NovaStor GmbH

Allgemeine Geschäftsbedingungen der NovaStor GmbH

Allgemeine Geschäftsbedingungen (AGB) der NovaStor GmbH

Allgemeine Geschäftsbedingungen (AGB) der NovaStor GmbH
Stand: Mai 2026 · Version 2.1


§ 1 Geltungsbereich

  1. Die Angebote, Leistungen und Lieferungen der NovaStor GmbH, Lübeckertordamm 1-3, 20099 Hamburg (nachfolgend "NovaStor") erfolgen ausschließlich auf Grundlage dieser Allgemeinen Geschäftsbedingungen (nachfolgend "AGB"). Sie werden Bestandteil aller mit NovaStor abgeschlossenen Verträge. Im kaufmännischen Geschäftsverkehr im Sinne des § 310 Abs. 1 BGB genügt ein ausdrücklicher Hinweis auf diese AGB; im Verbrauchergeschäft werden sie dem Kunden bei Vertragsschluss in zumutbarer Weise zur Kenntnis gebracht.
  2. Entgegenstehenden oder von diesen AGB abweichenden Bedingungen des Kunden wird hiermit ausdrücklich widersprochen. Sie werden nicht Vertragsbestandteil, auch wenn NovaStor ihnen nicht ausdrücklich widerspricht oder in Kenntnis abweichender Bedingungen Leistungen vorbehaltlos erbringt.
  3. Mündliche Nebenabreden oder Zusicherungen von Mitarbeitern, die über den Inhalt dieser AGB hinausgehen, sind nur wirksam, wenn sie von einer vertretungsberechtigten Person bestätigt werden.
  4. Im kaufmännischen Geschäftsverkehr gelten die jeweils aktuellen AGB von NovaStor auch dann, wenn hierauf nicht im Einzelfall gesondert hingewiesen wird. Neufassungen der AGB werden bestehenden Vertragspartnern bekannt gegeben und gelten als einbezogen, wenn der Kunde nicht innerhalb von 30 Tagen ab Bekanntgabe in Textform widerspricht. Im Falle des Widerspruchs ist NovaStor berechtigt, den Vertrag mit einer Frist von drei Monaten zum Monatsende zu kündigen.
  5. Für Drittsoftware und sonstige Drittprodukte oder Dienstleistungen, die NovaStor als selbständige Handelsware an den Kunden mitliefert und in den Angeboten gesondert ausweist und bepreist, gelten – mangels anderer Absprachen – vorrangig die Vertrags- und Lizenzbedingungen des jeweiligen Herstellers oder Lieferanten. Diese können von diesen AGB abweichende Regelungen insbesondere zur Nutzungsrechtseinräumung, zur Gewährleistung und zur Haftung enthalten. NovaStor wird den Kunden auf die geltenden Drittbedingungen bei Vertragsschluss hinweisen. Lücken werden ergänzend durch diese AGB geschlossen.

 

§ 2 Vertragsgegenstand und Abgrenzung

  1. Gegenstand dieser AGB ist die Überlassung von Standardsoftware im Objektcode inklusive der zugehörigen Benutzerdokumentation (nachfolgend "Vertragssoftware") sowie die Einräumung der in § 3 beschriebenen Nutzungsrechte. Die zulässige Hardware- und Softwareumgebung ergibt sich aus dem Angebot bzw. dem Lizenzschein.
  2. Die Überlassung der Vertragssoftware erfolgt im Wege des Downloads. NovaStor stellt dem Kunden die Vertragssoftware und die Benutzerdokumentation in geeigneter Form zum Download bereit.
  3. Die Beschaffenheit und Funktionalität der Vertragssoftware ergibt sich abschließend aus der zum Zeitpunkt des Vertragsschlusses gültigen, im Angebot bezeichneten oder über die NovaStor-Website abrufbaren Produktbeschreibung. Diese Angaben sind Leistungsbeschreibungen, nicht Garantien. Eine Garantie wird nur dann übernommen, wenn sie ausdrücklich als solche bezeichnet ist.
  4. Bei der Erbringung individueller Anpassungen oder Erweiterungen hat der Kunde die Leistung innerhalb angemessener Frist, längstens jedoch innerhalb eines Monats nach Bereitstellung, zu prüfen und in Textform abzunehmen. Die Leistung gilt auch dann als abgenommen, wenn der Kunde sie produktiv nutzt und nicht innerhalb der vorgenannten Frist eine begründete Abnahmeverweigerung wegen wesentlicher Mängel erklärt.
  5. Im Falle eines Subscription-/Mietvertrages ist NovaStor berechtigt, Änderungen an der Vertragssoftware vorzunehmen, soweit diese der Aufrechterhaltung der Funktionsfähigkeit, der Behebung von Sicherheitsproblemen oder der Anpassung an gesetzliche Anforderungen dienen und für den Kunden zumutbar sind. NovaStor wird den Kunden über solche Maßnahmen rechtzeitig im Voraus informieren.
  6. Nicht Gegenstand dieser AGB sind:
    1. der Betrieb von Managed Backup Services,
    2. Cloud-Services einschließlich des SaaS-Betriebs von NovaStor DataCenter Evolve,
    3. Professional Services (Installation, Konfiguration, Schulung, Beratung).
  7. Diese Leistungen werden durch eigenständige Vertragswerke geregelt – insbesondere die EULA, das SLA und den AVV sowie individuelle Leistungsbeschreibungen. Diese AGB gelten subsidiär, soweit dort keine abweichenden Regelungen getroffen sind.

 

