt über gesicherte interne Netzwerke.
Überwachung und Protokollierung
Die Dienste nutzen Google Cloud Logging und Monitoring (Stackdriver / Google Cloud Operations) für: die Ereignisprotokoliierung, die Leistungsüberwachung, die Anomalieerkennung. Die Integritätsüberwachung der VMs ist aktiviert.
Systemschutz
Die VMs profitieren von einem aktivierten vTPM-Modul, der Integritätsüberwachung, automatischen Migrationen bei Host-Wartungsarbeiten und dem automatischen Neustart bei Ausfällen.
Anwendungsschutz
Die DIGILAB-Infrastruktur basiert auf einer hybriden Architektur, die serverlose Dienste (Cloud Run, Firebase Hosting) und GCP Compute Engine-virtuelle Maschinen kombiniert. Die Anwendungscontainer werden aus gepflegten Basis-Images erstellt und profitieren von den integrierten Sicherheitsmechanismen der GCP-Plattform (Isolation, Sandboxing, gVisor). Diese serverlose Architektur macht den Einsatz eines traditionellen Drittanbieter-Antivirusprogramms auf den Ausführungsumgebungen nicht relevant.
Sicherheitskontrollen
DIGILAB kann Schwachstellen-Scans und/oder Sicherheitstests in einer dem Risikoniveau und der Entwicklung der Lösung angepassten Häufigkeit durchführen oder durchführen lassen, ohne Garantie einer erschöpfenden Abdeckung, und wird vernünftige Korrekturmaßnahmen entsprechend der Kritikalität umsetzen.
Wartung und Updates
Systeme, Abhängigkeiten und Anwendungs-Images werden regelmäßig aktualisiert, um bekannte Schwachstellen zu beheben. Anwendungsbereitstellungen folgen einem kontinuierlichen Lieferprozess (CI/CD), der Qualitäts- und Sicherheitskontrollen umfasst.
2. Operative und organisatorische Maßnahmen
2.1 Sicherheitsvorfallsmanagement
DIGILAB wendet einen Vorfallsmanagemtprozess an, der umfasst:
- die Erkennung über Cloud-Überwachungstools;
- die technische Analyse des Vorfalls;
- die Isolierung des betreffenden Dienstes, falls notwendig;
- die Datenwiederherstellung über Backups;
- die Korrektur und den Einsatz eines Patches;
- die Rückverfolgbarkeit der durchgeführten Maßnahmen.
Im Falle eines Sicherheitsvorfalls, der die Daten betrifft, verpflichtet sich DIGILAB, den Kunden innerhalb von maximal 72 Stunden nach Kenntnisnahme zu benachrichtigen, gemäß den geltenden regulatorischen Verpflichtungen (insbesondere DSGVO).
2.2 Geschäftskontinuitäts- und Wiederherstellungsplan
Um die Dienstkontinuität sicherzustellen:
- werden die Anwendungskomponenten auf mehrere unabhängige Cloud-Dienste verteilt;
- ermöglichen die täglichen Backups eine schnelle Wiederherstellung der Umgebungen;
- verfügen die Instanzen über einen automatischen Neustart;
- garantiert die Google Cloud-Infrastruktur eine hohe Hardware- und Netzwerkverfügbarkeit;
- können die Dienste schnell über Docker-Container und verwaltete Dienste (Cloud Run, Firebase Hosting) neu bereitgestellt werden.
Diese Maßnahmen ermöglichen es, Dienstunterbrechungen zu begrenzen und die operative Wiederherstellung gemäß folgenden Zielen sicherzustellen:
- Recovery Point Objective (RPO): 24 Stunden.
- Recovery Time Objective (RTO): 24 bis 48 Stunden je nach Art des Vorfalls.
2.3 Datenspeicherung und -löschung
Die Daten bezüglich der Nutzerkonten werden für die gesamte Dauer der Vertragsbeziehung gespeichert. Die Daten bezüglich der Nutzeraufträge werden gemäß dem gewählten Tarif gespeichert:
- BASIC: 21 Tage
- ESSENTIAL: 8 Wochen (56 Tage)
2.4 Schutz personenbezogener Daten
Die Verarbeitungen personenbezogener Daten, die im Rahmen der Nutzung der DIGILAB-Plattform durchgeführt werden, werden durch einen spezifischen Anhang „Datenschutz – DSGVO (DPA)" geregelt, der in die Allgemeinen Servicebedingungen integriert ist.
