Vertragsbedingungen „Backup as a Service“

Stand 11.05.2018

Inhaltsverzeichnis

Leistungsbeschreibung und
Vertragsbedingungen

§ 1 Allgemeine Beschreibung des Dienstes
1. Backup Software, Backup Hardware
2. Funktionsumfang
3. Speicherstandorte
4. Softwarelizenzen sowie Hardware
5. Zentraler Speicherplatz
6. Sicherungsstandorte
7. Datenspeicherung im zentralen Speicherplatz
8. Datenanbindung


§2 Dienstleisterleistungen
1. Serviceleistungen des Dienstleisters
2. Initiale Installation und Betrieb der Lösung
3. Zugang und Administration
4. Datenrücksicherung
5. Konsistenzprüfung der Datensicherung
6. Zeitfenster für Datentranfers
7. Gesonderte Datenbereitstellung auf physikalischem Datenträger


§3 Verfügbarkeit

§4 Pflichten des Kunden
1. Schutz vor Schadsoftware
2. Dateninhalte
3. Zugangsdaten
4. Meldepflichten
5. Fernwartungszugang
6. Gewährung physischen Zutritts zur Speicher-Infrastruktur beim Kunden
7. Aktualität der Systemkomponenten der zu sichernden Server sowie deren
Virtualisierungshosts
8. Installation von Software des Dienstleisters
9. Einhaltung der DSGVO
10. Verschlüsselung der gesicherten Dateien
11. Erteilung eines SEPA-Lastschriftmandats
12. Risikobewertung der IT-Infrastruktur


§5 Pflichten des Dienstleisters
1. Fehlerbehebung
2. Rücksicherung
3. Rückmeldung


§6 Wartungsarbeiten

§7 Vertragsbeendigung

§ 1 Allgemeine Beschreibung des Dienstes
Die beeam.it GmbH, im folgenden „Dienstleister“ genannt, stellt dem Kunden eine Server- und
Speicherplattform sowie eine Programmanwendung zur Verfügung. Eine geeignete
Speicherhardware für vor Ort Backups zur Durchführung von Datensicherungen muss vom
Kunden separat zur Verfügung gestellt werden.

