Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
(zur Ergänzung der ilert Allgemeinen Geschäftsbedingungen – https://www.ilert.com/legal/terms-and-conditions)
Zuletzt aktualisiert: 01.04.2025 – UNTERZEICHNUNG AUSSTEHEND
Hinweis: In eckigen Klammern […] sind Felder, die die Parteien bei Unterzeichnung ausfüllen.
Diese DORA‑Zusatzvereinbarung ("Zusatz") wird am [Datum] geschlossen zwischen:
Unternehmen und Anbieter sind jeweils eine "Partei" und gemeinsam die "Parteien".
1. Dieser Zusatz ergänzt die jeweils aktuelle Fassung der ilert Allgemeinen Geschäftsbedingungen ("AGB").
2. Bei Widersprüchen zwischen Dokumenten hat dieser Zusatz Vorrang hinsichtlich der Anforderungen der Verordnung (EU) 2022/2554 (“DORA”).
3. Nicht anderweitig definierte, großgeschriebene Begriffe haben die Bedeutung der AGB oder von Art. 3 DORA.
1. Der Anbieter erfüllt oder übertrifft die Service Levels.
2. Bei Nichteinhaltung eines Service Levels muss der Anbieter:
3. Die Parteien überprüfen die Service Levels jährlich und können Anlage A schriftlich anpassen.
1. Der Anbieter darf IKT‑Dienstleistungen nur gemäß diesem Abschnitt 5 und der AVV unterbeauftragen.
2. Der Anbieter erbringt Leistungen ausschließlich von Zulässigen Standorten.
3. Der Anbieter informiert das Unternehmen mindestens 30 Kalendertage im Voraus schriftlich über neue oder ersetzende Sub‑Prozessoren oder Verarbeitungsstandorte. Das Unternehmen kann aus berechtigten Gründen innerhalb dieser Frist schriftlich widersprechen; die Parteien arbeiten in gutem Glauben an einer Lösung.
1. Sicherheitskontrollen: Der Anbieter unterhält ein ISO 27001‑zertifiziertes ISMS, erzwingt Least‑Privilege‑Prinzipien, verschlüsselt Daten in Transit und at Rest und überwacht die Einhaltung.
2. Vorfallsmeldung: Der Anbieter informiert das Unternehmen ohne unangemessene Verzögerung, spätestens jedoch innerhalb von 4 Stunden nach Bestätigung eines Schwerwiegenden IKT‑Vorfalls. Die Meldung umfasst bekannte Ursachen, Umfang, Auswirkungen, Sofortmaßnahmen und Zeitpunkt der nächsten Aktualisierung. Folge‑Updates erfolgen mindestens alle 4 Stunden; ein schriftlicher Abschlussbericht wird binnen 5 Werktagen bereitgestellt.
3. Incident‑Unterstützung: Der Anbieter leistet kostenfreie Unterstützung bei Untersuchung, Forensik, Anfragen von Aufsichtsbehörden und Abschlussberichten.
4. Resilienz‑Tests: Der Anbieter kooperiert ohne Zusatzkosten angemessen bei Resilienztests des Unternehmens, einschließlich TLPT und Table‑Top‑Übungen, und behebt festgestellte Befunde innerhalb vereinbarter Fristen.
5. Schulungen & Awareness: Auf angemessene Anforderung nimmt der Anbieter an vom Unternehmen initiierten Schulungen oder Übungen zur IKT‑Sicherheit bzw. operationellen Resilienz teil, soweit für die Leistungen relevant.
1. Der Anbieter unterhält einen BCP/DR‑Plan mit RTO ≤ 60 Min. und RPO ≤ 15 Min., der mindestens jährlich getestet wird.
2. Bei Vertragsbeendigung oder Insolvenz des Anbieters:
a. erbringt der Anbieter die Leistungen auf Wunsch des Unternehmens bis zu 60 Tage („Transition‑Periode“) kostenlos weiter, um eine geordnete Migration zu ermöglichen; und
b. gewährt Step‑In‑Rechte auf Systeme mit Unternehmensdaten oder liefert einen vollständigen Datenexport (JSON/CSV) binnen 5 Werktagen. Selbstbedienungs‑Exporte bleiben 30 Tage nach Vertragsende verfügbar.
1. Das Unternehmen, seine Prüfer oder zuständige Behörden können den Anbieter einmal pro Vertragsjahr (remote oder vor Ort) auditieren; zusätzliche Audits nach Schwerwiegenden IKT‑Vorfall oder behördlicher Vorgabe sind zulässig.
2. Der Anbieter gewährt angemessenen Zugang zu Räumlichkeiten (physisch oder virtuell), Personal, Systemen und Dokumentation.
3. Der Anbieter arbeitet mit Aufsichts‑, Abwicklungs‑ oder anderen zuständigen Behörden gemäß Art. 38 DORA vollständig zusammen, einschließlich während TLPT‑Beobachtungen.
Der Anbieter informiert das Unternehmen unverzüglich schriftlich über jede Wesentliche Entwicklung, die die Leistungserbringung oder Gesetzes‑Compliance des Anbieters wesentlich beeinträchtigen könnte.
Das Unternehmen kann den MSA/Zusatz mit sofortiger Wirkung kündigen, wenn:
Der Anbieter behandelt sämtliche Vertraulichen Informationen streng vertraulich, gibt sie nur an autorisierte Personen unter gleichwertigen Verpflichtungen weiter und hält anwendbares Recht ein.
Kennzahl
Ziel & Zeitraum
Definition
Zustellung von Alarm‑
Benachrichtigungen
≥ 99,9 % Zustellung der Ersthelfer‑Alarme an Telko/Push‑Provider innerhalb von 5 Min. pro Kalendermonat
Entspricht ToS § 6.1.1
Web‑
Applikationsverfügbarkeit
≥ 99,9 % Uptime pro Kalendermonat
Entspricht ToS § 6.1.2
Ausnahmen: Höhere Gewalt & Ursachen außerhalb der Kontrolle des Anbieters (vgl. ToS § 6.2).
Komponente
Region
Verarbeitung
Speicherung
Active Region 1
AWS eu‑central‑1 (Frankfurt)
✔️
✔️
Active Region 2
AWS eu‑north‑1 (Stockholm)
✔️
✔️
Siehe https://www.ilert.com/legal/subcontractors – Aktualisierungen gemäß Abschnitt 5.
Der Anbieter überprüft diesen Zusatz mindestens jährlich und aktualisiert ihn, um die DORA‑Compliance sowie einschlägige technische Regulierungsstandards einzuhalten. Der Anbieter informiert das Unternehmen 30 Tage im Voraus über Änderungen; erhebt das Unternehmen keinen Widerspruch innerhalb dieser Frist, gelten die Änderungen als angenommen.
Unternehmen
Anbieter
[Name, Title]
[Name, Title]
Datum: [‑‑‑]
Datum: [‑‑‑]
© 2025 ilert GmbH – Vorlage für Kunden; wird erst nach Unterzeichnung verbindlich.
