Allgemeine Geschäftsbedingungen (AGB)

Die Dernium GmbH i.G. ist Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 und erbringt im Bereich der Telekommunikationsdienste ausschließlich nummernunabhängige interpersonelle Telekommunikationsdienste. Vor Vertragsschluss wird hiermit darauf hingewiesen, dass nach § 71 Abs. 4 TKG die §§ 52 bis 67 TKG (insbesondere die dort geregelten besonderen Verbraucherschutz-, Vertragsinformations- und Anbieterwechsel-Pflichten) auf den Dienst Dernium Meet keine Anwendung finden. § 71 Abs. 2 TKG und die übrigen anwendbaren Vorschriften (§§ 51, 68, 69, 70 TKG) bleiben unberührt.

Über Dernium Meet kann der Notruf 112 oder eine andere amtliche Notrufnummer nicht erreicht werden. Notrufe sind ausschließlich über das öffentliche Telefonnetz oder ein Mobilfunknetz möglich. Nutzer werden gebeten, für Notrufzwecke einen geeigneten alternativen Kommunikationsweg vorzuhalten.

Dernium Meet nutzt keine Rufnummern eines nationalen oder internationalen Nummernplans. Eine Aufnahme in öffentliche Teilnehmerverzeichnisse, ein Rufnummern-Übertragungsdienst oder eine Anbieter-Vorauswahl sind technisch nicht möglich und nicht Vertragsbestandteil.

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen zur Sicherheit des Dienstes nach dem Stand der Technik (§ 166 TKG). Audio-, Video- und Textinhalte werden im Endgerät jedes Teilnehmers verschlüsselt, bevor sie den Konferenzserver erreichen (Frame-Ende-zu-Ende-Verschlüsselung über alle Teilnehmer auf Basis MatrixRTC/Element Call). Der Konferenzserver vermittelt ausschließlich die verschlüsselten Pakete und kann deren Inhalt technisch nicht entschlüsseln. Eine serverseitige Aufzeichnung der Konferenzinhalte ist damit technisch ausgeschlossen. Metadaten (Anwesenheit, Raum-Mitgliedschaft, Teilnahme-Zeitpunkte) bleiben für den Anbieter sichtbar; sie sind für die Diensterbringung erforderlich. Sicherheits- oder Datenschutz-Vorfälle, die den Dienst betreffen, werden unverzüglich gemäß § 168 TKG und Art. 33 DSGVO an die zuständigen Behörden gemeldet; betroffene Kunden werden in Textform unterrichtet.

Der Anbieter berücksichtigt im Rahmen der Weiterentwicklung des Dienstes die Belange von Endnutzern mit Behinderungen. Bekannte Einschränkungen und Anregungen werden in der Datenschutz- und Hilfe-Dokumentation gepflegt; Rückmeldungen können unter <a class="link" href="/contact">dernium.de/contact</a> übermittelt werden.

Eine serverseitige Aufzeichnung der Konferenzinhalte ist durch die Frame-Ende-zu-Ende-Verschlüsselung technisch ausgeschlossen (siehe vorhergehender Abschnitt). Eine Aufzeichnung auf dem Endgerät eines Teilnehmers (z.B. Bildschirm-Mitschnitt durch das Betriebssystem oder eine Aufnahme-Software) ist davon unabhängig stets denkbar und vom Anbieter auch nicht wirkungsvoll verhinderbar. Hierfür ist die Einwilligung aller Teilnehmer einzuholen; das nicht öffentlich gesprochene Wort ist nach § 201 StGB geschützt. Die Verantwortung trägt der jeweils aufzeichnende Teilnehmer.