  1. Backup Software, Backup Hardware
    Backup Software, im folgenden „Software“ genannt und Backup Hardware. Der Dienstleister stellt dem Kunden den Backupdienst auf Basis einer geeigneten Soft- und Hardwarelösung zur Verfügung. Die Software erlaubt es, Daten als Backup auf die lokale Speicherhardware sowie auf eine zentrale, vom Dienstleister betreute Speicherplattform in einem ausgewiesenen Rechenzentrum zu übertragen. Wenn nicht anders vereinbart, erfolgt die Einrichtung des vertraglich vereinbarten Komplettbackups durch den Dienstleister. Anschliessend können einzelne Dateien oder auch Fullbackups wiederhergestellt werden. Der Zeitraum für den Rückgriff auf Daten richtet sich nach verschiedenen Faktoren. Wenn nicht anders vereinbart, beträgt der Zeitraum für den Rückgriff mindestens sieben Tage.
  2. Funktionsumfang
    Der Funktionsumfang richtet sich nach den vom Softwarehersteller jeweils freigegebenen und bereitgestellten Funktionen. Der Dienstleiste nimmt keine eigenständigen Veränderungen in der Software und deren Funktionalität vor. Die Software erstellt bei ordnungsgemäßem Ablauf eine inkrementelle Komplettsicherung pro Tag nebst regelmäßigen synthetischen Vollbackups. Die Sicherung erfolgt vornehmlich nachts. Der Kunde sowie der Dienstleister werden täglich über den Ausgang der Datensicherung informiert. Der vollständige jeweils aktuelle Funktionsumfang der Software ist auf Anfrage erhältlich. Der Dienstleister behält sich vor, die Software aus gegebenem Anlass selbständig zu ändern. Die für die Umsetzung der Änderung erforderlichen Maßnahmen trägt der Dienstleister.
  3. Speicherstandorte
    Die Erbringung des Dienstes „Backup as a Service“ findet an zwei Standorten statt:
    Auf einem geeigneten lokalen Speichermedium in Form eines NAS-System oder ähnlichem Speicherortes im RAID-Verbund vor Ort beim Kunden. Auf dem vertraglich vereinbarten zentralen Speicher (redundant ausgelegt, physikalisch
    getrennt) in einem ausgewiesenen Rechenzentrum. Das Transfervolumen ist nicht begrenzt.
  4. Softwarelizenzen sowie Hardware
    Alle erforderlichen Softwarelizenzen sowie die Hardware für das Backup sind während der Laufzeit im Vertragsentgelt enthalten. Nach Beendigung des Vertragsverhältnisses erlöschen sowohl des Nutzungsrecht an der Software sowie der zur Verfügung gestellten Hardware. Weitere Details sind der jeweils gültigen Preisliste zu entnehmen.
  5. Zentraler Speicherplatz
    Für den Dienst „Backup as a Service“ stellt der Dienstleister dem Kunden den vertraglich vereinbarten zentralen Speicherplatz für dessen Backupdaten bereit. Hierbei handelt es sich um eine „Shared Storage Infrastructure“, auf der die Daten unterschiedlicher Kunden, redundant auf jeweils physikalisch strikt voneinander getrennten Bereichen abgelegt und verwaltet werden. Ein Übergriff auf Daten eines anderen Kunden ist dadurch ausgeschlossen.
  6. Sicherungsstandorte
    Die für die Realisierung der Datensicherungsdienstleistung erforderlichen Komponenten befinden sich an zwei geographisch getrennten Standorten. Im Regelfall in einer maximalen Entfernung von 120 Kilometern. Diese Entfernung ermöglicht den schnellen physischen Zugriff auf die kompletten Daten, auch bei einem totalen Datenverlust an einem der Standorte.
  7. Datenspeicherung im zentralen Speicherplatz
    Alle auf das zentrale Storage übertragenen Daten werden redundant auf zwei unabhängigen und voneinander physikalisch getrennten Speichermedien gespeichert. Zusätzlich zur Speicherung der Daten vor Ort beim Kunden.
  8. Datenanbindung
    Voraussetzung für die Nutzung des Dienstes „Backup as a Service“ ist eine Anbindung über eine ausreichend schnelle IP-Verbindung. Für die ausreichend schnelle und störungsfreie Anbindung ist der Kunde verantwortlich. Ggf. muss der Kunde auf eine schnellere Anbindung umsteigen, damit der Dienstleister die vertraglich vereinbarten Dienste erbringen kann. Der Dienstleister wird den Kunden zeitnah informieren, sollte dessen aktuelle Bandbreite nicht (mehr) ausreichen, um eine einwandfreie Datensicherung zu gewährleisten.

