+49 30 5522 9681

info@q-bridge.de

Pertisauer Weg 18 . 12209 Berlin

Boutiqueberatung für MedTech Unternehmen.

Ihre Brücke zur operativen Exzellenz

Allgemeine Geschäftsbedingungen (AGB)

QBRG-901735770-851

Revision: 3.55

der Q-Bridge Consulting GmbH (nachfolgend „Q-Bridge“ oder „Auftragnehmerin“ genannt)

gültig ab: 21. Mai 2026

Strukturübersicht

TEIL A: Allgemeiner Teil (Geltungsbereich, Haftung, Zahlungen)

TEIL B: Besondere Bedingungen für Beratungs- & IT-Dienstleistungen

TEIL C: Besondere Bedingungen für Cloud-Plattformen & Konfektionierung

TEIL D: Vertrag zur Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO

TEIL E: Technische und organisatorische Maßnahmen (TOMS)

Teil A

Allgemeiner Teil

§1. Geltungsbereich und Begriffsbestimmungen

1.1.
Anwendungsbereich: Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für alle Verträge, Leistungen und Angebote der Q-Bridge Consulting GmbH (nachfolgend „Q-Bridge“ oder „Auftragnehmer“) gegenüber ihren Kunden (nachfolgend „Kunde“ oder „Auftraggeber“).
1.2.
Ausschließlicher B2B-Bereich: Das Leistungsangebot von Q-Bridge richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen.
1.3.
Rahmenvereinbarung für zukünftige Verträge: Diese AGB gelten in ihrer jeweiligen Fassung als Rahmenvereinbarung auch für alle künftigen Verträge mit demselben Kunden über die Erbringung von Beratungsleistungen, IT-Dienstleistungen und Softwarelösungen, ohne dass Q-Bridge in jedem Einzel-fall erneut auf sie hinweisen muss.
1.4.
Ausschluss entgegenstehender Bedingungen: Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nur dann und insoweit Vertragsbestandteil, als Q-Bridge ihrer Geltung ausdrücklich schriftlich zugestimmt hat.
1.5.
Rangfolge der Vertragsdokumente (Verhältnis der Dokumente): Diese AGB ergänzen den zwischen den Parteien geschlossenen Rahmenvertrag sowie die jeweiligen Einzelaufträge. Im Falle von Widersprüchen zwischen den Vertragsdokumenten gilt folgende Rangfolge: (1) der jeweilige Einzelauftrag, (2) der Rahmenvertrag, (3) diese AGB. Individualabreden zwischen den Parteien haben stets Vorrang vor diesen AGB.

§2. Vertragsschluss und Angebotsunterlagen

2.1.
Unverbindlichkeit von Angeboten: Angebote von Q-Bridge sind freibleibend und unverbindlich, sofern sie nicht ausdrücklich als verbindlich gekennzeichnet sind. Ein Vertrag kommt erst durch die schriftliche Bestätigung des Einzelauftrags (einschließlich einer Bestätigung per E-Mail) oder durch den tatsächlichen Beginn der Leistungserbringung durch Q-Bridge zustande.
2.2.
Eigentums- und Urheberrechte an Unterlagen: Q-Bridge behält sich das Eigentum, Urheberrecht sowie alle sonstigen gewerblichen Schutzrechte an allen abgegebenen Angeboten, Kostenvoranschlägen sowie dem Kunden zur Verfügung gestellten Konzepten, Unterlagen, Zeichnungen, Berechnungen und Modellen vor. Der Kunde darf diese Unterlagen ohne ausdrückliche vorherige schriftliche Zustimmung von Q-Bridge weder Dritten zugänglich machen, noch sie selbst oder durch Dritte verwerten, vervielfältigen oder nachahmen.

§3. Leistungsumfang, Leistungsänderungen und Subunternehmer

3.1.
Festlegung des Leistungsumfangs und Teilleistungen: Der konkrete Umfang der von Q-Bridge zu erbringenden Leistungen wird im jeweiligen Einzelauftrag verbindlich festgelegt. Q-Bridge ist berechtigt, Teilleistungen zu erbringen und diese gesondert abzurechnen, sofern dies für den Kunden zumutbar ist und der Vertragszweck dadurch nicht beeinträchtigt wird.
3.2.
Änderungsverfahren (Change Request): Nachträgliche Änderungen oder Erweiterungen des vereinbarten Leistungsumfangs bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform (z. B. E-Mail). Wenn der Kunde eine Änderung wünscht, wird Q-Bridge prüfen, ob und zu welchen Bedingungen diese realisierbar ist. Q-Bridge wird den Kunden darüber informieren, ob die gewünschte Änderung Auswirkungen auf den Zeitplan, vereinbarte Fristen und die Vergütung hat, und dem Kunden ein entsprechendes Nachtragsangebot unterbreiten. Bis zur schriftlichen Annahme des Nachtragsangebots durch den Kunden verbleibt es beim ursprünglich vereinbarten Leistungsumfang.
3.3.
Einsatz von Unterauftragnehmern: Q-Bridge ist berechtigt, zur Erfüllung ihrer vertraglichen Aufgaben und zur Erbringung der geschuldeten Leistungen qualifizierte Unterauftragnehmer (Subunternehmer) oder freie Mitarbeiter einzusetzen. Die datenschutzrechtlichen Anforderungen bleiben hiervon unberührt.

§4. Leistungsfristen und Höhere Gewalt

4.1.
Verbindlichkeit von Fristen: Leistungsfristen und Termine sind für Q-Bridge nur dann verbindlich, wenn sie im jeweiligen Einzelauftrag ausdrücklich schriftlich als verbindlich oder als „Fixtermin“ vereinbart wurden.
4.2.
Haftungsausschluss bei unverschuldeten Verzögerungen (Höhere Gewalt): Q-Bridge haftet nicht für die Unmöglichkeit der Leistung oder für Leistungsverzögerungen, soweit diese durch Höhere Gewalt oder sonstige zum Zeitpunkt des Vertragsabschlusses nicht vorhersehbare Ereignisse verursacht worden sind, die Q-Bridge nicht zu vertreten hat. Als solche Ereignisse gelten insbesondere Betriebsstörungen aller Art, Schwierigkeiten in der Material- oder Energiebeschaffung, Transportverzögerungen, Streiks, rechtmäßige Aussperrungen, Mangel an Arbeitskräften, Energie oder Rohstoffen, Pandemien, Epidemien, Cyber-Angriffe durch Dritte sowie behördliche Maßnahmen oder unterbliebene, nicht richtige oder nicht rechtzeitige Belieferung durch Lieferanten.
4.3.
Rücktrittsrecht bei dauerhaften Leistungshindernissen: Sofern Ereignisse im Sinne der Ziffer 4.2 Q-Bridge die Leistungserbringung wesentlich erschweren oder unmöglich machen und die Behinderung nicht nur von vorübergehender Dauer ist, ist Q-Bridge zum Rücktritt vom Vertrag berechtigt. Bei Hindernissen von vorübergehender Dauer verlängern sich die Leistungs- oder Lieferfristen oder verschieben sich die Leistungstermine um den Zeitraum der Behinderung zuzüglich einer angemessenen Anlaufzeit.

