Allgemeine Geschäftsbedingungen für HEXLE Pool (Umfragen/-management) - HEXLE Development & IT Solutions e.U.

Hinweis

Diese AGB für HEXLE Pool ergänzen die Allgemeinen Geschäftsbedingungen (Rahmen-AGB) der HEXLE Development & IT Solutions und gelten ausschließlich für die Nutzung der Software HEXLE Pool (im Folgenden „HEXLE Pool” oder „Software”). Im Falle von Widersprüchen gehen die Regelungen dieser produktspezifischen AGB den Regelungen der Rahmen-AGB vor.

---

1. Leistungsumfang von HEXLE Pool

HEXLE Pool ist eine cloudbasierte Softwarelösung zur Durchführung digitaler Umfragen und deren Management. Der genaue Leistungsumfang, die verfügbaren Funktionen, Speicherkapazitäten und die Möglichkeiten der Nutzerverwaltung richten sich nach dem vom Kunden gewählten Tarif und den in der jeweiligen Leistungsbeschreibung oder dem individuellen Angebot festgelegten Spezifikationen.

• Funktionen: HEXLE Pool ermöglicht insbesondere die Erstellung von Umfragen mit verschiedenen Fragetypen, den Versand und die Verteilung von Umfragen an Teilnehmer sowie die Auswertung und grafische Analyse der Ergebnisse in Echtzeit.
• Nutzerverwaltung: Die Anzahl der nutzbaren Accounts und die Hierarchie der Nutzerrechte hängen vom gewählten Tarif ab. Der Kunde ist für die korrekte Anlage und Verwaltung seiner Nutzeraccounts verantwortlich.

2. Nutzungsbedingungen

2.1 Pflichten des Kunden

Der Kunde verpflichtet sich, HEXLE Pool ausschließlich bestimmungsgemäß und im Einklang mit den geltenden Gesetzen und diesen AGB zu nutzen. Insbesondere ist der Kunde verantwortlich für:

• Die Bereitstellung korrekter und vollständiger Daten bei der Registrierung und während der Nutzung der Software.
• Die Verhinderung missbräuchlicher Nutzung von HEXLE Pool, insbesondere das Hochladen oder Speichern von rechtswidrigen Inhalten, das Ausführen von schädlichem Code oder das Stören des Betriebs der Software.
• Die Einhaltung der Kompatibilitätsanforderungen für die Nutzung von HEXLE Pool (z.B. Browserversionen, Internetverbindung). HEXLE übernimmt keine Verantwortung für Nutzungseinschränkungen, die auf einer Nichterfüllung dieser Anforderungen seitens des Kunden beruhen.

2.2 Zugangsdaten

Der Kunde ist verpflichtet, seine Zugangsdaten (Benutzernamen, Passwörter) geheim zu halten und vor dem unberechtigten Zugriff Dritter zu schützen. Er ist für alle Aktivitäten verantwortlich, die unter seinen Zugangsdaten erfolgen. Bei Verlust oder unbefugter Nutzung der Zugangsdaten hat der Kunde HEXLE unverzüglich zu informieren.

2.3 Umgang mit personenbezogenen Daten der Umfrageteilnehmer

Der Kunde ist alleiniger Verantwortlicher im Sinne der DSGVO für die personenbezogenen Daten der Umfrageteilnehmer, die über HEXLE Pool erfasst werden. HEXLE agiert in diesem Verhältnis als Auftragsverarbeiter. Der Kunde stellt sicher, dass er die Umfrageteilnehmer ordnungsgemäß über die Datenverarbeitung informiert und eine gültige Rechtsgrundlage für die Verarbeitung sichergestellt hat. Besonderer Hinweis: Umfragen können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO erheben (z.B. politische Meinungen, Gesundheitsdaten, religiöse Überzeugungen). Der Kunde ist allein verantwortlich für die Sicherstellung einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und die Einhaltung erhöhter Schutzanforderungen. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist verpflichtend (siehe Abschnitt 7 dieser AGB).

3. Service Level Agreements (SLA)

HEXLE ist bestrebt, eine hohe Verfügbarkeit und Performance von HEXLE Pool sicherzustellen. Die nachfolgenden Regelungen definieren die vereinbarten Service Level:

• Verfügbarkeit (Uptime): HEXLE gewährleistet eine durchschnittliche jährliche Verfügbarkeit der HEXLE Pool-Dienste von 99,0%. Ausgenommen hiervon sind geplante Wartungsfenster, die dem Kunden frühzeitig mitgeteilt werden, sowie Ausfälle, die außerhalb des Verantwortungsbereichs von HEXLE liegen (z.B. höhere Gewalt, Störungen des öffentlichen Internets, Handlungen Dritter).
• Support-Zeiten: Der Kundensupport ist werktags (Montag bis Freitag, ausgenommen österreichische Feiertage) von 08:00 Uhr bis 18:00 Uhr MESZ/MEZ erreichbar.
• Reaktionszeiten bei Störungen:
  • Kritische Störungen (Produktionseinstellung, Kernfunktionen nicht nutzbar): Reaktion innerhalb von 2 Stunden während der Support-Zeiten.
  • Wesentliche Störungen (Einschränkung der Nutzung, aber Kernfunktionen verfügbar): Reaktion innerhalb von 4 Stunden während der Support-Zeiten.
  • Geringfügige Störungen (Kosmetische Fehler, kleine Funktionsfehler): Reaktion innerhalb von 12 Stunden während der Support-Zeiten.
  • Lösungszeit: HEXLE wird sich bemühen, Störungen schnellstmöglich zu beheben. Es kann jedoch keine bestimmte Lösungszeit garantiert werden, da diese von der Art und Komplexität der Störung abhängt.