§ 3 Nutzungsrechte

  1. Der Kunde erhält an der Vertragssoftware ein nicht ausschließliches Nutzungsrecht. Bei Kauf ist das Nutzungsrecht zeitlich unbeschränkt; bei Miete oder Subscription ist es auf die Laufzeit des Vertrages beschränkt. Die zulässige Nutzung umfasst die Installation, das Laden in den Arbeitsspeicher sowie den bestimmungsgemäßen Gebrauch der Vertragssoftware durch den Kunden. Anzahl der Lizenzen, Art und Umfang der Nutzung ergeben sich aus dem Lizenzschein. Mit Beendigung eines Miet-/Subscription-Vertrages stellt die Software ihre vertragsgemäße Funktionalität ein; insbesondere sind Sicherungen und Wiederherstellungen aus zugriffsgeschützten Funktionen nicht mehr möglich.
  2. Der Kunde ist berechtigt, eine Sicherungskopie der Vertragssoftware zu erstellen, soweit dies zur Sicherung der künftigen Nutzung erforderlich ist. Auf der Sicherungskopie sind der Vermerk "Sicherungskopie" sowie der Urheberrechtsvermerk des Herstellers sichtbar anzubringen.
  3. Zur Herstellung der Interoperabilität mit anderen Programmen gelten die Rechte des § 69e UrhG, sofern NovaStor dem Kunden die hierzu notwendigen Informationen nicht innerhalb angemessener Frist auf Anforderung zugänglich gemacht hat.
  4. Der Kunde darf die erworbene Kopie der Vertragssoftware nach Kauf oder bei gültiger Miete unter Übergabe des Lizenzscheins und der Dokumentation dauerhaft einem Dritten überlassen, sofern er die Nutzung des Programms vollständig aufgibt, sämtliche installierten Kopien entfernt und sämtliche Sicherungskopien löscht oder NovaStor übergibt. Auf Anforderung wird der Kunde dies in Textform bestätigen. Der Kunde wird mit dem Dritten ausdrücklich vereinbaren, dass dieser den Umfang der Rechtseinräumung nach diesem § 3 beachtet.
  5. Nutzt der Kunde die Vertragssoftware in qualitativer oder quantitativer Hinsicht über den eingeräumten Umfang hinaus, hat er unverzüglich die zur erlaubten Nutzung notwendigen Nutzungsrechte nachzuerwerben. Im Falle einer fortgesetzten Lizenzverletzung ist NovaStor berechtigt, das betroffene Nutzungsrecht zu sperren und die Lizenz technisch zu deaktivieren. Weitergehende Ansprüche bleiben unberührt.
  6. Urhebervermerke, Seriennummern und sonstige der Programmidentifikation dienende Merkmale dürfen nicht entfernt oder verändert werden.

 

§ 4 Preise, Zahlung, Fälligkeit, Verzug

  1. Es gelten die im Angebot ausgewiesenen Preise zzgl. der jeweils gültigen gesetzlichen Umsatzsteuer. Preise sind in Euro (EUR) ausgewiesen, sofern nichts anderes vereinbart ist.
  2. Bei laufenden Verträgen (Miete, Subscription, Wartung) ist NovaStor berechtigt, die Preise mindestens einmal jährlich, frühestens zwölf Monate nach Vertragsbeginn, anzupassen. Die Anpassung erfolgt entweder (a) um maximal 6 % p.a. oder, falls niedriger, (b) entsprechend der Entwicklung des vom Statistischen Bundesamt ermittelten Verbraucherpreisindex für Deutschland im vorausgegangenen Kalenderjahr. Die Anpassung ist dem Kunden mindestens 60 Tage vor Wirksamwerden in Textform anzukündigen. Übersteigt die Anpassung 10 % gegenüber dem zuletzt geltenden Preis, steht dem Kunden ein außerordentliches Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Anpassung zu, das innerhalb von 30 Tagen ab Ankündigung in Textform auszuüben ist.
  3. Sofern nicht ausdrücklich anders vereinbart, sind Zahlungen mit Lieferung bzw. Bereitstellung zum Download und Mitteilung der Zugangsdaten fällig und innerhalb von 10 Tagen ab Rechnungsstellung ohne Abzug zu zahlen. NovaStor ist im Einzelfall berechtigt, Vorkasse oder Sicherheitsleistung zu verlangen.
  4. Bei Zahlungsverzug schuldet der Kunde im kaufmännischen Geschäftsverkehr Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweils gültigen Basiszinssatz (§ 288 Abs. 2 BGB); im Verbrauchergeschäft 5 Prozentpunkte über dem Basiszinssatz. Die Geltendmachung eines weitergehenden Schadens bleibt unberührt.
  5. Kommt der Kunde seinen Zahlungspflichten nicht vertragsgemäß nach, stellt er seine Zahlungen ein oder werden NovaStor Umstände bekannt, die die Kreditwürdigkeit des Kunden in Frage stellen, so ist NovaStor wahlweise berechtigt, die gesamte Restschuld fällig zu stellen, Vorauszahlungen oder Sicherheitsleistungen zu verlangen, Leistungen ohne vorherige Mahnung einzustellen oder den Vertrag aus wichtigem Grund zu kündigen. Im Falle der Kündigung ist der Kunde verpflichtet, gelieferte Ware und Software in Höhe der Zahlungsrückstände unverzüglich zurückzugeben.

§ 5 Laufzeit bei Subscription-, Miet- und Wartungsverträgen

  1. Subscription- und Mietverträge werden auf unbestimmte Zeit geschlossen, sofern im Angebot nicht eine feste Mindestlaufzeit vereinbart ist. Sie können von beiden Parteien mit einer Frist von drei Monaten zum Ende des jeweiligen Abrechnungszeitraums gekündigt werden, erstmals jedoch nach Ablauf von zwölf Monaten ab Vertragsbeginn. Wird der Vertrag nicht fristgerecht gekündigt, verlängert er sich automatisch um die Dauer des vorherigen Abrechnungszeitraums, mindestens jedoch um zwölf Monate.
  2. Bei Kaufverträgen über NovaStor DataCenter wird ergänzend ein Wartungsvertrag ("NovaCare") abgeschlossen, sofern dies nicht abweichend vereinbart ist. NovaCare umfasst Updates und Upgrades ("Update-/Upgrade-Protection") sowie technischen Support durch NovaStor-Support-Ingenieure aus Hamburg. NovaCare verlängert sich automatisch um jeweils ein weiteres Jahr, sofern nicht spätestens drei Monate vor Ablauf in Textform gekündigt wird.
  3. Ohne gültigen NovaCare-Vertrag kann es zu Funktionsbeeinträchtigungen der Vertragssoftware kommen, da Sicherheits- und Funktions-Updates nicht zur Verfügung stehen. NovaStor ist nicht verpflichtet, solche Beeinträchtigungen ohne Vergütung zu analysieren oder zu beheben.
  4. Für Preisanpassungen bei der Vertragsverlängerung gilt § 4 Abs. 2 entsprechend.
  5. Kündigungen bedürfen der Textform (§ 126b BGB). E-Mail einer vertretungsberechtigten Person an die im Vertrag oder im Impressum bezeichnete Adresse genügt.

 

§ 6 AVV - Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

  1. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
    In Teil D der Rechtsdokumente sind Details der AVV beschrieben – die AVV werden Teil der AGB und müssen nicht separat abgeschlossen werden.

  2. Gegenstand und Dauer der Verarbeitung
    Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibung  und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch NovaStor (nachfolgend und im AVV „Auftragnehmer“) als Auftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend und im AVV „Auftraggeber“) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist. 
    Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer. Weitere Details befinden sich in Teil D.
     