§5. Vergütung, Zahlungsbedingungen und Verzug

5.1.
Vergütung nach Zeitaufwand: Die Vergütung der Leistungen erfolgt nach dem tatsächlichen Zeitaufwand gemäß den im jeweiligen Einzelauftrag vereinbarten Sätzen zuzüglich der gesetzlichen Umsatzsteuer. Die Abrechnung erfolgt minutenaufgelöst, wobei die kleinste Abrechnungseinheit 0,1 Stunden (6 Minuten) pro erbrachte Leistung oder angefangene Zeiteinheit beträgt.
5.2.
Fälligkeit und Zahlungsfrist: Rechnungen von Q-Bridge sind innerhalb von 10 Tagen nach Rechnungszugang ohne jeden Abzug zur Zahlung fällig.
5.3.
Zahlungsverzug und Leistungseinstellung: Bei Zahlungsverzug des Kunden ist Q-Bridge berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz der Europäischen Zentralbank zu fordern. Die Geltendmachung eines nachweisbar höheren oder weiteren Verzugsschadens bleibt ausdrücklich vorbehalten. Zudem ist Q-Bridge bei Verzug des Kunden nach vorheriger Ankündigung berechtigt, die weitere Leistungserbringung bis zur vollständigen Zahlung aller offenen Forderungen einzustellen.
5.4.
Reisekosten und Auslagen: Reisekosten, Spesen und sonstige geschäftliche Auslagen werden gemäß den spezifischen Regelungen des Rahmenvertrags oder des Einzelauftrags gesondert in Rechnung gestellt.

§6. Mitwirkungspflicht des Kunden und Annahmeverzug

6.1.
Rechtzeitige und unentgeltliche Mitwirkung: Der Kunde stellt als wesentliche Vertragspflicht sicher, dass alle erforderlichen Mitwirkungshandlungen rechtzeitig, vollständig und für Q-Bridge unentgeltlich erbracht werden (z. B. Bereitstellung von fehlerfreien Daten, Bereitstellung von Testumgebungen, Zugang zu IT-Systemen und Räumlichkeiten sowie die Benennung qualifizierter Ansprechpartner).
6.2.
Rechtsfolgen bei verletzter Mitwirkungspflicht und Annahmeverzug: Gerät der Kunde mit der Annahme der Leistung in Verzug oder verletzt er schuldhaft sonstige Mitwirkungspflichten, ist Q-Bridge berechtigt, den insoweit entstehenden Schaden, einschließlich aller Mehraufwendungen (z. B. für ungenutzt bereitgehaltene Personalressourcen oder Verzögerungskosten), ersetzt zu verlangen. In diesem Fall geht auch die Gefahr eines zufälligen Untergangs oder einer zufälligen Verschlechterung der Leistung in dem genauen Zeitpunkt auf den Kunden über, in dem dieser in Annahmeverzug geraten ist. Weitergehende gesetzliche Rechte von Q-Bridge (z. B. das Recht zur Kündigung oder Fristsetzung nach § 642 BGB) bleiben ausdrücklich unberührt.

§7. Haftungsbeschränkung

7.1.
Unbeschränkte Haftung: Q-Bridge haftet unbeschränkt bei Vorsatz, grober Fahrlässigkeit, bei der schuldhaften Verletzung von Leben, Körper oder Gesundheit, nach den Vorschriften des Produkthaftungsgesetzes sowie im Umfang einer von Q-Bridge ausdrücklich übernommenen Garantie.
7.2.
Leichte Fahrlässigkeit und Kardinalpflichten: Bei leicht fahrlässiger Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf (wesentliche Vertragspflicht / Kardinalpflicht), ist die Haftung von Q-Bridge auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt.
7.3.
Haftungshöchstsumme (Haftungsdeckelung): Die Haftung für leichte Fahrlässigkeit gemäß Ziffer 7.2 ist pro Schadensfall auf einen Betrag von 1.000.000 € und für alle Schadensfälle innerhalb eines Kalenderjahres auf insgesamt höchstens 2.000.000 € begrenzt.
7.4.
Ausschluss in sonstigen Fällen (Folgeschäden): In allen anderen als den in den Ziffern 7.1 und 7.2 genannten Fällen ist die Haftung von Q-Bridge für leichte Fahrlässigkeit ausgeschlossen; dies gilt insbesondere für den Ersatz von mittelbaren Schäden, Mangelfolgeschäden (wie entgangener Gewinn, Umsatzverluste oder Betriebsunterbrechung) oder reinen Vermögensschäden.

§8. Abwerbeverbot und Vertragsstrafe

8.1.
Verbot der Abwerbung und Beschäftigung: Der Auftraggeber verpflichtet sich, während der Dauer der Zusammenarbeit sowie für einen Zeitraum von 12 Monaten nach deren Beendigung keine Mitarbeiter von Q-Bridge direkt oder indirekt abzuwerben, einzustellen oder in sonstiger Weise (z. B. als freien Mitarbeiter) ohne vorherige schriftliche Zustimmung von Q-Bridge zu beschäftigen.
8.2.
Vertragsstrafe bei Zuwiderhandlung: Für jeden einzelnen Fall der schuldhaften Zuwiderhandlung gegen die Verpflichtung aus Ziffer 8.1 verpflichtet sich der Auftraggeber zur Zahlung einer angemessenen Vertragsstrafe an Q-Bridge, deren Höhe von Q-Bridge nach billigem Ermessen festgelegt wird und im Streitfall vom zuständigen Gericht auf ihre Angemessenheit zu überprüfen ist. Die Vertragsstrafe ist auf einen Höchstbetrag von 25 % des letzten Bruttojahresgehalts der betroffenen Person begrenzt.