Dernium Meet speichert im Endgerät des Nutzers nur solche Informationen, die für die Bereitstellung des ausdrücklich angeforderten Konferenzdienstes unbedingt erforderlich sind. Im Browser-localStorage werden der Sitzungs-Token gegenüber dem Matrix-Homeserver, die Geräte- und Nutzer-Identifikatoren sowie UI-Einstellungen (Sprache, Mikrofon-/Kamera-Auswahl) abgelegt. Im IndexedDB-Speicher werden die kryptographischen Schlüssel der Ende-zu-Ende-Verschlüsselung verwaltet (ohne diese Persistenz ist die Server-blinde Konferenz technisch nicht durchführbar). Für die Wiedererkennung nach SSO-Anmeldung wird ein httpOnly-Cookie gesetzt. Diese Speicherungen sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei zulässig. Drittanbieter-Tracking, Analytics und externe Statistik-Dienste finden nicht statt. Eine vollständige Übersicht der gespeicherten Schlüssel findet sich in der <a class="link" href="/privacy#meet-cookies">Datenschutzerklärung</a>.

Zuständige Aufsichtsbehörde für die Telekommunikations-Aufsicht ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Tulpenfeld 4, 53113 Bonn (<a class="link" href="https://www.bundesnetzagentur.de" rel="noopener" target="_blank">www.bundesnetzagentur.de</a>). Für datenschutzrechtliche Anliegen ist die nach dem Sitz des Anbieters zuständige Landesdatenschutzaufsicht zuständig. Im B2B-Verhältnis ist eine Teilnahme an einem Verbraucherschlichtungsverfahren nach VSBG ausgeschlossen.

Die Dernium GmbH i.G. ist Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG. Dernium Gateway ist — wie oben ausgeführt — kein öffentlich-zugänglicher Telekommunikationsdienst; die besonderen Verbraucherschutz-Pflichten der §§ 52 bis 67 TKG finden auf Gateway daher keine Anwendung. Solange die Zahl der Teilnehmenden unterhalb der in § 3 Abs. 2 TKÜV genannten Schwelle von 10.000 bleibt, ist der Anbieter zudem von den Pflichten der §§ 170 bis 176 TKG zur Vorhaltung technischer Überwachungs-Schnittstellen befreit. Der Anbieter wird die Erreichung der Schwelle laufend überwachen und die Pflichten rechtzeitig umsetzen, sobald sie greifen. Auskunfts- und Mitwirkungspflichten nach allgemeinem Recht bleiben hiervon unberührt.

Eine generelle, anlasslose Vorratsdatenspeicherung von Verkehrsdaten besteht in Deutschland nach der Rechtsprechung des Bundesverfassungsgerichts (Urteil vom 2.3.2010, 1 BvR 256/08) und des Europäischen Gerichtshofs (insbesondere Urteile in den Rechtssachen C-293/12 Digital Rights Ireland, C-203/15 Tele2 Sverige, C-793/19 SpaceNet und C-470/21 La Quadrature II) nicht. Der Anbieter erhebt und speichert für Dernium Gateway keine Verkehrsdaten freiwillig: insbesondere keine Verbindungs-Logs, keine DNS-Anfragen, keine Sitzungs-Tabellen pro Profil und keine Geolocation-Profile. Es werden ausschließlich diejenigen Stamm- und Abrechnungs-Daten geführt, die für die Vertragserfüllung und die handels- bzw. steuerrechtliche Aufbewahrung erforderlich sind (insbesondere Vertragspartner, autorisierte Personen, öffentliche Profil-Schlüssel und aggregierte Traffic-Verbrauchswerte je Standort).

Unabhängig von der oben dargestellten generellen Datensparsamkeit kann der Anbieter aufgrund einer richterlichen Anordnung im Einzelfall verpflichtet sein, die Verbindungs-Metadaten eines konkret bezeichneten Profils ab dem Anordnungs-Zeitpunkt und für die Dauer der Anordnung aufzuzeichnen („Quick-Freeze"). Rechtsgrundlagen sind insbesondere § 167 TKG (Verkehrsdaten-Sicherungsanordnung gegenüber Telekommunikationsanbietern) und § 100j StPO (Bestandsdaten-Auskunft im strafrechtlichen Ermittlungsverfahren). Es handelt sich dabei um eine Einzelfall-Maßnahme; eine vorratsweise Speicherung über alle Kunden findet ausdrücklich nicht statt. Der Anbieter informiert den betroffenen Kunden über solche Maßnahmen, soweit die jeweilige Anordnung dies zulässt. Auskunftsersuchen werden durch die Geschäftsführung dokumentiert und gegen ihre Rechtsgrundlage geprüft, bevor Daten herausgegeben werden.