3. Sicherheitskontakte
Die für Fragen zur Sicherheit der DIGILAB-Plattform benannten Ansprechpartner sind:
- Vertraglicher Kontakt: Mickael ANOUFA – mickael.anoufa@digilab.dental
- Technischer Sicherheitskontakt: Mickael ANOUFA – mickael.anoufa@digilab.dental
Anhang 3 – Service Level
1. Verfügbarkeit der Lösung
1.1 Verfügbarkeitsrate
Der Dienstleister verpflichtet sich, eine monatliche Verfügbarkeit der Lösung DIGILAB von 99,5 % der Zeit an Werktagen (außer Feiertagen) von Montag bis Freitag von 09:00 bis 18:00 Uhr (CET) sicherzustellen.
Die Verfügbarkeit entspricht der Fähigkeit der autorisierten Nutzer:
- auf die DIGILAB-Plattform zuzugreifen;
- Aufträge einzusehen;
- zugehörige Dateien herunterzuladen;
- die wichtigsten Funktionalitäten des Dienstes zu nutzen.
Vom Verfügbarkeitsberechnung ausgeschlossen sind:
- geplante Wartungsfenster;
- Unterbrechungen aufgrund höherer Gewalt;
- Ausfälle der Internet-Netzwerke oder Geräte des Kunden;
- Nichtverfügbarkeiten, die auf Drittdienste oder externe Scanner-Plattformen zurückzuführen sind.
1.2 Geplante Wartung
Wartungsarbeiten können durchgeführt werden, um sicherzustellen: Anwendungsupdates, Sicherheits-Patches, die Entwicklung der Cloud-Infrastruktur.
Anwendbare Bedingungen:
- vorherige Benachrichtigung mindestens 24 Stunden vor dem Eingriff;
- vorrangige Durchführung außerhalb der Geschäftszeiten, wenn möglich;
- Übermittlung eines Post-Incident-Berichts innerhalb von 3 Werktagen (außer Feiertagen) im Falle eines Hauptvorfalls.
1.3 Wiederherstellungsziele
Die DIGILAB-Infrastruktur verfügt über Backup- und Wiederherstellungsmechanismen, die folgende Ziele ermöglichen:
- RPO (Recovery Point Objective): maximal 12 Stunden (maximaler Datenverlust im Falle eines Hauptvorfalls)
- RTO (Recovery Time Objective): maximal 5 Stunden (Zielzeit für die Dienstwiederherstellung)
2. Leistung und Anomalieverwaltung
2.1 Klassifizierung der Anomalien
Blockierende Anomalie (Kritisch)
Entspricht insbesondere: vollständige Unmöglichkeit des Zugangs zur DIGILAB-Plattform; allgemeine Nichtverfügbarkeit des Dienstes; Datenverlust oder -korruption, die die normale Nutzung verhindert.
Schwerwiegende Anomalie
Entspricht insbesondere: Ausbleiben des automatischen Auftragsempfangs von Scannern; Fehlfunktion, die eine wesentliche Funktionalität beeinträchtigt, ohne vollständige Dienstunterbrechung.
Geringfügige Anomalie
Entspricht insbesondere: Anzeigefehler; Schnittstellenanomalie; unvollständige Information oder nicht blockierendes Verhalten der Plattform.
2.2 Reaktionsverpflichtungen
Der Dienstleister verpflichtet sich, die Anfragen des Kunden innerhalb folgender Fristen (Arbeitsstunden, außer Feiertagen) zu bestätigen:
| Anomaliestufe | Reaktionszeit |
|---|---|
| Blockierend | 4 Arbeitsstunden |
| Schwerwiegend | 8 Arbeitsstunden |
| Geringfügig | 24 Arbeitsstunden |
2.3 Lösungsverpflichtungen
| Anomaliestufe | Ziellösungszeit |
|---|---|
| Blockierend | 24 Arbeitsstunden (außer Feiertagen) |
| Schwerwiegend | 7 Arbeitstage (außer Feiertagen) |
| Geringfügig | 15 Arbeitstage (außer Feiertagen) |
Die Lösungszeiten gelten als vernünftiges Ziel der Korrektur oder Einführung einer Umgehungslösung.
2.4 Verfahren zur Meldung und Verfolgung von Anomalien
Anomalien können über die E-Mail-Adresse gemeldet werden: support@digilab.dental.