§ 7 Außerordentliche Kündigung

  1. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Die Geltendmachung von Schadensersatzansprüchen ist hierdurch nicht ausgeschlossen.
  2. Wichtige Gründe für eine außerordentliche Kündigung durch NovaStor sind insbesondere:
    1. die Beantragung oder Eröffnung eines Insolvenzverfahrens über das Vermögen des Kunden,
    2. der Vermögensverfall des Kunden bzw. die Einstellung der Zahlungen,
    3. die wiederholte oder schwerwiegende Verletzung wesentlicher Vertragspflichten durch den Kunden, einschließlich der Verletzung der Nutzungsrechte (§ 3),
    4. ein Zahlungsverzug von mehr als 10 % der für einen Abrechnungszeitraum geschuldeten Entgelte über einen Zeitraum von mehr als einem Monat trotz Mahnung.
  3. Eine Kündigung wegen Verletzung wesentlicher Vertragspflichten ist nur zulässig, wenn NovaStor dem Kunden zuvor in Textform die Gelegenheit gegeben hat, sich innerhalb einer angemessenen Frist von mindestens zwei Kalenderwochen wieder vertragsgemäß zu verhalten, es sei denn, die Pflichtverletzung ist so schwerwiegend, dass NovaStor das Festhalten am Vertrag bis zum Ablauf der Frist nicht zumutbar ist.
  4. Kündigungen bedürfen der Textform. Im Falle einer Vertragsbeendigung steht NovaStor die vereinbarte Vergütung anteilig bis zum Vertragsende zu. Für nicht fertiggestellte Arbeitsergebnisse erhält NovaStor eine anteilige Vergütung im Verhältnis des Fertigstellungsgrads. Daten des Kunden werden gemäß den Regelungen der EULA und des AVV behandelt; das Standard-Datenexportfenster beträgt 30 Tage ab Vertragsende, soweit in der EULA oder im SLA nichts anderes geregelt ist.

 

§ 8 Gewährleistung

  1. NovaStor gewährleistet, dass die Vertragssoftware bei vertragsgemäßer Nutzung in der dem Stand der Technik entsprechenden Weise im Wesentlichen die in der Produktbeschreibung beschriebenen Funktionen erfüllt. Eine Gewähr für die Eignung der Vertragssoftware für besondere, nicht vereinbarte Zwecke des Kunden wird nicht übernommen.
  2. Mängel der Vertragssoftware sind NovaStor unverzüglich nach Entdeckung in Textform anzuzeigen. NovaStor wird Mängel innerhalb angemessener Frist durch Nachbesserung oder Ersatzlieferung (jeweils nach Wahl von NovaStor) beheben.
  3. Schlägt die Nacherfüllung endgültig fehl, ist sie dem Kunden unzumutbar oder wird sie von NovaStor unberechtigt verweigert, so kann der Kunde – im Rahmen der gesetzlichen Bestimmungen – vom Vertrag zurücktreten oder die Vergütung mindern.
  4. Ein Rücktritt wegen eines unerheblichen Mangels ist ausgeschlossen.
  5. Die Vertragsparteien stimmen darin überein, dass es nach dem Stand der Technik nicht möglich ist, Software zu entwickeln, die unter allen Einsatzbedingungen fehlerfrei arbeitet.
  6. Besteht zwischen den Parteien ein NovaCare-Wartungsvertrag, richten sich Beseitigungsfristen und Reaktionszeiten nach den dort vereinbarten Bedingungen. Im Übrigen gelten die NovaStor Support Richtlinien in ihrer jeweils aktuellen Fassung.
  7. Die Gewährleistungsfrist beträgt im kaufmännischen Geschäftsverkehr zwölf Monate ab Lieferung; im Verbrauchergeschäft gelten die gesetzlichen Fristen.
  8. Die Gewährleistung setzt eine vertragsgemäße Nutzung der Vertragssoftware durch den Kunden voraus. Bei Nichterfüllung der Mitwirkungs- und Konfigurationspflichten (siehe EULA und SLA) sind Gewährleistungsansprüche ausgeschlossen, soweit die Mängel hierauf beruhen.

 

§ 9 Haftung

  1. NovaStor haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, nach den Vorschriften des Produkthaftungsgesetzes sowie im Umfang einer ausdrücklich übernommenen Garantie.
  2. Bei leicht fahrlässiger Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf, haftet NovaStor der Höhe nach begrenzt auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden, insgesamt jedoch maximal auf 100 % der vom Kunden in den zwölf Monaten vor dem schadensauslösenden Ereignis tatsächlich an NovaStor gezahlten Entgelte für den betroffenen Vertragsgegenstand.
  3. Im Übrigen ist eine Haftung von NovaStor – insbesondere für mittelbare Schäden, Mangelfolgeschäden, entgangenen Gewinn, Produktions- und Nutzungsausfälle – ausgeschlossen, soweit gesetzlich zulässig.
  4. Für den Verlust von Daten und Programmen sowie deren Wiederherstellung haftet NovaStor nur in dem Umfang, in dem dieser Verlust auch bei ordnungsgemäßer und gefahrentsprechender Datensicherung durch den Kunden nicht hätte vermieden werden können. Versäumt der Kunde zumutbare Datensicherungen, ist die Haftung von NovaStor auf den Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer Datensicherung angefallen wäre. Die Pflicht des Kunden zur regelmäßigen Datensicherung folgt aus der Natur des Vertragsgegenstands und den Regelungen der EULA.
  5. Die Haftungsbeschränkungen dieses § 8 gelten auch zugunsten der Mitarbeiter, Vertreter und Organe von NovaStor.
  6. Bei Mietverträgen im unternehmerischen Geschäftsverkehr wird die verschuldensunabhängige Haftung von NovaStor nach § 538 BGB wegen Mängeln, die bereits zum Zeitpunkt des Vertragsschlusses vorhanden waren, ausgeschlossen.

 

§ 10 Sicherungspflichten und Audit-Recht

  1. Der Kunde wird die Vertragssoftware sowie gegebenenfalls die Zugangsdaten für den Online-Zugriff durch geeignete Maßnahmen vor dem Zugriff durch unbefugte Dritte sichern. Insbesondere sind sämtliche Kopien der Vertragssoftware sowie die Zugangsdaten an einem geschützten Ort zu verwahren und gegen Verlust und Missbrauch zu sichern.
  2. NovaStor ist berechtigt, einmal jährlich und mit einer Vorankündigung von mindestens 30 Tagen den ordnungsgemäßen Einsatz der Vertragssoftware beim Kunden zu überprüfen, insbesondere die Einhaltung der Lizenzbedingungen. Hierzu wird der Kunde NovaStor Auskunft erteilen, Einsicht in relevante Dokumente und Unterlagen gewähren und – soweit erforderlich – eine Überprüfung der Hardware- und Softwareumgebung ermöglichen. Die Überprüfung erfolgt während der regelmäßigen Geschäftszeiten und unter größtmöglicher Schonung des Geschäftsbetriebs. NovaStor kann die Überprüfung durch zur Verschwiegenheit verpflichtete unabhängige Dritte (z.B. Wirtschaftsprüfer) durchführen lassen.
  3. Stellt sich bei einer Überprüfung heraus, dass der Kunde die Vertragssoftware über den lizenzierten Umfang hinaus genutzt hat, trägt der Kunde die Kosten der Überprüfung und schuldet die Lizenzgebühren für die übernutzten Lizenzen rückwirkend ab Beginn der Übernutzung, längstens jedoch für drei Jahre.