§9. Geheimhaltung, Datenschutz und Datensicherheit

9.1.
Vertrauliche Informationen: Die Vertragspartner verpflichten sich, alle ihnen bei der Durchführung dieses Vertrages bekanntwerdenden Informationen, die als vertraulich bezeichnet werden oder aufgrund sonstiger Umstände als Geschäfts- oder Betriebsgeheimnisse erkennbar sind, zeitlich unbegrenzt – also auch über das Ende des Vertragsverhältnisses hinaus – geheim zu halten. Dies gilt insbesondere für alle Informationen über Unternehmensprozesse, technische Konzepte, Datenmodelle, Preisgestaltungen sowie alle dem Auftraggeber von Q-Bridge überlassenen Unterlagen und Entwürfe.
9.2.
Ausnahmen von der Geheimhaltung: Die Verpflichtung zur Geheimhaltung gilt nicht für Informationen, die
(a)
dem empfangenden Vertragspartner bereits vor der Mitteilung bekannt waren,
(b)
ohne Verschulden des empfangenden Vertragspartners rechtmäßig bekannt werden,
(c)
aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichts oder einer Behörde offengelegt werden müssen. In diesem Fall ist der andere Vertragspartner vorab zu informieren.
9.3.
Weitergabe an Dritte: Die Offenlegung vertraulicher Informationen gegenüber Dritten darf nur mit ausdrücklicher schriftlicher Zustimmung des jeweils anderen Vertragspartners erfolgen. Q-Bridge ist jedoch berechtigt, Informationen an Subunternehmer oder Mitarbeiter weiterzugeben, sofern diese zur Erbringung der Leistung eingesetzt werden und ihrerseits schriftlich zur Geheimhaltung in mindestens dem hier vereinbarten Umfang verpflichtet wurden.
9.4.
Datenschutz (DSGVO): Q-Bridge hält die Regeln des Datenschutzes (insbes. DSGVO und BDSG) strikt ein. Personenbezogene Daten werden nur im Rahmen der vertraglichen Zweckbestimmung verarbeitet. Soweit Q-Bridge im Rahmen der Beratung oder Software-Konfektionierung Zugriff auf personenbezogene Daten in der IT-Infrastruktur des Auftraggebers erhält, gilt Folgendes:
(a)
Der Auftraggeber bleibt „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO.
(b)
Die Parteien schließen hierzu den in Teil D beigefügten Auftragsverarbeitungsvertrag (AVV) ab.
(c)
Der Auftraggeber trägt die Verantwortung für die Rechtmäßigkeit der Datenübermittlung und ist verpflichtet, Patientendaten vor dem Zugriff durch Q-Bridge weitestgehend zu anonymisieren, sofern dies für die Leistungserbringung nicht zwingend hinderlich ist.
9.5.
Datenträger und Rückgabepflicht: Nach Beendigung des Auftrages oder auf Verlangen eines Vertragspartners sind alle vom jeweils anderen Vertragspartner erhaltenen vertraulichen Unterlagen, Datenträger und Kopien entweder zurückzugeben oder nachweislich zu vernichten (Datenschutzkonforme Entsorgung), sofern dem nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
9.6.
Datensicherheit und Kommunikation: Die Vertragspartner sind sich bewusst, dass eine Kommunikation über unverschlüsselte E-Mails Risiken hinsichtlich der Vertraulichkeit birgt. Sofern im Einzelauftrag vereinbart oder vom Auftraggeber gewünscht, wird Q-Bridge Verschlüsselungsverfahren (z. B. S/MIME, PGP oder passwortgeschützte Dateiübertragung) einsetzen. Eine Haftung für den unbefugten Zugriff Dritter bei der Übermittlung über öffentliche Netze ist – so weit nicht grob fahrlässig verschuldet – ausgeschlossen.

§10. Schlussbestimmungen

10.1.
Schriftform und Verzicht: Änderungen, Ergänzungen oder Modifikationen dieser Allgemeinen Geschäftsbedingungen oder des zugrundeliegenden Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses selbst. Elektronische Dokumente in Textform (z. B. E-Mail) genügen diesem Erfordernis, es sei denn, im Einzelfall wurde ausdrücklich eine qualifizierte elektronische Signatur oder eine handschriftliche Unterzeichnung vereinbart. Der Verzicht auf die Geltendmachung eines Rechts oder einer Bestimmung im Einzelfall gilt nicht als dauerhafter Verzicht für die Zukunft oder als Verzicht auf andere Bestimmungen.
10.2.
Vertragssprache: Diese Allgemeinen Geschäftsbedingungen sind im deutschen Original abgefasst. Soweit von diesen Allgemeinen Geschäftsbedingungen Übersetzungen in andere Sprachen gefertigt werden, ist ausschließlich die deutsche Fassung maßgeblich und verbindlich. Im Falle von Abweichungen, Widersprüchen oder Auslegungsschwierigkeiten zwischen der deutschen Fassung und einer Übersetzung hat die deutsche Fassung ausschließlichen Vorrang.
10.3.
Anwendbares Recht: Dieser Vertrag sowie alle daraus resultierenden oder damit im Zusammenhang stehenden Ansprüche unterliegen ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss der Kollisionsnormen des Internationalen Privatrechts, die zur Anwendung des Rechts einer anderen Rechtsordnung führen würden. Die Geltung des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) wird ausdrücklich ausgeschlossen.
10.4.
Gerichtsstand: Ist der Kunde Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist der ausschließliche Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertragsverhältnis der Sitz der Q-Bridge Consulting GmbH. Ungeachtet dessen ist Q-Bridge berechtigt, gerichtliche Schritte gegen den Kunden auch an dessen allgemeinen Gerichtsstand oder an seinem Hauptgeschäftssitz einzuleiten.
10.5.
Salvatorische Klausel: Sollte eine Bestimmung dieser Allgemeinen Geschäftsbedingungen unwirksam, rechtswidrig oder undurchsetzbar sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen davon unberührt. Anstelle der unwirksamen Bestimmung gelten die gesetzlichen Vorschriften. An-stelle der unwirksamen oder lückenhaften Bestimmung gelten die gesetzlichen Vorschriften.