§2 Dienstleisterleistungen

  1. Serviceleistungen des Dienstleisters
    Der Dienstleister stellt Soft- und Hardware für die Durchführung von Backupjobs zur Verfügung und betreibt diese im Zusammenspiel mit dem Kunden. Der Dienstleister stellt dem Kunden einen zentralen Speicherplatz und eine lokale Speicherlösung zur Verfügung. Die Daten werden mit einer aktuell und als Standard definierten, ungebrochenen Verschlüsselung zur zentralen Speicherplattform übertragen. Die Ablage der Daten kann, muss aber nicht verschlüsselt erfolgen. Um den reibungslosen Betrieb zu gewährleisten, kann der Dienstleister nach Absprache mit dem Kunden, die Soft- und Hardware auf dem/den Kundensystem/en zeitnah aktualisieren. Dabei übernimmt der Dienstleister sämtliche dafür erforderlichen Schritte auf den betroffenen Soft- und Hardwarekomponenten. Wenn nicht anders kommuniziert, trägt der Dienstleister die Kosten dafür.
  2. Initiale Installation und Betrieb der Lösung
    Der Dienstleister übernimmt im Rahmen dieses “Backup as a Service-Vertrags“ das Aufstellen der erforderlichen Hardware, sowie die initiale Einrichtung der Vollbackups der zu sichernden Kundensysteme in der Datensicherungssoftware, den Transfer der Daten zum zentralen Datenspeicher, sowie den reibungslosen Betrieb der Lösung während der gesamten Vertragslaufzeit. Dabei gewährt der Kunde dem Dienstleister erforderliche Berechtigungen auf dessen Systemen, um seine Aufgabe während der gesamten Vertragslaufzeit zu erfüllen. Der Dienstleister sichert indes zu, die gewährten Berechtigungen nur für die im Rahmen der Vertragserfüllung erforderlichen Aufgaben einzusetzen.
  3. Zugang und Administration
    Der Kunde ist nicht berechtigt, sich eigenständig Zugriff auf die Managementoberfläche der Backup-Software zu verschaffen, um eigenständig Daten auf oder vom zentralen Datenspeicher für das Backup zu übertragen. Die Backupstrategie wird mit dem Kunden besprochen und vom Dienstleister umgesetzt. Der Kunde darf keine eigenständigen Änderungen an der Backup- Strategie vornehmen.
  4. Datenrücksicherung
    Der Dienstleister oder ein durch den Dienstleister autorisierter Dritter übernimmt im Bedarfsfall die Rücksicherung der Daten zwecks Wiederherstellung. Dabei können sowohl einzelne Dateien oder auch ein Vollbackup wiederhergestellt werden. Die Rücksicherung von Daten wird durch den Dienstleister oder einen autorisierten Dritten nach Aufwand und zu dem zum Zeitpunkt der Erbringung der Leistung gültigen Stundensatz erbracht.
  5. Konsistenzprüfung der Datensicherung
    Die Konsistenzprüfung der Vollbackups wird durch die Software vorgenommen. Wenn nicht anders vereinbart, erfolgt einmal im Jahr eine turnusmässige Rücksicherung in Verbindung mit einer manuellen Konsistenzprüfung durch den Dienstleister oder einen durch ihn autorisierten Dritten. Das Ergebnis wird dem Kunden nach Abschluss des Checks umgehend per E-Mail mitgeteilt.
  6. Zeitfenster für Datentranfers
    Der Zeitaufwand für die Datensicherung ist abhängig von Art und Beschaffenheit der zu sichernden Daten, der zur Verfügung stehenden Bandbreite und dem Datenvolumen. Eine Gewährleistung über die Einhaltung von eventuell vereinbarten Zeitfenstern für einzelne Sicherungen und/oder Rücksicherungen kann daher nicht übernommen werden. Zeitfenster gelten als Orientierungshilfe. Der Kunde erhält nach jeder Datensicherung eine Auswertung des beanspruchten Zeitfensters und kann dieses mitgestalten.
  7. Gesonderte Datenbereitstellung auf physikalischem Datenträger
    Im Bedarfsfall kann gegen gesondertes Entgelt aufgrund der physikalischen Nähe zum zentralen Speicherort ein „Kurier“ des Dienstleisters den/die erforderlichen physischen Datenträger direkt zum Kunden bringen. Hierdurch ist die schnellstmögliche Wiederherstellungszeit garantiert.

§3 Verfügbarkeit

  1. Die Verfügbarkeit wird durch eine redundante „Backup as a Service-Infrastruktur“ im Rechenzentrum und vor Ort beim Kunden sichergestellt. Der Service des Dienstleisters steht dem Kunden mit 99,9 % im Jahresmittel zur Verfügung. Der Dienst gilt als erbracht, wenn ein Backup erstellt werden konnte. Ausfallzeiten bedingt z.B. durch Ausfall der Internetanbindung oder des Servers des Kunden zählen nicht als Ausfallzeit im oben genannten Sinne, da diese nicht durch vom Dienstleister zu vertretende Gründe herbeigführt worden sind.