Jede Meldung wird erfasst, nach Schweregrad qualifiziert und bis zur Schließung verfolgt. Der Kunde verpflichtet sich, alle notwendigen Informationen zur Reproduktion der Anomalie zu liefern.
3. Support und Assistance
3.1 Kontaktmodi
Der technische DIGILAB-Support ist erreichbar über:
- E-Mail: support@digilab.dental
- In die Plattform integriertes Ticketing-Portal
- DIGILAB-Assistenz-Chatbot
3.2 Support-Zeiten
Der technische Support ist von Montag bis Freitag von 09:00 bis 17:00 Uhr (CET) außer Feiertagen gewährleistet. Die Bearbeitung von Anfragen wird nach dem Schweregrad der Anomalie priorisiert.
4. Dienstgutschriften
4.1 Grundsatz
Im Falle einer nachgewiesenen Nichteinhaltung der in diesem Anhang definierten Verfügbarkeitsverpflichtungen kann der Kunde die Gewährung einer Dienstgutschrift beantragen. Die Gutschriften nehmen ausschließlich die Form eines auf eine zukünftige DIGILAB-Rechnung angewandten Guthabens an. Die Dienstgutschriften stellen die einzige Haftung von DIGILAB und das einzige Rechtsmittel des Kunden bei Nichtkonformität der erbrachten Dienste mit den Service Leveln dar.
4.2 Begrenzung
Der Gesamtbetrag der gewährten Dienstgutschriften kann einen Betrag nicht übersteigen, der dem vom Kunden für die Dienste im Monat vor dem Ereignis, das den Haftungsanspruch gegen den Dienstleister begründet hat, gezahlten Beträgen entspricht.
4.3 Anspruchsbedingungen
Jeder Gutschriftsantrag muss:
- schriftlich innerhalb von 30 Tagen nach dem Vorfall formuliert werden;
- die Elemente enthalten, die die behauptete Verletzung belegen.
Anhang 4 – Verarbeitung personenbezogener Daten
Im Rahmen dieser Vereinbarung gelten folgende Definitionen:
Personenbezogene Daten: bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennnummer oder auf eines oder mehrere spezifische Elemente, die sie betreffen. Die „Personenbezogenen Daten des Kunden" bezeichnen jene, die vom Kunden an den Dienstleister übermittelt werden, sowie jene, die vom Dienstleister im Zusammenhang mit der Vertragsausführung erhoben, produziert oder anderweitig verarbeitet werden.
Verarbeitung: bezeichnet jeden Vorgang oder jede Vorgangsreihe, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten durchgeführt wird, wie das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.
Die Ausdrücke „Betroffene Personen", „Verantwortlicher" und „Auftragsverarbeiter" haben die Bedeutung, die ihnen in Artikel 4 der DSGVO gegeben wird.
A) Allgemeines
Die Parteien erkennen an, dass der Kunde für die im Rahmen der Vertragsausführung durchgeführten Verarbeitungen die Eigenschaft eines Verantwortlichen und der Dienstleister die eines Auftragsverarbeiters hat. Als Auftragsverarbeiter verpflichtet sich der Dienstleister:
- Personenbezogene Daten ausschließlich für die Zwecke zu verarbeiten, die Gegenstand der Auftragsverarbeitung sind;
- Personenbezogene Daten gemäß den dokumentierten Weisungen des Kunden zu verarbeiten. Wenn der Dienstleister eine Weisung für einen Verstoß gegen die Anwendbare Regelung hält, informiert er den Kunden unverzüglich darüber;
- die Vertraulichkeit, Sicherheit und Integrität der im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten zu garantieren;
- sicherzustellen, dass die zur Verarbeitung personenbezogener Daten autorisierten Personen die Anwendbare Regelung respektieren;
- den Kunden über etwaige Transfers personenbezogener Daten außerhalb der Europäischen Union oder in ein nicht adäquates Land zu informieren und zu garantieren, dass dieser Transfer und/oder dieses Hosting in Länder erfolgt, die ein ausreichendes Datenschutzniveau gewährleisten;