§11. Änderungen dieser Allgemeinen Geschäftsbedingungen

11.1.
Recht zur Änderung der AGB: Q-Bridge behält sich das Recht vor, diese Allgemeinen Geschäftsbedingungen mit einer angemessenen Ankündigungsfrist von mindestens sechs (6) Wochen zu ändern, sofern die Änderungen für den Kunden zumutbar sind und das vertragliche Äquivalenzverhältnis nicht grundlegend zulasten des Kunden verschoben wird.
11.2.
Änderungsmitteilung und Zustimmungsfiktion: Die Mitteilung über die Änderung der AGB erfolgt per E-Mail oder in Textform. Die Änderungen gelten als vom Kunden genehmigt und werden wirksam, wenn der Kunde den Änderungen nicht innerhalb von sechs (6) Wochen nach Erhalt der Mitteilung schriftlich oder in Textform gegenüber Q-Bridge widerspricht.
11.3.
Hinweis auf die Widerspruchsfrist: Q-Bridge ist berechtigt, diese AGB mit einer Frist von sechs Wochen im Voraus zu ändern, sofern die Änderungen zur Anpassung an veränderte gesetzliche oder regulatorische Vorgaben (z.B. MDR, ISO 13485) oder aufgrund fundamentaler technischer Anpassungen erforderlich sind und das Äquivalenzverhältnis nicht zulasten des Kunden verschoben wird. Die Änderungsabsicht wird dem Kunden mindestens sechs Wochen vor ihrem geplanten Wirksamwerden in Textform (z. B. per E-Mail) mitgeteilt. Die Zustimmung des Kunden gilt als erteilt, wenn er den Änderungen nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens in Textform widerspricht. Q-Bridge wird den Kunden in der Änderungsmitteilung auf diese Genehmigungswirkung und das Recht zum Widerspruch besonders hinweisen.

Teil B

Besondere Bedingungen für Beratungs- & IT-Dienstleistungen

§1. Leistungsumfang und Art der Leistungen

1.1.
Gegenstand der Leistungen: Q-Bridge erbringt Beratungs- und Unterstützungsleistungen in der Prozessberatung, dem Qualitätsmanagement (insbesondere im Bereich MDR und ISO 13485) sowie bei der Konzeption und Implementierung digitaler Lösungen.
1.2.
Qualifikation als Dienstvertrag (Keine Erfolgsgarantie): Die von Q-Bridge zu erbringenden Leistungen werden – sofern im jeweiligen Einzelauftrag nicht ausdrücklich und schriftlich eine werkvertragliche Leistung mit einem konkret definierten, messbaren Erfolg vereinbart wurde – als Dienstleistungen im Sinne der §§ 611 ff. BGB erbracht. Q-Bridge schuldet eine fachgerechte und sorgfältige Durchführung der Beratung nach dem aktuellen Stand der Technik und Wissenschaft. Q-Bridge schuldet jedoch keinen spezifischen wirtschaftlichen Erfolg, keine bestimmte Umsatz- oder Gewinnsteigerung und ausdrücklich nicht die erfolgreiche Erteilung oder den Erhalt behördlicher Zertifizierungen, Zulassungen oder Genehmigungen.
1.3.
Flexibilität beim Personaleinsatz: Q-Bridge ist berechtigt, zur Erbringung der geschuldeten Leistungen nach eigenem Ermessen fachlich qualifizierte Mitarbeiter, freie Mitarbeiter oder Unterauftragnehmer einzusetzen und auszutauschen. Ein Anspruch des Kunden auf die persönliche Leistungserbringung durch eine ganz bestimmte Person (z. B. einen namentlich genannten Berater) besteht nur dann, wenn dies im jeweiligen Einzelauftrag ausdrücklich und schriftlich vereinbart wurde und diese Person verfügbar ist.

§2. Projektspezifische Mitwirkungspflicht des Kunden

2.1.
Pflicht zur unaufgeforderten Informationserteilung: Der Kunde erkennt an, dass die erfolgreiche Durchführung von IT- und Prozessprojekten eine enge und kontinuierliche Kooperation erfordert. Er verpflichtet sich, Q-Bridge unaufgefordert alle für die Durchführung des Auftrags notwendigen Informationen, Dokumente und Unterlagen (z. B. aktuelle Prozessbeschreibungen, Organigramme, IT-Architekturpläne) rechtzeitig und vollständig zur Verfügung zu stellen.
2.2.
Gewährung von Systemzugängen und Ansprechpartnern: Der Kunde stellt als wesentliche Vertragspflicht sicher, dass Q-Bridge während der gesamten Projektlaufzeit im erforderlichen Umfang sicheren Zugriff auf die relevanten IT-Systeme (entweder per Fernzugriff/Remote oder vor Ort) erhält und dass dem Projektteam Zugang zu den fachlich zuständigen und entscheidungsbefugten Mitarbeitern gewährt wird.
2.3.
Rechtsfolgen bei Verzögerungen durch den Kunden: Verzögerungen im Projektablauf, die darauf beruhen, dass der Kunde seinen Mitwirkungspflichten aus diesem Vertrag oder den Einzelaufträgen nicht, nicht rechtzeitig oder nicht vollständig nachkommt, gehen ausschließlich zu Lasten des Kunden. In diesem Fall verschieben sich alle vereinbarten Termine, Meilensteine und Fristen automatisch um den Zeitraum der kundenseitigen Verzögerung zuzüglich einer angemessenen Wiederanlaufzeit zur Reorganisation des Projektteams.

§3. Abnahme bei werkvertraglichen Leistungen

3.1.
Abnahmeverpflichtung: Sofern im jeweiligen Einzelauftrag ausdrücklich eine werkvertragliche Leistung vereinbart wurde, ist der Kunde zur Abnahme der vertragsgemäß hergestellten Leistung verpflichtet, sobald Q-Bridge dem Kunden die Fertigstellung oder die Abnahmebereitschaft anzeigt.
3.2.
Form der Abnahme: Die Abnahme erfolgt durch eine schriftliche oder in Textform (z. B. E-Mail) abgegebene Abnahmeerklärung des Kunden oder durch Unterzeichnung eines gemeinsamen Abnahmeprotokolls.
3.3.
Ausschluss wegen unwesentlicher Mängel: Der Kunde ist nicht berechtigt, die Abnahme wegen unwesentlicher Mängel oder bloßer Schönheitsfehler zu verweigern. Solche unwesentlichen Mängel werden im Abnahmeprotokoll oder in der Mängelliste als noch im Rahmen der Gewährleistung zu behebende Restpunkte festgehalten.
3.4.
Abnahmefiktion (Erklärungsfiktion): Die Leistung gilt als vollständig und mangelfrei abgenommen, sobald eines der folgenden Ereignisse zuerst eintritt:
(a)
Der Kunde verweigert die Abnahme nicht innerhalb von 14 Tagen nach Anzeige der Fertigstellung und Aufforderung zur Abnahme durch Q-Bridge schriftlich oder in Textform unter konkreter Angabe mindestens eines wesentlichen, reproduzierbaren Mangels; oder
(b)
Der Kunde nutzt die Leistung (z. B. das erstellte Konzept, die Dokumentation oder das konfigurierte Softwaremodul) im Echtbetrieb produktiv oder setzt sie operativ für eigene geschäftliche Zwecke ein.