 

§ 11 Vertraulichkeit

  1. "Vertrauliche Informationen" sind alle Informationen und Unterlagen der jeweils anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind, insbesondere Informationen über betriebliche Abläufe, Geschäftsbeziehungen und Know-how, Quellcodes, Produktroadmaps, Preiskalkulationen und personenbezogene Daten.
  2. Die Parteien verpflichten sich, vertrauliche Informationen geheim zu halten, nur für Zwecke der Vertragserfüllung zu verwenden und nur denjenigen Mitarbeitern und Erfüllungsgehilfen zugänglich zu machen, die die Information zur Vertragserfüllung benötigen und einer entsprechenden Geheimhaltungspflicht unterliegen.
  3. Die Geheimhaltungspflicht gilt nicht für Informationen, die (a) dem Empfänger bei Erhalt nachweislich bereits bekannt waren, (b) ohne Verletzung dieser Vereinbarung öffentlich bekannt sind oder werden, (c) dem Empfänger ohne Geheimhaltungspflicht von einem Dritten zugänglich gemacht werden, oder (d) aufgrund gesetzlicher oder behördlicher Verpflichtungen offengelegt werden müssen. Im letztgenannten Fall wird der Empfänger die andere Partei – soweit gesetzlich zulässig – vorab informieren.
  4. Die Vertraulichkeitspflicht besteht über das Ende des Vertrages hinaus für weitere drei Jahre fort; für Geschäftsgeheimnisse im Sinne des GeschGehG gilt sie zeitlich unbeschränkt.

 

§ 12 Schlussbestimmungen

  1. Der Kunde darf Ansprüche gegen NovaStor nur nach vorheriger Zustimmung in Textform auf Dritte übertragen. Die Übertragung von Ansprüchen auf verbundene Unternehmen im Sinne der §§ 15 ff. AktG bleibt zustimmungsfrei.
  2. Der Kunde darf nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen oder ein Zurückbehaltungsrecht ausüben.
  3. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Änderung oder Aufhebung dieser Klausel selbst. Individualvereinbarungen haben in jedem Fall Vorrang (§ 305b BGB).
  4. Allgemeine Geschäftsbedingungen des Kunden finden keine Anwendung, auch nicht bei vorbehaltloser Leistungserbringung in Kenntnis abweichender Bedingungen.
  5. Die Vertragssoftware kann (Re-)Exportrestriktionen unterliegen, z.B. der Vereinigten Staaten von Amerika oder der Europäischen Union. Der Kunde wird diese Bestimmungen bei einer Weiterveräußerung oder sonstigen Ausfuhr beachten.
  6. Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf vom 11.04.1980 (UN-Kaufrecht) Anwendung.
  7. Erfüllungsort ist Hamburg. Ausschließlicher Gerichtsstand ist Hamburg, soweit jede Partei Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder keinen allgemeinen Gerichtsstand in Deutschland hat. NovaStor ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.
  8. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke.
  9. Als "Kunde" im Sinne dieser AGB gilt die Person, Gesellschaft oder Organisation, die Waren, Produkte oder Dienstleistungen von NovaStor erwirbt. Dies können sowohl gewerbliche Endkunden als auch Vertriebspartner (Distributoren, Systemhäuser, MSP) sein.
Endbenutzer-Lizenz- und Nutzungsbedingungen (EULA)

Endbenutzer-Lizenz- und Nutzungsbedingungen (EULA)

Stand: Mai 2026 · Version 2.1

 

§ 1 Geltungsbereich, Vertragsparteien

  1. Diese Endbenutzer-Lizenz- und Nutzungsbedingungen (nachfolgend "EULA") regeln das Verhältnis zwischen der NovaStor GmbH, Lübeckertordamm 1-3, 20099 Hamburg (nachfolgend "NovaStor") und dem Kunden hinsichtlich der Nutzung der nachstehend genannten Produkte sowie der hierfür bereitgestellten Client-/Agent-Software (zusammen die "Vertragssoftware" oder der "Dienst").
  2. Diese EULA gilt für die folgenden Produkte:
    1. NovaStor DataCenter – Backup- und Datensicherungssoftware zum On-Premises-Betrieb beim Kunden;
    2. NovaStor DataCenter MSP – NovaStor DataCenter inklusive MSP-Komponenten zur Multi-Mandanten-Verwaltung, betrieben auf der Infrastruktur des Managed Service Providers;
    3. NovaStor DataCenter Evolve – SaaS-Backup-Dienst, betrieben durch NovaStor in deutschen Rechenzentren (Cloud-First-Architektur).
  3. Der Dienst richtet sich ausschließlich an Unternehmer (§ 14 BGB), juristische Personen des öffentlichen Rechts und öffentlich-rechtliche Sondervermögen. Eine Nutzung durch Verbraucher (§ 13 BGB) ist ausgeschlossen.
  4. Ergänzend gelten: (i) die Allgemeinen Geschäftsbedingungen (AGB) von NovaStor, (ii) das Service Level Agreement (SLA) für Verfügbarkeits- und Support-Leistungen, (iii) der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO und (iv) etwaige produkt- oder kundenspezifische Besondere Bedingungen. Bei Widersprüchen gilt die Rangfolge: AVV vor EULA vor SLA vor AGB.

 

§ 2 Begriffsbestimmungen

Im Sinne dieser EULA bedeuten:

  • Kunde der Vertragspartner von NovaStor – Endkunde, Systemhaus, Distributor oder Managed Service Provider (MSP).
  • Autorisierter Nutzer eine natürliche Person, die durch den Kunden berechtigt ist, den Dienst zu nutzen (Mitarbeiter, Administrator, ggf. Kunden des MSP).
  • Kundendaten alle Daten, die der Kunde oder ein autorisierter Nutzer in den Dienst einbringt, speichert, sichert oder zur Sicherung übergibt, einschließlich personenbezogener Daten.
  • Verfügbarkeit die im SLA definierte monatliche Verfügbarkeitsquote des Dienstes (Control-Plane und Data-Plane).
  • Geplante Wartung planmäßige Wartungs- und Updatemaßnahmen, die mit mindestens 72 Stunden Vorlauf angekündigt werden.
  • Notfallwartung außerplanmäßige Maßnahmen zur Abwehr oder Behebung sicherheitskritischer Vorfälle oder zur Aufrechterhaltung der Systemstabilität.
  • Störungsklasse (P1–P4) Klassifikation von Vorfällen nach Schweregrad gemäß SLA.
  • RTO / RPO Recovery Time Objective (Wiederherstellungszeit-Ziel) bzw. Recovery Point Objective (max. tolerierter Datenverlust).
  • Servicegutschrift pauschalierte Erstattung gemäß SLA bei Unterschreitung der vereinbarten Verfügbarkeit.
  • Immutability technisch durchgesetzte Unveränderbarkeit gespeicherter Backups (WORM-Prinzip) während einer definierten Aufbewahrungsfrist.