- Der Dienstleister verfügt über eine allgemeine Genehmigung, einen weiteren Unterauftragnehmer (nachfolgend der „Unterunterauftragnehmer") für spezifische Verarbeitungsaktivitäten hinzuzuziehen. Im Falle der Hinzufügung oder des Austauschs eines Unterunterauftragnehmers informiert der Dienstleister den Kunden vorab und schriftlich, der über eine Frist von einem (1) Monat ab dem Datum des Eingangs dieser Information verfügt, um Einwände zu erheben;
- Informationsrecht der Betroffenen Personen: Es obliegt dem Kunden, die Betroffenen Personen bei der Erhebung personenbezogener Daten über die Verarbeitungsvorgänge zu informieren;
- Ausübung der Rechte der Personen: Soweit möglich, assistiert der Dienstleister dem Kunden bei der Erfüllung seiner Pflicht, auf Anfragen zur Ausübung der Rechte der Betroffenen zu antworten. Wenn Betroffene beim Dienstleister Anfragen zur Ausübung ihrer Rechte stellen, übermittelt der Dienstleister diese innerhalb von zweiundsiebzig (72) Stunden nach ihrem Eingang an den Kunden;
- Benachrichtigung über Verletzungen personenbezogener Daten: Der Dienstleister benachrichtigt den Kunden über jede Verletzung personenbezogener Daten innerhalb einer Frist von maximal 72 (zweiundsiebzig) Stunden nach Kenntnisnahme, per E-Mail an die E-Mail-Adresse, die der Kunde ihm zu diesem Zweck zur Verfügung gestellt hat;
- Datenschutz-Folgenabschätzung (DSFA): Soweit möglich, assistiert der Dienstleister dem Kunden bei der Durchführung von Datenschutz-Folgenabschätzungen;
- Verbleib personenbezogener Daten: Am Ende dieser Vereinbarung verpflichtet sich der Dienstleister, alle personenbezogenen Daten zu vernichten, sofern keine gesetzliche Verpflichtung dem entgegensteht.
B) Beschreibung der Verarbeitungen
| Rubrik | Beschreibung | ||||||
|---|---|---|---|---|---|---|---|
| Erbrachte Dienste | Bereitstellung einer SaaS-Lösung und Hosting der vom Kunden übermittelten Daten (Rechnungsdaten, Identifikationsdaten, Gesundheitsdaten) im Zusammenhang mit der Tätigkeit des Kunden, Wartung. | ||||||
| Art der Verarbeitungsvorgänge | Erhebung ☑ · Erfassung ☑ · Nutzung ☑ · Offenlegung ☐ · Löschung ☐ · Änderung ☐ · Einschränkung ☐ | ||||||
| Zwecke der Verarbeitung | Die Verwaltung der Aufträge und Dossiers, die vom Kunden bearbeitet werden; die Verarbeitung von Daten zu Patienten, Behandlern und Partnern; die Speicherung, das Hosting und die Sicherung der Daten des Kunden. | ||||||
| Kategorien betroffener Personen | Kunden des Verantwortlichen: Behandler, Patienten ☑ Mitarbeiter des Verantwortlichen ☑ Lieferanten des Verantwortlichen ☐ |
||||||
| Kategorien personenbezogener Daten |
Identifikationsdaten ☑: Identifizierende Daten des Nutzers (Behandler und Labormitarbeiter): Name, Vorname, E-Mail-Adresse, Postadresse, Telefonnummer. Patientenreferenz: Identifikationsnummer oder Namen und Vornamen. Berufliche Daten ☑: Funktion und beruflicher Titel, Laborname. Wirtschaftliche / finanzielle Daten: Rechnungen werden von Stripe, einem Drittanbieter-Zahlungsdienstleister, erstellt und gehostet. DIGILAB speichert keine Zahlungsdaten (Kreditkarte, IBAN) noch die Rechnungen selbst. Verbindungsdaten ☑: Verbindungsdaten der Nutzer. Sonstige ☑: Sozialversicherungsnummer, Fotografien, Abdrücke (Zähne), Röntgenbilder, Scanner je nach den betreffenden Arbeiten. |
||||||
| Besondere Kategorien personenbezogener Daten | Ja ☑ — Gesundheitsdaten des Patienten | ||||||
| Standort der Verarbeitungsvorgänge | Transfers außerhalb des Europäischen Wirtschaftsraums: Nein ☑ | ||||||
| Unterunterauftragnehmer |
|
||||||
| Dauer der Verarbeitungsvorgänge | Für die Dauer des Vertrags | ||||||
| DSB – Auftragsverarbeiter | dpo@digilab.dental |
Stand: 25. Juni 2026