§4. Nutzungsrechte an Arbeitsergebnissen

4.1.
Einräumung von Nutzungsrechten: Q-Bridge räumt dem Kunden an den im Rahmen des Auftrags spezifisch für den Kunden erstellten und fertiggestellten Arbeitsergebnissen (z. B. Berichte, Analysen, spezifische Dokumentationen) ein einfaches, zeitlich und räumlich unbefristetes, unwiderrufliches und nicht übertragbares Nutzungsrecht ein. Diese Rechteeinräumung gilt ausschließlich für die eigenen internen Geschäftszwecke des Kunden.
4.2.
Rechtevorbehalt bei Zahlungsverzug (Eigentumsvorbehalt an Rechten): Die Übertragung und Einräumung der Nutzungsrechte gemäß Ziffer 4.1 erfolgt unter der aufschiebenden Bedingung der voll-ständigen und vorbehaltlosen Zahlung der für den jeweiligen Einzelauftrag vereinbarten Vergütung. Eine Nutzung der Arbeitsergebnisse vor der vollständigen Zahlung ist dem Kunden ohne ausdrückliche vorherige schriftliche Zustimmung von Q-Bridge nicht gestattet.
4.3.
Schutz proprietärer Methoden (Vorbestehendes IP): Unberührt von der Rechteeinräumung an den Arbeitsergebnissen bleiben alle von Q-Bridge eingebrachten, genutzten oder unabhängig entwickelten Methoden, Werkzeuge, Softwarekomponenten, Best-Practice-Datenmodelle, Algorithmen, Checklisten und Templates (nachfolgend „Vorbestehendes IP“). Das Vorbestehende IP verbleibt im ausschließlichen Eigentum von Q-Bridge. Der Kunde erhält daran nur insoweit ein Nutzungsrecht, als dies zwingend erforderlich ist, um die Arbeitsergebnisse vertragsgemäß zu nutzen. Dem Kunden ist es untersagt, das Vorbestehende IP isoliert an Dritte weiterzugeben, zu vervielfältigen oder außerhalb des vertraglich vereinbarten Zwecks zu verwenden.

§5. Leistungsänderungen und regulatorische Verantwortlichkeit

5.1.
Change Request Verfahren: Will der Auftraggeber den vertraglich vereinbarten Umfang der Leistungen ändern, hat er dies Q-Bridge schriftlich mitzuteilen. Q-Bridge wird die Änderungswünsche prüfen und dem Auftraggeber mitteilen, ob die Änderung technisch möglich ist und welche Auswirkungen sie auf die Vergütung und den Zeitplan hat.
5.2.
Fortführung der Arbeiten: Bis zum Abschluss einer schriftlichen Änderungsvereinbarung werden die Arbeiten nach dem ursprünglichen Einzelauftrag fortgeführt, es sei denn, der Auftraggeber weist schriftlich eine Unterbrechung an.
5.3.
Fachliche Verantwortlichkeit des Auftraggebers: Der Auftraggeber trägt die alleinige Verantwortung für die fachliche, inhaltliche und regulatorische Richtigkeit der von ihm vorgegebenen Daten, Dokumente und Prozessabläufe (insbesondere im Hinblick auf die Einhaltung der MDR, IVDR oder ISO 13485).
5.4.
Haftungsfreistellung bei regulatorischer Ablehnung: Q-Bridge prüft die im Rahmen der Beratung erstellten Konzepte oder Konfigurationen auf technische Funktionalität und Übereinstimmung mit den Anforderungen des Einzelauftrags. Eine Haftung für die finale Akzeptanz, Zulassungsfähigkeit oder Zertifizierungsfähigkeit dieser Prozesse durch Benannte Stellen (Notified Bodies) oder Behörden ist ausgeschlossen, sofern Q-Bridge die fachlichen Vorgaben des Auftraggebers lediglich technisch oder konzeptionell umgesetzt hat. Q-Bridge schuldet eine fachgerechte Dienstleistung nach dem Stand der Technik, jedoch keine Garantie für das Bestehen eines Audits oder einer Zertifizierung.

Teil C

Besondere Bedingungen für Cloud-Plattformen & Konfektionierung

§1. Anwendungsbereich und Leistungsgegenstand

1.1.
Ergänzender Geltungsbereich: Die Regelungen dieses Abschnitts gelten ergänzend zu den Bestimmungen in Teil A und Teil B für alle Verträge, welche die Bereitstellung von Software-Plattformen von Drittanbietern (Software-as-a-Service, nachfolgend „SaaS“) sowie deren kundenspezifische Konfiguration, Parametrisierung und Modellierung (Konfektionierung) durch Q-Bridge zum Gegenstand haben.
1.2.
Bereitstellung von Cloud-Diensten: Q-Bridge stellt dem Kunden den Zugang zu Cloud-basierten Softwarelösungen bereit. Die Software wird nicht auf den lokalen IT-Systemen des Kunden installiert, sondern auf einer durch den jeweiligen Drittanbieter oder durch Q-Bridge bereitgestellten IT-Infrastruktur betrieben und dem Kunden über das Internet zugänglich gemacht.
1.3.
Konfiguration für Qualitätsmanagement-Prozesse: Gegenstand der Leistung ist zudem die Anpassung und Konfiguration der Softwareplattform an die spezifischen Qualitätsprozesse des Kunden. Dies umfasst insbesondere die Einrichtung und Modellierung von Modulen für das Abweichungsmanagement (CAPA), das Reklamationsmanagement (Complaint-Management), das Audit-Management oder das Dokumentenlenkungs-Management gemäß den Vorgaben regulatorischer Standards (z. B. MDR, ISO 13485).

§2. Bereitstellung von Drittsoftware und Lizenzen

2.1.
Geltung von Herstellerbedingungen (EULA): Sofern Q-Bridge dem Kunden Softwarelizenzen oder SaaS-Zugänge von Drittanbietern vermittelt oder unterlizenziert, gelten zusätzlich die jeweiligen End-nutzer-Lizenz- und Nutzungsbedingungen (EULA) sowie die Service Level Agreements (SLA) des jeweiligen Softwareherstellers. Der Kunde verpflichtet sich ausdrücklich zur Einhaltung dieser Bedingungen und stellt Q-Bridge von allen Ansprüchen frei, die aus einer Verletzung dieser Herstellerbedingungen durch den Kunden resultieren.
2.2.
Gewährleistungs- und Haftungsausschluss für Drittinfrastruktur: Wenn Q-Bridge lediglich als Vermittler oder Reseller der Drittanbieter-Software auftritt, ist Q-Bridge für die kontinuierliche technische Verfügbarkeit, die Wartung, den fehlerfreien Betrieb sowie die Datensicherung der IT-Infrastruktur des Drittanbieters nicht verantwortlich. Die Mängelhaftung und der Support für die Grundfunktionen der Software richten sich ausschließlich nach den Bedingungen des jeweiligen Herstellers. Die primäre Pflicht von Q-Bridge beschränkt sich in diesem Fall auf die ordnungsgemäße Vermittlung des Zugangs sowie die separat vereinbarte Konfigurationsleistung.