 

§ 3 Leistungsgegenstand

3.1 NovaStor DataCenter (On-Premises)

  1. NovaStor DataCenter ist eine Backup- und Datensicherungssoftware, die der Kunde auf seiner eigenen Infrastruktur installiert und betreibt. NovaStor liefert die Software, gewährt die Nutzungsrechte und stellt im Rahmen einer bestehenden Subscription oder eines bestehenden NovaCare-Vertrages Updates, Upgrades und Support bereit.
  2. Die Beschaffenheit ergibt sich aus der jeweils gültigen Produktdokumentation, die auf der Website von NovaStor (www.novastor.de) abrufbar oder dem Kunden auf Anforderung bereitgestellt wird.

3.2 NovaStor DataCenter MSP

  1. NovaStor DataCenter MSP ist eine erweiterte Variante von NovaStor DataCenter mit zusätzlichen Komponenten zur Multi-Mandanten-Verwaltung. Sie wird auf der Infrastruktur des MSP installiert und ermöglicht es diesem, Backup- und Datensicherungsdienste an seine eigenen Endkunden zu erbringen.
  2. Der MSP ist gegenüber seinen Endkunden allein vertraglich und datenschutzrechtlich verantwortlich. NovaStor wird im Verhältnis zum MSP – sofern eine Verarbeitung personenbezogener Daten stattfindet – als Auftragsverarbeiter tätig; der MSP wird gegenüber seinen Endkunden in der Regel selbst zum Auftragsverarbeiter oder, je nach Konstellation, Verantwortlichen.

3.3 NovaStor DataCenter Evolve

  1. NovaStor DataCenter Evolve ist ein SaaS-Backup-Dienst, der vollständig in deutschen Rechenzentren (Standard-Hosting-Provider: IONOS SE oder Impossible Cloud GmbH) betrieben wird. NovaStor betreibt den Command-Server, übernimmt Wartung und Updates und stellt das Lizenzmanagement bereit. Der Kunde installiert auf den zu sichernden Systemen den Backup-Client und konfiguriert seine Backup-Strategie selbst.
  2. Produktmerkmale (Auszug): zentrale Verwaltung von Cloud- und lokalen Backups einschließlich Microsoft 365 über eine einheitliche Oberfläche; Fähigkeit für Immutable Backups; Mandantenfähigkeit; Pay-per-Use-Abrechnung nach Speicherverbrauch; optional ergänzendes lokales Backup und vieles mehr.
  3. Evolve ist auf DSGVO- und NIS2-konforme Nutzung ausgelegt. Die rechtliche Verantwortung für die zu sichernden Daten und deren Konfiguration verbleibt beim Kunden ("Shared Responsibility Model").
  4. NovaStor bietet eine 30-tägige Testphase mit Nutzung sämtlicher Funktionen des Basispakets. Nach Ablauf der Testphase und ohne anschließenden Vertragsabschluss erfolgt die sichere Löschung der in der Testumgebung gespeicherten Daten.

§ 4 Nutzungsrechte an Software und Dienst

  1. NovaStor räumt dem Kunden ein nicht ausschließliches, nicht übertragbares (vorbehaltlich der in den AGB geregelten Weitergabe), auf die Vertragslaufzeit bzw. den Lizenzumfang befristetes Recht ein, die Vertragssoftware und – soweit es sich um einen SaaS-Dienst handelt – den Dienst im vertraglich vereinbarten Umfang zu nutzen.
  2. Unzulässig sind insbesondere:
    1. Reverse Engineering, Disassemblierung oder Dekompilierung der Vertragssoftware, soweit nicht durch zwingendes Recht (§ 69e UrhG) gestattet;
    2. Umgehung oder Manipulation technischer Schutzmaßnahmen, Lizenzprüfungen oder Sicherheitsmechanismen;
    3. Vermietung, Leasing, Timesharing oder Service-Bureau-Nutzung außerhalb der vertraglich vereinbarten MSP-Konstellation;
    4. nicht autorisierte Last-, Sicherheits- oder Benchmark-Tests;
    5. Nutzung außerhalb der vereinbarten Systemumgebung oder über den lizenzierten Umfang hinaus;
    6. Speicherung oder Übermittlung rechtswidriger Inhalte (vgl. § 5.4 – Acceptable Use).
  3. Open-Source-Komponenten der Vertragssoftware unterliegen den jeweiligen Lizenzbedingungen der Open-Source-Hersteller. NovaStor stellt entsprechende Hinweise und Lizenztexte in der Produktdokumentation bzw. im Portal bereit.

§ 5 Kundenpflichten und Shared Responsibility

5.1 Konfiguration und Betrieb beim Kunden

  1. Der Kunde ist verantwortlich für die Auswahl der zu sichernden Systeme und Datenbestände, die Konfiguration der Backup-Frequenzen (RPO) und Aufbewahrungszeiten (Retention), die Durchführung regelmäßiger Test-Restores zur Sicherstellung der Wiederherstellbarkeit, die Bereitstellung einer geeigneten Netzwerkanbindung und die Sicherung der Zugangsdaten und Schlüssel (insb. bei verschlüsselten Backups). Der Verlust eines Schlüssels führt zwingend zum Verlust der Wiederherstellbarkeit der betroffenen Backups; NovaStor kann verlorene Schlüssel nicht wiederherstellen.

5.2 Inhalte und Rechtmäßigkeit

  1. Der Kunde ist für die Kundendaten und deren Rechtmäßigkeit ausschließlich verantwortlich. Der Kunde sichert zu, dass die Kundendaten nicht gegen geltendes Recht, Rechte Dritter oder die in § 5.4 geregelten Nutzungsverbote verstoßen. Datenschutzrechtlich ist der Kunde der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO; NovaStor handelt als Auftragsverarbeiter (Details siehe AVV).

5.3 Mitwirkung und Kooperation

  1. Der Kunde benennt einen technischen Ansprechpartner sowie eine Eskalationsstelle. Der Kunde meldet Störungen unverzüglich gemäß SLA, wirkt bei der Fehleranalyse mit (insb. durch Bereitstellung von Logs, Konfigurationsdetails und Zugang zu Testsystemen) und stellt die Erreichbarkeit seines technischen Personals während der vereinbarten Supportzeiten sicher.