Dernium Gateway ist ein reiner Transport-Tunnel auf Netzwerkebene. Der Anbieter bricht die Transport-Verschlüsselung (TLS) der vom Kunden besuchten Webseiten nicht auf, installiert kein eigenes Wurzel-Zertifikat im Browser oder Betriebssystem des Kunden, betreibt keine inhaltliche Paket-Inspektion (Deep Packet Inspection) und schneidet auch keine unverschlüsselten Verbindungs-Aufbau-Felder (Server-Name-Indication, SNI) mit. Eine Filterung, Sperrung oder inhaltliche Bewertung des durchgeleiteten Verkehrs durch den Anbieter findet nicht statt.

Dernium Gateway darf ausschließlich für rechtmäßige Zwecke verwendet werden. Der Kunde ist für sämtliche über den Tunnel ein- und ausgehenden Datenströme verantwortlich und haftet für rechtswidrige Handlungen oder rechtswidrige Inhalte vollumfänglich, einschließlich der Inanspruchnahme durch Dritte. Dass der Anbieter die Inhalte technisch nicht prüft (siehe vorangegangener Abschnitt), entlässt den Kunden ausdrücklich nicht aus seiner rechtlichen Verantwortung.

Im Aufnahme- und Vertragsverhältnis ausgeschlossen sind insbesondere: der Betrieb anonymer Ausgangs-Knoten für das Tor-Netzwerk (Tor-Exit), Krypto-Währungs-Mining, automatisiertes Massen-Abgreifen fremder Webseiten und offensive Sicherheits-Operationen ohne ausdrückliches Mandat des Inhabers des Ziel-Systems. Verstöße gegen geltendes Recht oder gegen die genannten Vertrags-Ausschlüsse berechtigen den Anbieter zur fristlosen Kündigung sowie zur unverzüglichen Sperrung der betroffenen Profile.

Berufsgeheimnis-Hinweis: Die Nutzung von Dernium Gateway entlastet berufsgeheimnis-verpflichtete Kunden (Anwälte, Steuerberater, Ärzte, Redaktionen) nicht von der eigenständigen Prüfung und Umsetzung ihrer jeweiligen Berufspflichten. Der Anbieter unterstützt eine datensparsame Nutzung auf technischer Ebene; die rechtliche Beurteilung des Mandats- bzw. Geheimnisschutzes obliegt dem Kunden.

Optional kann der ausgehende Verkehr eines Profils über echte Endkunden-Anschlüsse (Mobilfunk-Anschlüsse 4G/5G oder Festnetz-Anschlüsse wie DSL, Kabel, Glasfaser) eines vom Anbieter ausgewählten Drittanbieters geführt werden. Eine Aktivierung dieser Route erfolgt ausschließlich auf ausdrücklichen Wunsch des Kunden und nach gesonderter vertraglicher Zustimmung im AV-Vertrag, in dem der jeweilige Drittanbieter namentlich benannt wird. Sie kann ebenso einzeln ausgeschlossen werden.

Diese Route ist Best-effort, also ohne Verfügbarkeits-Garantie: bei Verbindungsfehlern wechselt der Anbieter den genutzten Anschluss bzw. Endpunkt beim Drittanbieter automatisch. Datenmengen, die in nachweislich fehlgeschlagene Verbindungen geflossen sind, werden dem Kunden nicht in Rechnung gestellt. Der Drittanbieter sieht im Rahmen seiner technischen Vermittlung Verbindungs-Daten (insbesondere Ziel-IP-Adressen und Verbindungs-Zeitpunkte). Für Mandanten- oder Patientendaten und vergleichbar besonders geschützte Inhalte wird die Nutzung dieser Route nicht empfohlen; die Entscheidung verbleibt beim Kunden.