4. Lizenzbedingungen

HEXLE räumt dem Kunden ein nicht-ausschließliches, nicht übertragbares und zeitlich auf die Vertragslaufzeit beschränktes Recht zur Nutzung von HEXLE Pool im Rahmen des gebuchten Tarifs und dieser AGB ein. Jegliche darüberhinausgehende Nutzung, insbesondere die Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung oder Bearbeitung der Software, ist untersagt. Das Reverse Engineering oder die Dekompilierung der Software ist nicht gestattet.

5. Datenverarbeitung

HEXLE ist sich der Sensibilität der über HEXLE Pool erfassten Daten bewusst. Die Speicherung und Verarbeitung der Daten erfolgt auf Servern in Österreich oder der Europäischen Union unter Einhaltung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).

• Verantwortlichkeit: Der Kunde ist der Verantwortliche im Sinne der DSGVO für die über HEXLE Pool erfassten personenbezogenen Daten seiner Umfrageteilnehmer. HEXLE agiert als Auftragsverarbeiter.
• Auftragsverarbeitungsvertrag (AVV): Für die Verarbeitung personenbezogener Daten im Auftrag des Kunden wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) zwischen HEXLE und dem Kunden abgeschlossen. Dieser AVV ist integraler Bestandteil des Vertrages über die Nutzung von HEXLE Pool und detailliert die Pflichten und Verantwortlichkeiten beider Parteien hinsichtlich des Datenschutzes (siehe Abschnitt 7 dieser AGB).
• Datensicherung: HEXLE implementiert angemessene technische und organisatorische Maßnahmen zum Schutz der Daten vor Verlust, Zerstörung, unberechtigtem Zugriff oder Missbrauch. Regelmäßige Datensicherungen werden durchgeführt, um die Wiederherstellbarkeit der Daten im Falle eines technischen Fehlers zu gewährleisten. Die genauen Sicherungsintervalle und -maßnahmen sind im AVV detailliert beschrieben.
• Verarbeitung: HEXLE verarbeitet die eingegebenen Daten ausschließlich im Rahmen der Leistungserbringung und nach Weisung des Kunden gemäß dem abgeschlossenen AVV.

6. Preise

Die Preise für die Nutzung von HEXLE Pool richten sich nach dem vom Kunden gewählten Tarifmodell. Die jeweils gültigen Preise sind in der aktuellen Preisliste auf der HEXLE Website oder im individuellen Angebot aufgeführt. Alle Preise verstehen sich in Euro (€) und, soweit nicht anders angegeben, zuzüglich der gesetzlichen Umsatzsteuer. Abweichungen von den allgemeinen Regelungen zu Preisen und Zahlung in den Rahmen-AGB sind gesondert in der Leistungsbeschreibung oder dem individuellen Angebot zu regeln.

---

7. Auftragsverarbeitungsvertrag (AVV) für HEXLE Pool

nach Art. 28 der Datenschutz-Grundverordnung (DSGVO)

7.1 Gegenstand, Dauer und Leistungsumfang des Auftrags

1. Gegenstand: Die vorliegende Vereinbarung regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Erbringung der Dienstleistung HEXLE Pool (Umfragen/-management) durch den Auftragnehmer (HEXLE) für den Auftraggeber. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach dokumentierter Weisung des Auftraggebers.
2. Leistungsumfang: Die Verarbeitung umfasst alle Tätigkeiten, die zur Bereitstellung, Wartung und Pflege der Softwarelösung HEXLE Pool zur Durchführung digitaler Umfragen und deren Management des Auftraggebers notwendig sind.
3. Dauer: Diese Vereinbarung tritt mit Vertragsabschluss in Kraft und endet automatisch mit Beendigung der Leistungsvereinbarung (Hauptvertrag) über die Nutzung von HEXLE Pool.

7.2 Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

1. Zweck: Erfassung, Verwaltung, Speicherung und Auswertung von Personendaten der Umfrageteilnehmer und Umfragedaten zur Erfüllung von:
   • Umfrageverwaltung (Erstellung, Verteilung, Auswertung),
   • Ergebnisauswertung und Statistiken,
   • Support und Wartung (Der Auftragsverarbeiter darf zur Bearbeitung von Supportfällen Einsicht in personenbezogene Daten nehmen, sofern dies zur Behebung technischer Probleme erforderlich ist).
2. Kategorien betroffener Personen:
   • Umfrageteilnehmer des Auftraggebers.
   • Gegebenenfalls: Mitarbeiter des Auftraggebers.
3. Kategorien personenbezogener Daten:
   • Identifikationsdaten: Name, Kontaktdaten (E-Mail), Benutzerkennung (sofern erhoben).
   • Umfragedaten: Antworten, Teilnahmezeitpunkte, Teilnahmestatus.
   • Organisationsdaten: Details über den Auftraggeber (Name, Unternehmen/Organisation etc.).