§3. Prozessmodellierung, IP-Schutz und Nutzungsrechte an Konfigurationen

3.1.
Modellierung nach Kundenvorgaben: Die Modellierung und Konfiguration von Unternehmens- und Qualitätsprozessen innerhalb der Softwareplattform erfolgt auf der Grundlage der spezifischen Vorgaben und Dokumente des Kunden. Die Verantwortung für die inhaltliche Richtigkeit dieser Vorgaben trägt ausschließlich der Kunde.
3.2.
Urheberrechtlicher Schutz der Konfigurationslogiken: Der Kunde erkennt an, dass alle von Q-Bridge eingebrachten, genutzten und im Rahmen des Auftrags entwickelten Konfigurationslogiken, Best-Practice-Datenmodelle, Workflow-Strukturen, Skripte und Validierungstemplates das proprietäre geistige Eigentum von Q-Bridge darstellen bzw. Q-Bridge die ausschließlichen Rechte daran zustehen.
3.3.
Einräumung von zeitlich befristeten Nutzungsrechten: Q-Bridge räumt dem Kunden an den spezifischen Konfigurationsergebnissen, Datenmodellen und Workflows ein einfaches, nicht übertragbares, nicht unterlizenzierbares und auf die Laufzeit des jeweiligen Einzelauftrags (SaaS-Laufzeit) befristetes Nutzungsrecht für eigene interne Zwecke ein.
3.4.
Recht zur anonymisierten Zweitverwertung: Q-Bridge bleibt ausdrücklich berechtigt, die im Rahmen der Konfektionierung und Systemanpassung erarbeiteten Strukturen, Modelle, Workflows und Logiken in vollständig anonymisierter Form (ohne jeglichen Bezug auf geschützte Betriebsdaten, Geschäftsgeheimnisse oder die Identität des Kunden) für die Beratung, Entwicklung und Software-Konfiguration bei anderen Kunden zu verwenden
3.5.
Verbot von Reverse Engineering und Kopieren: Jede Form des „Reverse Engineering“, der Dekompilierung, der Disassemblierung oder des Kopierens der von Q-Bridge erstellten Datenmodelle und Konfigurationsstrukturen zur Nutzung in Drittsystemen oder zur Nachahmung ist dem Kunden untersagt.
3.6.
Zahlungsbedingter Rechtevorbehalt: Die Einräumung der Nutzungsrechte an den konfektionierten Datenmodellen, Konfigurationen und Workflows steht unter der aufschiebenden Bedingung der voll-ständigen und vorbehaltlosen Zahlung der für die jeweiligen Konfigurationsleistungen vereinbarten Vergütung.
3.7.
Rechtsfolgen bei Zahlungsverzug (Nutzungsentzug und Sperrung): Gerät der Kunde mit der Zahlung fälliger Forderungen für die Konfigurationsleistungen in Verzug, erlöschen die dem Kunden eingeräumten Nutzungsrechte an den betroffenen Konfigurationen und Modulen nach vorheriger schriftlicher Androhung und Ablauf einer angemessenen Nachfrist automatisch. Q-Bridge ist in diesem Fall berechtigt, die Nutzung der entsprechenden Module und Konfigurationen technisch zu unterbinden oder den Zugriff darauf zu sperren, bis alle Rückstände vollständig ausgeglichen sind.

§4. Laufzeit, Kündigung, Sperrung und Datenherausgabe bei Vertragsbeendigung

4.1.
Vertragslaufzeit und ordentliche Kündigung: Die Laufzeit für die Bereitstellung der Software (SaaS) richtet sich nach den Vereinbarungen im jeweiligen Einzelauftrag. Sofern dort nicht anders vereinbart, verlängert sich der Vertrag bzw. der Softwarezugang automatisch um die ursprüngliche Laufzeit (höchstens jedoch um jeweils ein weiteres Jahr), wenn er nicht fristgerecht gekündigt wird. Ist im Einzelauftrag keine gesonderte Kündigungsfrist festgelegt, beträgt die Kündigungsfrist einen (1) Monat zum Ende der jeweiligen Laufzeit. Jede Kündigung bedarf zu ihrer Wirksamkeit der Schriftform oder Textform (eine Übermittlung per E-Mail ist ausreichend).
4.2.
Vorübergehendes Sperrrecht bei erheblichem Verzug: Q-Bridge ist berechtigt, den Zugang des Kunden zur Software vorübergehend zu sperren, wenn der Kunde mit der Zahlung der fälligen Lizenz-, Nutzungs- oder Konfigurationsgebühren um mehr als dreißig (30) Tage in Verzug gerät oder trotz vorheriger Textform-Abmahnung schwerwiegend oder fortgesetzt gegen wesentliche Nutzungsbedingungen dieses Vertrages verstößt. Der Vergütungsanspruch von Q-Bridge bleibt für den Zeitraum der berechtigten Sperrung in voller Höhe bestehen.
4.3.
Datenherausgabe und IP-Schutz bei Vertragsbeendigung: Bei Beendigung des Vertrages ist Q-Bridge verpflichtet, dem Kunden die von ihm im System gespeicherten Kundenrohdaten (Nutzdaten) in einem gängigen, maschinenlesbaren Format (z. B. .csv oder .xlsx) per Download oder Datenträger zur Verfügung zu stellen. Die Datenbereitstellung erfolgt nach Wahl von Q-Bridge. Ein Anspruch des Kun-den auf Herausgabe, Kopie oder Migration der von Q-Bridge entwickelten Konfigurationslogik, der Workflows, Skripte oder der proprietären Datenmodelle besteht ausdrücklich nicht. Nach erfolgreicher Übergabe der Rohdaten und Ablauf gesetzlicher Aufbewahrungsfristen ist Q-Bridge berechtigt und verpflichtet, die Daten des Kunden im System unwiderruflich zu löschen.