Pro Eigen-Exit-Standort und je optional aktivierter Endnutzer-Anschluss-Route kann der Kunde im Verwaltungs-Portal ein Ausgaben-Limit in Euro für den über die Freikontingente hinausgehenden Verbrauch (Excess-Traffic) festlegen. Sobald das Limit eines Standorts bzw. einer Route im laufenden Monat erreicht wird, wird die Verbindung dieses Standorts bzw. dieser Route ohne weitere Vorankündigung automatisch gekappt („Hard-Cap"). Andere Standorte des Kunden bleiben hiervon unberührt. Der Kunde kann das Ausgaben-Limit jederzeit anpassen, um die Verbindung wieder freizuschalten. Eine über die im Portal jederzeit einsehbare aktuelle Verbrauchs-Anzeige hinausgehende Warn- oder Hinweispflicht des Anbieters vor Erreichen des Hard-Cap besteht nicht. Der Anbieter bemüht sich, den Kunden bei Erreichen von 80 % des Limits sowie beim tatsächlichen Erreichen des Limits per E-Mail an die Organisations-Inhaber zu benachrichtigen (Best-Effort, ohne rechtlich verbindliche Pflicht); ein Ausbleiben dieser Mail entbindet den Kunden nicht von der eigenen Beobachtungspflicht über das Portal.

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen zur Sicherheit des Dienstes nach dem Stand der Technik (§ 166 TKG). Sicherheits- oder Datenschutz-Vorfälle, die den Dienst betreffen, werden unverzüglich gemäß § 168 TKG sowie Art. 33 DSGVO an die zuständigen Behörden gemeldet; betroffene Kunden werden in Textform unterrichtet, soweit dies zur Schadensabwehr beiträgt und nicht durch gegenläufige behördliche Anordnungen gehindert ist.

Zuständige Aufsichtsbehörde für die Telekommunikations-Aufsicht ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Tulpenfeld 4, 53113 Bonn (<a class="link" href="https://www.bundesnetzagentur.de" rel="noopener" target="_blank">www.bundesnetzagentur.de</a>). Für datenschutzrechtliche Anliegen ist die nach dem Sitz des Anbieters zuständige Landesdatenschutzaufsicht zuständig. Im B2B-Verhältnis ist eine Teilnahme an einem Verbraucherschlichtungsverfahren nach VSBG ausgeschlossen.

Virenscanner erkennen nur Bedrohungen, die bereits bekannt und in den verwendeten Datenbanken erfasst sind. Brandneue, stark verschleierte oder gezielt für einen einzelnen Empfänger gebaute Schadsoftware wird von keinem Virenscanner zuverlässig erkannt.

Ein Prüf-Ergebnis „Keine bekannten Bedrohungen gefunden" durch Dernium Scan ist daher ein Indiz, aber keine Zusicherung oder Garantie der Unbedenklichkeit der geprüften Datei. Die Dernium GmbH i.G. übernimmt keine Gewähr für die tatsächliche Schadfreiheit geprüfter Dateien und keine Haftung für Schäden, die durch die Nutzung geprüfter Dateien entstehen. Die Entscheidung über den Einsatz einer Datei verbleibt beim Nutzer.

Dernium Clean entfernt aus geprüften Dateien sichtbare Metadaten (z.B. EXIF-Daten, Autoren- und Versionsfelder, Bearbeitungs-Historie) sowie bekannte aktive Inhalte (Makros, eingebettete Skripte, externe Verweise) entlang der je Dateiformat dokumentierten Verarbeitungsschritte.

Eine vollständige Eliminierung aller denkbaren Versteck-Kanäle (insbesondere Steganografie, bewusst eingebaute Hintertüren, herstellerspezifische Erweiterungen, ungewöhnliche Format-Verschachtelungen) wird angestrebt, kann aber nicht garantiert werden. Ein „Bereinigt"-Ergebnis ist ein Indiz, aber keine Zusicherung der absoluten Metadaten- oder Schadcode-Freiheit. Bei besonders sensiblen Dokumenten ist eine zusätzliche manuelle Prüfung empfohlen. Die Entscheidung über den Einsatz einer bereinigten Datei verbleibt beim Nutzer.

Dernium Note löscht den verschlüsselten Inhalt einer Notiz serverseitig nach einmaligem Abruf oder mit Ablauf der eingestellten Frist; eine Wiederherstellung durch den Anbieter ist technisch ausgeschlossen.