5.4 Acceptable Use Policy

  1. Der Kunde wird den Dienst nicht zur Speicherung, Verbreitung oder Verarbeitung folgender Inhalte nutzen:
    1. Inhalte, die gegen geltendes Strafrecht verstoßen (insb. Kinderpornografie, Volksverhetzung, Terrorismuspropaganda);
    2. Inhalte, die Rechte Dritter (insb. Urheber-, Marken- oder Persönlichkeitsrechte) verletzen, ohne dass eine entsprechende Berechtigung vorliegt;
    3. Schadsoftware (Malware, Viren, Trojaner, Ransomware) zu Verbreitungszwecken;
    4. Daten, deren Speicherung oder Verarbeitung gegen anwendbare Datenschutzbestimmungen verstößt (z.B. unzulässige Datenexporte in Drittländer ohne Rechtsgrundlage).
  2. Bei begründetem Verdacht einer Verletzung dieser Acceptable Use Policy ist NovaStor berechtigt, betroffene Inhalte temporär zu sperren und den Kunden zur Stellungnahme aufzufordern. Bei schwerwiegenden oder wiederholten Verstößen ist NovaStor zur außerordentlichen Kündigung berechtigt.

§ 6 Datenschutz und Auftragsverarbeitung

  1. Soweit NovaStor im Rahmen der Vertragsdurchführung personenbezogene Daten des Kunden verarbeitet, geschieht dies als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten regelt der zwischen den Parteien abgeschlossene Auftragsverarbeitungsvertrag (AVV), der integraler Bestandteil dieses Vertragswerks ist.
  2. Standard-Subunternehmer ist die IONOS SE als Hosting-Provider mit Rechenzentren in Deutschland. NovaStor pflegt eine Liste der eingesetzten Subprozessoren als Anhang 3 zum AVV. Änderungen werden den Kunden gemäß den Regelungen des AVV rechtzeitig in Textform angekündigt.
  3. Datenlokation: Die Kundendaten werden – sofern nicht abweichend vertraglich vereinbart – ausschließlich in deutschen Rechenzentren gespeichert und verarbeitet. NovaStor unterliegt nicht dem US-amerikanischen CLOUD Act.
  4. Der Kunde ist verpflichtet, vor Aufnahme der produktiven Nutzung den AVV abzuschließen. Eine Nutzung des Dienstes ohne wirksamen AVV ist datenschutzrechtlich unzulässig und kann von NovaStor verweigert werden.

§ 7 Service Levels, Wartung und Support

Service-Level, Verfügbarkeitsziele, Reaktions- und Wiederherstellungszeiten, planmäßige und außerplanmäßige Wartungsfenster sowie Servicegutschriften und Eskalationsprozesse regelt das Service Level Agreement (SLA), das integraler Bestandteil dieser EULA ist. Im Falle eines Widerspruchs zwischen dieser EULA und dem SLA hat diese EULA Vorrang, soweit nicht das SLA spezifischere Regelungen enthält.

§ 8 Vergütung und Abrechnung

  1. Die Vergütung für die Vertragssoftware bzw. den Dienst richtet sich nach dem im Angebot bzw. der Bestellung vereinbarten Preismodell. Für NovaStor DataCenter und NovaStor DataCenter MSP gelten in der Regel BAU-basierte Lizenzmodelle; für NovaStor DataCenter Evolve gilt ein Pay-per-Use-Modell auf Basis des genutzten Cloud-Speichers, ggf. zuzüglich Komponenten für lokales Backup.
  2. Im Basispaket von Evolve kann bereits Cloud-Speicher enthalten sein; darüber hinausgehender Speicherverbrauch wird gemäß Preisliste abgerechnet. Etwaige Gebühren für Wiederherstellungen, ausgehenden Datentransfer (Egress) oder Sonderleistungen ergeben sich aus dem Angebot, der Auftragsbestätigung oder der Preisliste.
  3. Der Abrechnungszeitraum ist – sofern nicht abweichend vereinbart – monatlich nachschüssig. Die Zahlungsbedingungen ergeben sich aus den AGB (§ 4).
  4. Für Preisanpassungen gilt § 4 Abs. 2 der AGB.

§ 9 Updates, Änderungen des Dienstes

  1. NovaStor ist berechtigt, Updates und Upgrades der Vertragssoftware bzw. des Dienstes vorzunehmen, soweit dies zur Aufrechterhaltung der Sicherheit, Funktionsfähigkeit, Compliance oder Performance erforderlich oder branchenüblich ist. Solche Maßnahmen werden – sofern diese den Kunden betreffen oder es sich nicht um sicherheitskritische Notfall-Patches handelt – mit angemessenem Vorlauf angekündigt.
  2. Funktionseinschränkungen mit wesentlicher nachteiliger Wirkung für den Kunden werden mindestens 30 Tage vor Wirksamwerden angekündigt. Dem Kunden steht in diesem Fall ein außerordentliches Sonderkündigungsrecht zu, das innerhalb von 14 Tagen nach Bekanntgabe in Textform auszuüben ist.

§ 10 Gewährleistung

  1. NovaStor erbringt den Dienst und stellt die Vertragssoftware nach dem Stand der Technik und entsprechend den vertraglichen Spezifikationen bereit.
  2. NovaStor übernimmt keine Garantie für ununterbrochene Verfügbarkeit oder vollständige Fehlerfreiheit des Dienstes. Garantien werden nur dann übernommen, wenn sie ausdrücklich als "Garantie" bezeichnet sind.
  3. Im Übrigen gelten die Gewährleistungsregelungen der AGB (§ 7).

§ 11 Haftung

  1. NovaStor haftet unbeschränkt bei Vorsatz, grober Fahrlässigkeit, bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, nach den Vorschriften des Produkthaftungsgesetzes sowie im Umfang einer ausdrücklich übernommenen Garantie.
  2. Bei einfacher Fahrlässigkeit haftet NovaStor nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) und auch dann nur begrenzt auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden, insgesamt jedoch maximal auf 100 % der vom Kunden in den zwölf Monaten vor dem schadensauslösenden Ereignis tatsächlich gezahlten Entgelte für den betroffenen Vertragsgegenstand.
  3. Die Haftung für mittelbare Schäden, Mangelfolgeschäden, entgangenen Gewinn, Produktions- oder Nutzungsausfälle ist – soweit gesetzlich zulässig – ausgeschlossen.
  4. Für den Verlust oder die Beschädigung von Kundendaten haftet NovaStor nur im Umfang des typischen Wiederherstellungsaufwands, der bei ordnungsgemäßer Sicherungs- und Restore-Disziplin durch den Kunden (§ 5.1) angefallen wäre. Hat der Kunde zumutbare Restore-Tests unterlassen, ist die Haftung weiter auf den Aufwand begrenzt, der bei ordnungsgemäßer Vorsorge zur Wiederherstellung erforderlich gewesen wäre.
  5. Diese Haftungsregelung ist in Übereinstimmung mit § 8 der AGB; im Falle eines Widerspruchs hat diese EULA Vorrang.