§5. Mängelhaftung und regulatorischer Gewährleistungsausschluss

5.1.
Gewährleistung der Anforderungskonformität: Q-Bridge gewährleistet, dass die kundenspezifische Konfiguration und Modellierung der Softwareplattform den im jeweiligen Einzelauftrag ausdrücklich dokumentierten und von beiden Parteien freigegebenen Anforderungen und Spezifikationen entspricht.
5.2.
Ausschluss der behördlichen und regulatorischen Anerkennungsgarantie: Der Kunde erkennt an, dass die Modellierung und Parametrisierung von Qualitätsprozessen (z. B. CAPA- oder Audit-Module) in erheblichem Maße von der inhaltlichen Qualität, Vollständigkeit und Richtigkeit der vom Kunden bereitgestellten Informationen sowie von der individuellen Auslegung der jeweiligen Auditoren abhängt. Q-Bridge übernimmt daher keine Mängelhaftung, Gewährleistung oder Garantie dafür, dass die konfigurierten Prozesse oder die Softwareplattform eine regulatorische Anerkennung, Freigabe oder Zertifizierung durch Behörden oder Benannte Stellen (Notified Bodies) erhalten, es sei denn, eine solche spezifische Anerkennung wurde im Einzelauftrag ausdrücklich und schriftlich als verschuldensunabhängige Beschaffenheitsgarantie vereinbart.

§6. Systemvoraussetzungen und Kundeninfrastruktur

6.1.
Verantwortung für die Systemumgebung: Der Kunde ist für die Bereitstellung, Einrichtung und kontinuierliche Aufrechterhaltung der für die Nutzung der Cloud-Software erforderlichen Systemumgebung (insbesondere ausreichend dimensionierte Hardware, stabile Internetverbindung mit ausreichender Bandbreite sowie die Nutzung aktueller und unterstützter Browserversionen) allein verantwortlich.
6.2.
Ausschluss von Mängeln bei kundenseitigen Infrastrukturfehlern: Funktionsstörungen, Ausfälle oder Leistungsminderungen der Softwareplattform, die auf eine unzureichende oder fehlerhafte IT-Infrastruktur des Kunden, Fehlbedienungen durch dessen Personal oder auf Inkompatibilitäten mit dessen lokaler IT-Umgebung (z. B. lokale Firewalls, Proxyserver oder Sicherheitssoftware) zurückzuführen sind, stellen keinen Mangel der Leistung von Q-Bridge dar und begründen keine Mängelansprüche des Kunden.

Teil D

Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

§1. Gegenstand, Dauer und Zweck der Verarbeitung

1.1.
Gegenstand der Verarbeitung: Q-Bridge erbringt für den Kunden Leistungen im Rahmen der Prozessberatung, Systemkonfiguration und Software-Konfektionierung, bei deren Durchführung ein Zugriff auf oder eine Verarbeitung von personenbezogenen Daten des Kunden nicht ausgeschlossen werden kann. Die Parteien werden hierzu eine separate Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO abschließen.
1.2.
Dauer der Verarbeitung: Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des jeweils zugrunde liegenden Einzelauftrags zuzüglich etwaiger darüber hinausgehender vertraglicher oder gesetzlicher Aufbewahrungs-, Nachweis- oder Löschungsfristen.
1.3.
Zweck und Art der Verarbeitung: Der Zweck der Verarbeitung ist die Bereitstellung, kunden- und regulatorienspezifische Konfiguration, Wartung und Erbringung von Support-Leistungen für die Qualitätsmanagement-Software sowie die Analyse und Strukturierung von Prozessdaten zur Optimierung der Konformität mit regulatorischen Standards (insbesondere MDR und ISO 13485).

§2. Art der Daten und Kreis der Betroffenen

2.1.
Datenkategorien: Stammdaten (Name, Funktion), Kontaktdaten, Qualifikationsdaten (Schulungsnachweise), Auditdaten sowie qualitätsrelevante Prozessdaten (z. B. CAPA-Berichte, Reklamationsdaten).
2.2.
Patientendaten: Sofern der Auftraggeber Q-Bridge Zugriff auf Systeme gewährt, die Patientendaten enthalten (z. B. im Rahmen des Complaint Managements), ist der Auftraggeber verpflichtet, diese vor-ab zu anonymisieren. Sollte dies technisch nicht möglich sein, erstreckt sich dieser AVV auch auf die-se besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO).
2.3.
Betroffene Personen: Mitarbeiter des Auftraggebers, Lieferanten, Auditoren sowie potenziell Patienten/Anwender von Medizinprodukten.

§3. Pflichten der Q-Bridge (Auftragnehmerin)

3.1.
Dokumentierte Weisungsgebundenheit: Q-Bridge verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Kunden – einschließlich im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation –, sofern Q-Bridge nicht durch das Recht der Europäischen Union oder das Recht der Mitgliedstaaten, dem Q-Bridge unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt Q-Bridge dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2.
Vertraulichkeitsverpflichtung des Personals: Q-Bridge gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3.
Technische und organisatorische Maßnahmen (Sicherheit): Q-Bridge trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (die konkret vereinbarten Maßnahmen sind in TEIL E dieser Bedingungen aufgeführt).
3.4.
Unterstützung des Kunden (Betroffenenrechte und Compliance): Q-Bridge unterstützt den Kunden, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Betroffenenrechte. Zudem unterstützt Q-Bridge den Kunden unter Berücksichtigung der Art der Verarbeitung und der Q-Bridge zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Gewährleistung der Datensicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden, Benachrichtigung betroffener Personen sowie Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen).