Die Vertraulichkeit der übertragenen Information hängt darüber hinaus vom Verhalten des Empfängers ab: nach dem Aufruf kann dieser den Inhalt auf seinem Endgerät beliebig weiter speichern, kopieren, ausdrucken oder per Bildschirmaufnahme dokumentieren. Eine Garantie dafür, dass der Inhalt nach dem Lesen tatsächlich vergessen wird, kann der Anbieter nicht geben. Note ist insbesondere kein DRM- oder Information-Rights-Management-System.

Dernium Stift annotiert Bilder ausschließlich visuell im Browser des Nutzers; eine forensisch belastbare Schwärzung sensitiver Bereiche ist damit nicht in jedem Fall gewährleistet. Reversible Verläufe (z.B. Mosaik- oder Weichzeichner-Effekte) lassen sich unter Umständen mit spezialisierten Werkzeugen teilweise rekonstruieren.

Für rechtssichere Schwärzungen ist eine deckende Überlagerung in Vollfarbe zu verwenden, und das Ergebnis vor jeder Weitergabe visuell zu kontrollieren. Die Verantwortung für die Eignung der gewählten Annotation für den jeweiligen Zweck verbleibt beim Nutzer.

Die Generatoren der Dernium Webtools (z.B. security.txt, SPF, DMARC, MTA-STS, CSP, robots.txt, CAA) erzeugen Konfigurations-Werte anhand der Eingabe des Nutzers und der jeweils gültigen technischen Standards. Eine Verbindlichkeit erlangen die Werte erst durch ihre eigenverantwortliche Einrichtung in der DNS-Zone bzw. auf dem Webserver des Nutzers.

Eine vorherige Erprobung in einer nicht-produktiven Umgebung wird dringend empfohlen. Fehlerhafte Konfigurationen können die E-Mail-Zustellbarkeit, die Erreichbarkeit von Webseiten oder die Vertrauenswürdigkeit der eigenen Domain beeinträchtigen. Die Eignung der generierten Werte für den konkreten Anwendungsfall hat der Nutzer eigenverantwortlich zu prüfen; eine Haftung des Anbieters für Schäden aus übernommenen Werten richtet sich nach den allgemeinen Haftungsregeln der jeweils anwendbaren Vertragsbedingungen.

Dernium Desk leitet den ausgehenden Internet-Verkehr Ihrer virtuellen Arbeitsplätze über öffentliche IP-Adressen, die in einem Pool des Anbieters rotieren. Jede neue IP wird vor Inbetriebnahme automatisch gegen mehrere unabhängige öffentliche Reputations-Listen geprüft und im Treffer-Fall sofort ausgetauscht. Im laufenden Betrieb kann es dennoch vorkommen, dass einzelne Ziel-Dienste (etwa Banken-Portale, Behörden-Anwendungen, Streaming-Anbieter) Anfragen aus Rechenzentrums-Adressen pauschal abweisen oder zusätzliche Verifikationsschritte (CAPTCHAs, Geo-Sperren) verlangen.

Diese Effekte sind dem Charakter eines Cloud-Arbeitsplatzes immanent und stellen keinen Mangel im Sinne der §§ 535 ff. BGB dar. Auf Wunsch kann eine IP-Rotation durch die berechtigten Nutzer ausgelöst oder eine andere Egress-Region gewählt werden; bei systematischen Problemen mit einer bestimmten Ziel-Domain sucht der Anbieter im Rahmen des vertraglich Möglichen nach einer Lösung.

Aufnahme handverlesen: Dernium Desk wird ausschließlich an Organisationen vergeben, deren Identität und Reputation der Anbieter individuell geprüft hat. Der Kunde ist für sämtliche über seine Arbeitsplätze ein- und ausgehenden Datenströme verantwortlich und haftet für rechtswidrige Handlungen oder rechtswidrige Inhalte vollumfänglich. Ausgeschlossen sind insbesondere Tor-Exit-Betrieb, Krypto-Währungs-Mining, automatisiertes Massen-Abgreifen fremder Webseiten und offensive Sicherheits-Operationen ohne ausdrückliches Mandat. Verstöße berechtigen den Anbieter zur fristlosen Kündigung.