§4 Pflichten des Kunden

  1. Schutz vor Schadsoftware
    Bevor eine Online-Datensicherung auf die zentrale Speicherinfrastruktur vorgenommen wird, sorgt der Kunde im Rahmen des regelmäßigen IT-Betriebs durch Nutzung branchenüblicher Virenschutzsoftware nach bestem Wissen und Gewissen für die Freiheit der zu sichernden Daten von Viren, Trojanern und anderer Schadsoftware (siehe AGB).
  2. Dateninhalte
    Der Kunde sichert zu, keine Daten zu übermitteln, welche Dritte in ihren Rechten verletzen, gegen das geltende Recht verstoßen oder verbotene extremistische Themen beinhalten (siehe AGB). Der Kunde stellt den Dienstleister ausdrücklich von
    Ansprüchen Dritter bezüglich seiner übermittelten Daten frei.
  3. Zugangsdaten
    Der Kunde erhält vom Dienstleister Zugangsdaten und verpflichtet sich, diese gesichert aufzubewahren, regelmäßig zu ändern, sowie einen entdeckten Diebstahl dem Dienstleister unverzüglich zu melden (siehe AGB).
  4. Meldepflichten
    Der Kunde verpflichtet sich, durch geeignete Maßnahmen, jeden Tag das Backup-Protokoll zu sichten und Fehler sowie Warnungen unverzüglich zu melden. Erst nach dem Eingang der Fehlermeldung durch den Kunden und Bestätigung des
    Erhalts durch den Dienstleister, beginnt dieser mit der Fehlerdiagnose und anschliessender Behebung. Dies kann entweder über das KIS (KundenInformationsSystem), das über eine Weboberfläche erreichbar ist, die Zugangsdaten liegen dem Kunden vor oder per E-Mail an die schriftlich kommunizierte E-Mailadresse erfolgen. Aufgrund der eingeschränkten Möglichkeit der Nachverfolgung, ist die alleinige telefonische Kontaktaufnahme im Falle eines Fehlers nicht ausreichend.
    Warnungen und Erfolgsmeldungen müssen in der Regel nicht kommuniziert werden, da diese seitens der Backup-Software nicht als kritisch eingestuft werden und somit die Integrität des Vollbackups nicht wesentlich beeinflussen. Über das KIS kann der Kunde jederzeit den Bearbeitungsstatus eines offenen Tickets einsehen und Bemerkungen hinzufügen.
  5. Fernwartungszugang
    Der Kunde ermöglicht dem Dienstleister einen Fernwartungszugriff auf eigene Rechnung zur Fernbetreuung der Backup-Software auf dem/den System/en des Kunden. Der Dienstleister wird hierzu eine branchenübliche, sichere Fernwartungslösung einsetzen.
  6. Gewährung physischen Zutritts zur Speicher-Infrastruktur beim Kunden
    Der Kunde ermöglicht dem Dienstleister bei Bedarf zeitnahen und ggf. auch ausserordentlichen Zugang zu der zu diesem Vertrag gehörenden Speicherinfrastuktur in dessen Räumlichkeiten. Der Zugang kann erforderlich werden, wenn ein Fehler im Backup-System durch die vor Ort beim Kunden stehende Speicherinfrastruktur verursacht worden ist und somit nur vor Ort behoben werden kann. Sollten sich Verzögerungen bei der Gewährung des Zutritts durch den Kunden ergeben, so entbindet dies den Dienstleister von der Haftung.
  7. Aktualität der Systemkomponenten der zu sichernden Server sowie deren Virtualisierungshosts
    Der Kunde sorgt für die Aktualität der Systemkomponenten der zu sichernden Server sowie deren Virtualisierungshosts. Da die Backupsoftware stark mit dem jeweiligen Serverbetriebssystem verbunden ist, kann ein störungsfreier Backup-Betrieb nur bei aktuellem Betriebssystempatchstand gewährleistet werden. Die Aktualisierung der zu sichernden Serversysteme ist nicht Bestandteil dieses Vertrags und muss gesondert erbracht werden. Der Dienstleister ist nur für die Aktualität der Backupsoftware und deren Pflege innerhalb dieser Vereinbarung zuständig.
  8. Installation von Software des Dienstleisters