§ 12 Laufzeit und Kündigung

  1. Der Vertrag beginnt mit der Bereitstellung des Dienstes bzw. der Vertragssoftware (bei SaaS: Onboarding und Aktivierung des Tenants) oder, im Falle einer vorgeschalteten Testphase, mit Vertragsabschluss zum Ende der Testphase. Mindestlaufzeiten und Verlängerungsmodalitäten ergeben sich aus dem Angebot.
  2. Eine ordentliche Kündigung ist mit einer Frist von drei Monaten zum Ende der jeweiligen Laufzeit möglich, sofern im Angebot keine abweichende Frist vereinbart ist. Die Kündigung bedarf der Textform.
  3. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt; die Regelungen des § 6 der AGB gelten entsprechend.
  4. Die 30-tägige Testphase für NovaStor DataCenter Evolve endet automatisch ohne Kündigung. Erfolgt kein Vertragsabschluss, werden die in der Testumgebung gespeicherten Daten sicher gelöscht.

§ 13 Folgen der Vertragsbeendigung

  1. Mit Vertragsbeendigung erlischt das Recht des Kunden, die Vertragssoftware bzw. den Dienst zu nutzen. Der Kunde wird sämtliche Installationen der Vertragssoftware deinstallieren und Kopien löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  2. Bei SaaS-Diensten (insb. NovaStor DataCenter Evolve) stellt NovaStor während der Vertragslaufzeit und für einen Zeitraum von 30 Tagen nach Vertragsende angemessene Möglichkeiten zum Export der Kundendaten und/oder zum Restore zur Verfügung. Etwaige Sonderaufwände für die Datenmigration werden – soweit vertraglich vereinbart – nach Aufwand abgerechnet.
  3. Nach Ablauf der Übergangsfrist von 30 Tagen löscht NovaStor verbleibende Kundendaten aus den Produktivsystemen. Die Löschung aus Sicherungssystemen (Backups) erfolgt im Rahmen der definierten Sicherungs- und Aufbewahrungsfristen, in der Regel innerhalb von weiteren 30 Tagen. Eine Löschbestätigung wird auf Anfrage in Textform erteilt.
  4. Bestehende Zahlungsansprüche bis zum Vertragsende bleiben unberührt.

§ 14 Vertraulichkeit, Sicherheit und Compliance

  1. Die Parteien verpflichten sich zur gegenseitigen Vertraulichkeit auf NDA-Niveau gemäß § 10 der AGB.
  2. NovaStor betreibt geeignete technische und organisatorische Maßnahmen zum Schutz der Kundendaten gemäß dem Stand der Technik (vgl. Anhang 2 zum AVV). Der eingesetzte Hosting-Provider unterliegt den gängigen Kontrollrahmen. Weiteres ist auf der WebSite des Hosting-Providers nachzulesen.
  3. Beide Parteien verpflichten sich, einander bei der Erfüllung regulatorischer Anforderungen angemessen zu unterstützen. Hierzu gehören insbesondere Informations- und Auskunftspflichten im Zusammenhang mit DSGVO, NIS2-Richtlinie und – soweit der Kunde betroffen ist – DORA-Verordnung.
  4. Export-, Sanktions- und Embargovorschriften sind von beiden Parteien einzuhalten. Eine Verwendung der Vertragssoftware oder des Dienstes durch oder zugunsten sanktionierter Personen, Organisationen oder Regierungen ist untersagt.

§ 15 Schlussbestimmungen

  1. Eine Abtretung von Rechten und Pflichten aus diesem Vertrag bedarf der vorherigen Zustimmung der anderen Partei in Textform. Ausgenommen sind Abtretungen im Rahmen einer Konzernumstrukturierung oder eines Unternehmensverkaufs (Asset Deal / Share Deal); in diesem Fall genügt eine Anzeige in Textform.
  2. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Mündliche Nebenabreden bestehen nicht.
  3. Auf diesen Vertrag findet ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung.
  4. Ausschließlicher Gerichtsstand ist Hamburg, soweit dies gesetzlich zulässig ist. NovaStor ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.
  5. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht; die salvatorische Klausel gemäß § 11 Abs. 8 der AGB gilt entsprechend
Service Level Agreement (SLA) NovaStor GmbH

Service Level Agreement (SLA) NovaStor GmbH

Stand: Mai 2026 · Version 2.1

 

1. Zweck, Geltung und Komponenten

Dieses Service Level Agreement (SLA) beschreibt die Serviceziele, Messmethoden, Reaktionszeiten, planmäßige und außerplanmäßige Wartung sowie die Servicegutschriften für NovaStor DataCenter, NovaStor DataCenter MSP sowie den Betrieb von NovaStor DataCenter Evolve. Bei Letzterem werden die Control-Plane (Portal, API, Command-Server) und die Data-Plane (Backup-Ingest und Restore) gesondert betrachtet. Der Produktbetrieb von Evolve erfolgt in deutschen Rechenzentren.

Dieses SLA ist integraler Bestandteil der EULA. Bei Widersprüchen zwischen diesem SLA und der EULA bzw. dem AVV gilt die in der EULA festgelegte Rangfolge (AVV vor EULA vor SLA vor AGB).

2. Servicebeschreibung (Kurzüberblick)

  • Betrieb und Wartung der Plattform durch NovaStor, einschließlich Patches, Updates und Lizenzverwaltung (gilt für SaaS-Anteile).
  • Zentrale Verwaltung von Cloud- und lokalen Backups über eine einheitliche Oberfläche; Microsoft 365 wird unterstützt.
  • Optionale Funktionen: Immutable Backups (WORM), Mandantenfähigkeit, Pay-per-Use-Abrechnung. Basispaket Evolve mit Cloud-Speicher inkludiert (genaueres regelt das jeweilige Angebot / Beauftragung / Preisliste).
  • Sprachen für Support: Deutsch und Englisch.

 

3. Verfügbarkeit (Service Availability)

  1. Monatliches Verfügbarkeitsziel (MUT – Monthly Uptime Target): 99,90 %.
  2. Geltungsbereich: Control-Plane (Portal und API) sowie die Data-Plane-Funktionen "Annahme von Backup-Daten" und "Start eines Restores".

Von der Verfügbarkeitsmessung ausgeschlossen sind:

(a) geplante Wartung, die mindestens 72 Stunden vorher angekündigt wurde;
(b) Notfallwartung zur Abwehr oder Behebung kritischer Sicherheits- oder Stabilitätsprobleme;
(c) Ereignisse außerhalb des Einflussbereichs von NovaStor (höhere Gewalt, DDoS-Angriffe oberhalb üblicher Schutzmaßnahmen, Störungen in Kundennetzen oder -systemen, Ausfälle des Internet-Backbones, Maßnahmen Dritter);
(d) Verfügbarkeitseinflüsse durch Kundenkonfiguration (unzureichende Bandbreite, restriktive Firewall-Regeln, veralteter Agent-Stand, fehlerhafte Konfiguration);
(e) Verletzungen der Kundenpflichten gemäß EULA § 5.