Dernium Gateway ist ein reiner Transport-Tunnel auf Netzwerkebene. Der Anbieter prüft die durchgeleiteten Inhalte technisch nicht (keine inhaltliche Analyse, kein Eingriff in die Transport-Verschlüsselung, kein eigenes Zertifikat im Browser des Kunden). Eine Vorratsdatenspeicherung von Verkehrsdaten findet weder freiwillig noch aufgrund einer gesetzlichen Pflicht statt; in Deutschland besteht nach der Rechtsprechung von Bundesverfassungsgericht und Europäischem Gerichtshof keine allgemeine Vorratsdatenspeicherungs-Pflicht.

Der Kunde ist für sämtliche über den Tunnel ein- und ausgehenden Datenströme verantwortlich und haftet für rechtswidrige Handlungen oder rechtswidrige Inhalte vollumfänglich. Im Vertrag ausgeschlossen sind insbesondere: Betrieb anonymer Knotenpunkte für das Tor-Netzwerk (Tor-Exit), Krypto-Währungs-Mining, automatisiertes Massen-Abgreifen fremder Webseiten und offensive Sicherheits-Operationen ohne ausdrückliches Mandat. Verstöße berechtigen den Anbieter zur fristlosen Kündigung.

Bei einer richterlichen Anordnung nach § 100j StPO gegen ein konkretes Profil kann der Anbieter gesetzlich verpflichtet sein, die Verbindungs-Metadaten dieses einen Profils befristet aufzuzeichnen (Quick-Freeze). Es handelt sich dabei um eine Einzelfall-Maßnahme ab dem Anordnungs-Zeitpunkt und ausdrücklich nicht um eine pauschale Vorratsdatenspeicherung. Der Anbieter informiert den betroffenen Kunden, soweit die jeweilige Anordnung dies zulässt.

Standard-Verträge laufen monatlich und sind zum Ende des laufenden Abrechnungszeitraums kündbar. Schriftliche Mitteilung an <a class="link" href="mailto:kontakt@dernium.de">kontakt@dernium.de</a> genügt. Mehrjahres-Verträge mit Rabatt haben individuell vereinbarte Laufzeiten. Eine außerordentliche Kündigung aus wichtigem Grund ist nach § 9 jederzeit möglich.

Im B2B-Verhältnis haftet Dernium bei einfacher Fahrlässigkeit nur bei Verletzung wesentlicher Vertragspflichten und der Höhe nach begrenzt; bei Vorsatz und grober Fahrlässigkeit unbegrenzt. Wir betreiben aktive Backups, aber Sie behalten die Verantwortung für Daten, die ausschließlich bei uns liegen — ein zusätzlicher Export auf Ihre Seite ist empfehlenswert.

Für Standard-Pakete gibt es eine angestrebte Verfügbarkeit, aber kein vertraglich zugesichertes SLA mit Pönalen. Verbindliche SLA-Verträge vereinbaren wir bei Bedarf individuell.

Nicht ohne Ankündigung. Nach § 4 Abs. 4 dieser AGB werden Preisanpassungen mindestens 60 Tage vor Wirksamkeit in Textform angekündigt; Sie haben dann ein außerordentliches Kündigungsrecht zum Wirksamkeits-Stichtag. Bei Mehrjahresverträgen mit fest vereinbartem Entgelt ist der Preis für die Festlaufzeit fix.

Berechtigte Frage — kleine Anbieter können wegfallen. Unsere Vorkehrungen: Daten liegen ausschließlich in Deutschland, die Export-Schnittstellen produzieren Standard-Formate (JSON, PDF), und die zentralen Schlüssel-Komponenten sind in einem Offline-Trust-Anchor hinterlegt. Im Insolvenz-Fall entscheidet der Insolvenzverwalter über das weitere Vorgehen mit der Vermögensmasse; wir bemühen uns nach Maßgabe des betriebswirtschaftlich Möglichen um eine angemessene Übergangszeit für Export und Migration. Eine vertragliche Garantie für eine konkrete Frist können wir gegenüber dem Insolvenzverwalter naturgemäß nicht zusagen.