§4. Unterauftragsverhältnisse

4.1.
Allgemeine Genehmigung für weitere Unterauftragsverarbeiter: Der Kunde erteilt Q-Bridge die allgemeine Genehmigung, weitere Unterauftragsverarbeiter (z. B. Cloud-Hosting-Anbieter wie Microsoft Azure/AWS oder spezialisierte IT-Subunternehmer) hinzuzuziehen.
4.2.
Zweckgebundene Heranziehung und Freigabe von Kern-Unterauftragnehmern: Die Heranziehung von Unterauftragnehmern erfolgt streng zweckgebunden und fallweise, je nach dem im jeweiligen Hauptvertrag oder Einzelauftrag vereinbarten Leistungsumfang. Der Einsatz des nachfolgend genannten Kern-Unterauftragnehmers gilt vom Kunden ausschließlich für den Fall als vorab genehmigt, dass Gegenstand des konkreten Einzelauftrages die Bereitstellung, Lizenzierung oder Nutzung der ALM-Plattform „Orcanos“ ist:
Unterauftragnehmers Sitz des Unternehmens Inhalt / Zweck der Verarbeitung Ort des Rechenzentrums / der Datenspeicherung
Orcanos Ltd. 4 Ariel Sharon (Floor 10)
Givatyim, 5320054
Israel
(Ausschließlich bei Buchung der Orcanos-Plattform): Bereitstellung der Softwarearchitektur, technischer Support (Second/Third-Level), Infrastruktur-Hosting Frankfurt am Main, Deutschland (Zertifiziertes Cloud-Rechenzentrum)
4.3.
Vertragliche Absicherung nach Art. 28 DSGVO: Q-Bridge stellt sicher, dass mit allen hinzugezogenen Unterauftragnehmern vertragliche Vereinbarungen getroffen wurden, welche die Anforderungen des Art. 28 Abs. 3 und 4 DSGVO vollumfänglich erfüllen.
4.4.
Internationaler Datentransfer und physische Datenhoheit: Für den Fall, dass die ALM-Plattform Orcanos genutzt wird und der vorgenannte Unterauftragnehmer zum Einsatz kommt, wird darauf hin-gewiesen, dass für dessen Sitzland (Israel) ein wirksamer Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vorliegt, welcher ein der Europäischen Union gleichwertiges Datenschutzniveau garantiert. Der physische Speicherort der Daten verbleibt auch in diesem Fall vertraglich garantiert innerhalb der Bundesrepublik Deutschland (Region Frankfurt am Main).
4.5.
Informationspflicht und Einspruchsrecht des Kunden: Q-Bridge wird den Kunden über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vorab in Textform informieren. Der Kunde hat das Recht, gegen solche Änderungen inner-halb dieser Frist aus wichtigem, nachweisbarem datenschutzrechtlichem Grund Einspruch zu erheben. Erfolgt kein Einspruch, gilt die Änderung als genehmigt.
4.6.
Gleichwertigkeit der Datenschutzpflichten: Dem Unterauftragsverarbeiter werden vertraglich dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag zwischen Q-Bridge und dem Kunden festgelegt sind. Falls der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt, haftet Q-Bridge gegenüber dem Kunden für die Erfüllung der Pflichten dieses Unterauftragnehmers.

§5. Kontrollrechte des Auftraggebers

5.1.
Recht zur Durchführung von Audits: Der Kunde ist berechtigt, die Einhaltung der gesetzlichen Datenschutzvorschriften und der vertraglichen Vereinbarungen durch Q-Bridge im erforderlichen und angemessenen Umfang selbst oder durch qualifizierte, zur Verschwiegenheit verpflichtete Dritte zu kontrollieren. Solche Kontrollen und Vor-Ort-Prüfungen sind Q-Bridge mit einer angemessenen Frist von mindestens vierzehn (14) Tagen vorab schriftlich anzuzeigen und müssen während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden. Der Kunde trägt die ihm durch die Durchführung der Kontrolle entstehenden Kosten selbst; ein vom Kunden beauftragter Dritter darf kein Mitbewerber von Q-Bridge sein.
5.2.
Unterstützung und Nachweiserbringung: Q-Bridge stellt dem Kunden auf Anfrage alle erforderlichen Informationen und Dokumente zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten erforderlich sind, und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Q-Bridge kann diesen Nachweis auch durch die Vorlage aktueller Testate, Zertifikate (z. B. ISO 27001) oder Audit-Berichte unabhängiger Instanzen erbringen.

§6. Beendigung der Verarbeitung (Löschung und Rückgabe von Daten)

6.1.
Wahlrecht zwischen Löschung und Rückgabe: Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht Q-Bridge nach Wahl des Kunden alle personenbezogenen Daten oder gibt sie dem Kunden zurück und löscht bestehende Kopien, sofern nicht nach dem Recht der Europäischen Union oder dem Recht der Mitgliedstaaten eine gesetzliche Verpflichtung zur weiteren Speicherung der personenbezogenen Daten besteht.
6.2.
Nachweis und Protokollierung der Löschung: Die ordnungsgemäße Löschung oder Vernichtung der Daten wird von Q-Bridge dokumentiert. Auf schriftliches Verlangen des Kunden stellt Q-Bridge diesem eine entsprechende Bestätigung oder ein Löschungsprotokoll zur Verfügung, welches den Nachweis der datenschutzkonformen Vernichtung erbringt.

Teil E

Technische und organisatorische Maßnahmen (TOMS)

Gemäß Art. 32 DSGVO ergreift Q-Bridge die folgenden Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

§1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1.
Zutrittskontrolle: Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden:
Sicherung der Geschäftsräume durch Schließsysteme.
Überwachung von Besucherströmen (Besucherlisten).
Alarmanlage und/oder Sicherheitsdienst, sofern erforderlich.
1.2.
Zugangskontrolle: Verhinderung, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
Einsatz moderner Authentifizierungsverfahren (Passwortkomplexität, Multi-Faktor-Authentifizierung – MFA).
Einsatz von Firewalls und VPN-Technologien für Remote-Zugriffe.
Automatische Bildschirmsperrung bei Inaktivität.
1.3.
Zugriffskontrolle: Gewährleistung, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:
Rollenbasiertes Berechtigungskonzept (Need-to-know-Prinzip).
Protokollierung von Datenzugriffen.
Verschlüsselung von Datenträgern (z. B. BitLocker).
1.4.
Trennungskontrolle: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
Logische Mandantentrennung in den genutzten Cloud-Systemen.
Trennung von Entwicklungs-, Test- und Produktivsystemen.

§2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1.
Weitergabekontrolle: Gewährleistung, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
Nutzung verschlüsselter Übertragungswege (TLS/SSL, HTTPS).
Angebot von E-Mail-Verschlüsselung (S/MIME oder PGP) bei Kommunikation über sensible Qualitätsdaten.
Protokollierung der Datenübermittlung.
2.2.
Eingabekontrolle: Gewährleistung, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
Protokollierung der Eingabe durch personengebundene Benutzerkennungen.

§3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

3.1.
Verfügbarkeitskontrolle: Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Regelmäßige Backups der Konfigurationsdaten.
Nutzung zertifizierter Cloud-Rechenzentren (z. B. ISO 27001) mit Hochverfügbarkeits-Architektur.
Unterbrechungsfreie Stromversorgung (USV) in der genutzten Infrastruktur.
3.2.
Rasche Wiederherstellbarkeit: Einsatz von Disaster-Recovery-Plänen, um die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

§4. Verfahren zur regelmäßigen Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)

4.1.
Datenschutz-Management:
Regelmäßige Schulung der Mitarbeiter auf Datengeheimnis und IT-Sicherheit.
Die Überwachung der Einhaltung der Datenschutzvorschriften erfolgt durch den bestellten Datenschutzbeauftragten der Q-Bridge. Formuliere alle Änderungen aus und
Incident-Response-Prozess zur Meldung von Sicherheitsvorfällen.
4.2.
Auftragskontrolle:
Sorgfältige Auswahl von Unterauftragnehmern (SaaS-Providern).
Regelmäßige Überprüfung der Sicherheitszertifikate der Partner (z.B. SOC 2 Berichte der Plattformbetreiber).