    Zwecks Durchführung der in diesem Vertrag beschriebenen Dienstleistung „Backup as a Service“ ermöglicht der Kunde dem Dienstleister, auf dessen Systeme/n die Installation der Backup-Software sowie den Einsatz einer geeigneten Monitoring-Lösung zur Überwachung der korrekten Funktionsweise derselben. Die eingesetzten Komponenten erfüllen höchste Ansprüche an die Datensicherheit und Zuverlässigkeit.
  9. Einhaltung der DSGVO
    Der Kunde ist für die Einhaltung der DSGVO verantwortlich. Dies ist insbesondere dann wichtig, wenn Löschungspflichten seitens Dritter bestehen, die auch die Löschung der Daten in der Datensicherung betreffen. Ebenfalls müssen diese Pflichten bei einer Rücksicherung von Daten eingehalten werden. Auch wenn die Datenrücksicherung seitens des Dienstleisters vorgenommen wird, ist der Kunde für die Einhaltung der DSGVO verantwortlich.
  10. Verschlüsselung der gesicherten Dateien
    Die Datensicherung kann vereinbarungsgemäß verschlüsselt abgelegt werden. Ist dies der Fall, so ist alleinig der Kunde für die Bereitstellung des Verschlüsselungsschlüssels zur Entschlüsselung, der zwingend für eine Rücksicherung erforderlich wird, verantwortlich. Ohne diesen Schlüssel ist keine Datenwiederherstellung möglich. Der Schlüssel kann nicht rekonstruiert werden!
  11. Erteilung eines SEPA-Lastschriftmandats
    Soweit nicht anders vereinbart, erfolgen Zahlungen des Kunden durch SEPA-Lastschrifteinzug. Der Kunde erteilt dem Dienstleister, sofern nicht abweichend vereinbart, ein Mandat zum SEPA-Basislastschriftverfahren, um alle im Rahmen des Vertragsverhältnisses anfallenden Entgelte einzuziehen. Das Mandat gilt auch für vom Kunden mitgeteilte neue Bankverbindungen. Der Dienstleister kündigt dem Kunden den entsprechenden Lastschrifteinzug rechtzeitig vorab an (sog. Pre-Notification). Diese Ankündigung erfolgt mindestens einen Werktag vor der Abbuchung per E-Mail an den Zahlungspflichtigen. Der Kunde hat dafür Sorge zu tragen, dass sein Konto im vereinbarten Abbuchungszeitraum ausreichende Deckung aufweist. Der Kunde ist verpflichtet, dem Dienstleister den durch eine etwaige Zahlungsverweigerung des kontoführenden Instituts entstehenden Schaden zu ersetzen (siehe AGB).
  12. Risikobewertung der IT-Infrastruktur des Kunden
    Der Kunde ist in diesem Zusammenhang gehalten, eine Risikoabschätzung seiner kompletten Serverinfrastruktur auf Basis der Verfügbarkeit vorzunehmen. D.h. eine Risikoabschätzung unter dem Aspekt der Bedeutung einer Betriebsunterbrechung für einen Tag, eine Woche, einen Monat. Hier spielen das finanzielle Risiko, das rechtliche Risiko (z.B. Vertragsstrafen) sowie die Rufschädigung eine wesentliche Rolle. Dies erfordert die Betrachtung
    – des SLA (Service Level Agreement) aller Komponenten der gesamten Infrastruktur sowie deren Alter.
    – der redundant ausgelegten Systeme und der damit verfolgten Strategie.
    – möglicher Gefahren, wie z.B. Ausbruch von Schadsoftware, Einbruch, Diebstahl, Hitze, Feuer, Wasser usw.
    – der Patch- und Firmwarestände aller IT-Systeme, insbesondere der Server und der Netzwerkinfrastruktur.
    – der Aktualität von Virenscanner, Spamfilter und sonstiger Sicherheitssysteme.
    – einer ungewollten oder unautorisierten Datenlöschung von innen oder aussen.
    – usw.
    Ziel sollte es sein, daß nahezu alle Möglichkeiten für eine Betriebsunterbrechung der Geschäftsführung des Kunden bekannt sind und die Risiken von ihr getragen werden. Entweder mit der aktuell vorhandenen Infrastruktur oder durch die sinnvolle Erweiterung der IT-Infrastruktur zwecks Risikominimierung. Hinweis: Darüber hinaus ist eine Risikoabschätzung auf Basis der
    Vertraulichkeit sowie der Integrität sinnvoll.