7.3 Pflichten und Weisungsrecht des Auftraggebers (Verantwortlicher)

Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der DSGVO, insbesondere hinsichtlich der Rechtmäßigkeit der Verarbeitung (z.B. Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO) und der Wahrung der Rechte der betroffenen Personen, verantwortlich. Er hat insbesondere:

1. Die Überprüfung der Rechtmäßigkeit der Verarbeitung, inkl. Informationspflichten (Art. 12 ff. DSGVO) sicherzustellen.
2. Alle Weisungen zu erteilen und zu dokumentieren.
3. Den Auftragnehmer unverzüglich bei Fehlern oder Unregelmäßigkeiten zu informieren.

7.4 Pflichten des Auftragnehmers (Auftragsverarbeiter)

Der Auftragnehmer verpflichtet sich insbesondere:

1. Verarbeitung nur auf Weisung: Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung zwingt ihn dazu (Art. 28 Abs. 3 lit. a DSGVO).
2. Informationspflicht bei rechtswidrigen Weisungen: Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
3. Vertraulichkeit: Sicherzustellen, dass zur Verarbeitung der Daten befugte Personen zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
4. Sicherheit der Verarbeitung (TOMs): Geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen. Die konkreten Maßnahmen sind unter TOM (Technische und organisatorische Maßnahmen) detailliert festgehalten (z.B. Verschlüsselung, Zugangskontrolle, Pseudonymisierung).
5. Unterauftragsverhältnisse (Subunternehmer):
   • Der Auftragnehmer ist berechtigt, die unter Genehmigte Unterauftragsverarbeiter gelisteten Unternehmen, insbesondere für Hosting- und Wartungsleistungen, als Subunternehmer (weitere Auftragsverarbeiter) hinzuzuziehen. Die Beauftragung dieser gelisteten Unternehmen gilt mit Abschluss dieses Vertrages als genehmigt.
   • Der Auftragnehmer hat Subunternehmer vertraglich zur Einhaltung der gleichen Datenschutzpflichten zu verpflichten, die zwischen dem Auftraggeber und dem Auftragnehmer gelten (Art. 28 Abs. 4 DSGVO).
   • Beabsichtigt der Auftragnehmer, einen neuen Subunternehmer hinzuzuziehen oder einen bestehenden zu ersetzen, muss er dies dem Auftraggeber 14 Tage vor der beabsichtigten Hinzuziehung schriftlich oder in Textform anzeigen. Der Auftraggeber hat das Recht, innerhalb dieser Frist begründeten Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erhebt der Auftraggeber begründeten Einspruch, wird HEXLE den betreffenden Unterauftragsverarbeiter nicht einsetzen. Können sich die Parteien nicht auf eine alternative Lösung einigen, steht dem Auftraggeber ein Sonderkündigungsrecht für den betroffenen Dienst zu.
   • Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Bestimmungen dieses Vertrages durch seine Subunternehmer.
6. Unterstützungspflichten:
   • Unterstützung des Auftraggebers bei der Beantwortung von Anträgen Betroffener (Art. 12-22 DSGVO).
   • Unterstützung bei der Einhaltung der Pflichten gem. Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
7. Meldepflicht bei Datenschutzverletzungen: Unverzügliche Meldung, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, von Verletzungen des Schutzes personenbezogener Daten des Auftraggebers an diesen (Art. 33, 34 DSGVO).
8. Löschung und Rückgabe: Nach Beendigung des Vertrages die Daten innerhalb von 90 Tagen nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 28 Abs. 3 lit. g DSGVO).
9. Drittlandtransfer: Eine Verarbeitung personenbezogener Daten in Drittländern außerhalb der EU/des EWR erfolgt nur, sofern die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss oder Standardvertragsklauseln). Die aktuell genehmigten Unterauftragsverarbeiter und deren Drittlandsgarantien sind unter Genehmigte Unterauftragsverarbeiter einsehbar.

7.5 Kontrollrechte des Auftraggebers

1. Kontrollrecht: Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung und der getroffenen TOMs in angemessenem Umfang zu überprüfen, etwa durch Audits oder die Einsichtnahme in Nachweise des Auftragnehmers (Art. 28 Abs. 3 lit. h DSGVO).
2. Nachweispflicht: Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle zur Einhaltung seiner Pflichten notwendigen Informationen zur Verfügung zu stellen und Nachweise zu erbringen.

7.6 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet gegenüber betroffenen Personen für den gesamten Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wurde (Art. 82 Abs. 2 DSGVO). Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verschulden entspricht. Der Auftragnehmer haftet insbesondere für Schäden, die aus einer Verarbeitung resultieren, die nicht den Weisungen des Auftraggebers oder seinen eigenen Pflichten aus der DSGVO entspricht.

Stand: März 2026