§5 Pflichten des Dienstleisters

  1. Fehlerbehebung
    Der Dienstleister verpflichtet sich, gemeldete Fehler seitens der Backup-Software unverzüglich zu sichten und zu Kategorisieren. Handelt es sich um einen Fehler innerhalb der Backup-Infrastruktur zu diesem Vertrag, so wird die Fehlerbehebung umgehend eingeleitet und am selben Tag behoben (Bedingungen siehe §4 Abs 5 und 6). Die aufgetretenen Fehlermeldungen werden im Ticketsystem des Dienstleisters erfasst und können jederzeit vom Kunden eingesehen
    werden.
  2. Rücksicherung
    Im Falle einer benötigten Rücksicherung wird der Dienstleister, wenn nicht anders vereinbart, innerhalb von 4 Stunden ab Mitteilung des Kunden, innerhalb der vertraglich vereinbarten Servicezeiten, mit der Rücksicherung beginnen. Die Dauer der Datenrücksicherung ist abhängig vom Umfang des Datenvolumens und der Übertragungsgeschwindigkeit. Die Rücksicherung wird gegen gesondertes Entgelt nach Aufwand vorgenommen.
  3. Rückmeldung
    Der Dienstleister teilt dem Kunden die erfolgreiche Beseitigung des Fehlers oder den Abschluss der Rücksicherung im Ticketsystem und zusätzlich per E-Mail mit. Wenn vom Kunden gewünscht, kann die Benachrichtigung zusätzlich telefonisch erfolgen.

§6 Wartungsarbeiten
Wartungsarbeiten an den Systemen des Dienstleisters sowie an den Systemen des Kunden werden in der Regel sieben Tage im voraus angekündigt, wenn sie die Bereitstellung des Dienstes beeinträchtigen oder den Kunden in seinem Tagesgeschäft einschränken. Hierbei wird die voraussichtliche Länge der Wartungsarbeiten in Form eines Wartungsfensters in geeigneter
Form mitgeteilt. Der Dienst steht während der Wartungsarbeiten gegebenenfalls nicht oder nur eingeschränkt zur Verfügung. Der Dienstleister behält sich vor, Wartungsarbeiten an dessen Systemen, die ausserhalb eines Sicherungs-/Rücksicherungsjobs stattfinden, und/oder die Bereitstellung des Dienstes nicht merklich beeinflussen, auch ohne vorherige Ankündigung
vorzunehmen. Der Dienstleister sorgt in diesem Falle dafür, daß keine Aktivitäten zum Zeitpunkt der Warungsarbeiten stattfinden. Wartungszeiten im Rahmen eines Wartungsfensters haben keinen Einfluß auf die zugesicherte Verfügbarkeit (siehe §3).

§7 Vertragsbeendigung
Nach der Vertragsbeendigung durch Kündigung, Ablauf, ausserordentliche Kündigung oder Aufhebung, siehe AGB https://beeam.it/agb , kann eine Übergabe der gespeicherten Daten vom Dienstleister an den Kunden entgeltlich erfolgen, wenn dieser es wünscht. Anschliessend löscht der Dienstleister die Daten des Kunden im zentralen Speicher sowie auf dem Medium vor Ort unverzüglich. Zugänge zum KIS werden deaktiviert, Softwarelizenzen gekündigt sowie die bei Vertragsbeginn ausgehändigte Hardware wieder eingezogen. Ausserdem wird die Löschung der kundenbezogenen Daten, die aufgrund des Vertragsverhältnisses an Dritte übermittelt werden mussten, beantragt. Der Fernzugang des Dienstleisters auf das/die Kundensystem/e wird
beiderseits deaktiviert. Die Wiederherstellung von Daten ist danach nicht mehr möglich.