Geplante Wartung wird bevorzugt außerhalb üblicher Geschäftszeiten in der Zeitzone Europe/Berlin (CET/CEST) durchgeführt. Ankündigungen erfolgen über das Portal und/oder per E-Mail an die hinterlegten Kontakte, die einem Anschreiben via eMail zugestimmt haben.

 

4. Backup- und Restore-Ziele (RPO / RTO)

  1. RPO (Recovery Point Objective): Entspricht dem vom Kunden konfigurierten Sicherungsintervall je Datenquelle und Job. Die Verantwortung für eine sachgerechte Konfiguration liegt beim Kunden; empfohlen werden produktionsangemessene Intervalle und Aufbewahrungszeiten.
  2. RTO – Start-SLO: NovaStor beginnt die technische Restore-Unterstützung nach Ticket-Eröffnung gemäß folgender Reaktionszeiten:

Störungsklasse

Start der Restore-Unterstützung

P1 (kritisch / Restore-Notfall)

innerhalb 1 Stunde nach Ticket-Eröffnung (24x7 bei gebuchtem Premium-Support, sonst innerhalb der Standard-Supportzeiten)

P2 (erhebliche Beeinträchtigung)

innerhalb 4 Stunden während der Standard-Supportzeiten

P3 (funktionale Einschränkung)

innerhalb 1 Werktag

P4 (Anfrage / How-To)

innerhalb 2 Werktagen

 

Die Dauer bis zum Abschluss eines Restores hängt vom Datenvolumen, dem Zielsystem und der verfügbaren Netz- und I/O-Kapazität ab und ist nicht Teil dieses SLAs.

Immutable Backups unterliegen den aktiven WORM- und Retention-Policies. Eine vorzeitige Verkürzung oder Löschung während der Sperrfrist ist technisch nicht möglich und kann auch von NovaStor nicht durchgeführt werden.

 

5. Supportzeiten und Reaktionszeiten

  1. Standard-Support (inkludiert): Montag bis Freitag, 09:00–17:00 Uhr Europe/Berlin, in deutscher und englischer Sprache, ausgenommen bundeseinheitliche Feiertage.
  2. 24x7-Support für P1-Incidents: optional buchbar; Konditionen siehe Premium-Support-Paket.

Zielreaktionszeiten ab Ticket-Eröffnung (Portal, E-Mail oder Telefon):

Störungsklasse

Reaktionszeit

P1 (kritischer Ausfall / Restore-Notfall)

30 Minuten (24x7, sofern Premium-Support gebucht; sonst innerhalb der Standard-Supportzeiten)

P2 (erhebliche Beeinträchtigung)

2 Stunden während der Standard-Supportzeiten

P3 (funktionale Einschränkung)

8 Stunden während der Standard-Supportzeiten

P4 (Anfrage / How-To)

2 Werktage

 

6. Servicegutschriften (Credits) bei Unterschreitung der MUT

Wird die monatliche Verfügbarkeit (MUT – monthly Uptime) im Kalendermonat unterschritten, hat der Kunde Anspruch auf Servicegutschriften auf das Monatsentgelt für den betroffenen Dienst nach folgender Staffel:

Verfügbarkeit im Kalendermonat

Servicegutschrift

≥ 99,0 % und < 99,90 %

5 % des Monatsentgelts für den betroffenen Dienst

≥ 98,0 % und < 99,0 %

10 % des Monatsentgelts

< 98,0 %

25 % des Monatsentgelts

 

Bedingungen für die Inanspruchnahme von Servicegutschriften:

  • Die Gutschrift muss innerhalb von 30 Tagen nach Monatsende über das Support-Portal beantragt werden; eine pauschale automatische Verrechnung erfolgt nicht.
  • Die Gutschrift gilt nicht für ausgeschlossene Zeiten gemäß Ziffer 3.
  • Servicegutschriften sind je Kalendermonat kumuliert begrenzt auf maximal 100 % des Monatsentgelts für den betroffenen Dienst.
  • Servicegutschriften sind der alleinige Rechtsbehelf des Kunden aus diesem SLA bei Verfügbarkeitsunterschreitungen. Weitergehende Ansprüche – insbesondere Schadensersatzansprüche – richten sich nach den Haftungsregelungen der EULA und des AVV.

 

7. Melde- und Eskalationsprozess

  1. Störungen sind über das Support-Portal, per E-Mail an support@novastor.de oder telefonisch unter der im Portal bzw. auf der Website (www.novastor.de) bekanntgegebenen Support-Hotline zu melden. P1-Vorfälle sollen telefonisch gemeldet werden.
  2. Bei der Meldung sind Mindestangaben zu machen: Kundennummer, betroffener Dienst, Beschreibung der Störung, Auswirkung auf den Geschäftsbetrieb, Zeitpunkt des Auftretens, Reproduzierbarkeit, gegebenenfalls relevante Logs.
  3. Eskalationspfad: Support → Support Manager → Service-Leitung. Bei P1 wird auf Anforderung eine Telefonkonferenz ("Bridge") eingerichtet.
  4. Statusupdates erfolgen: bei P1 mindestens alle 60 Minuten während der Bearbeitung; bei P2 mindestens alle 4 Stunden während der Standard-Supportzeiten; bei P3 und P4 nach Bedarf, mindestens jedoch einmal werktäglich.

8. Sicherheits- und Compliance-Rahmen

  1. Der Betrieb von NovaStor DataCenter Evolve erfolgt in deutschen Rechenzentren (Standard-Hosting-Provider: IONOS SE oder Impossible Cloud GmbH) unter Berücksichtigung des BSI-Kontrollrahmens. Details auf der jeweiligen WebSite der Standard-Hosting-Provider.
  2. NovaStor implementiert technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO. Details siehe Anhang 2 zum AVV. Sicherheitsbedingte Änderungen, die zur Risikominimierung erforderlich sind, gelten nicht als Verletzung dieses SLAs, auch wenn sie temporär Auswirkungen auf die Verfügbarkeit haben.
  3. Der Kunde ist verantwortlich für: Identitäts- und Zugriffsmanagement, sichere Konfiguration des Backup-Agents, Netzwerk- und Firewall-Freigaben, Schutz der Zugangsdaten und Verschlüsselungsschlüssel sowie die regelmäßige Durchführung von Restore-Tests.
  4. Sicherheitsvorfall-Meldungen, die personenbezogene Daten betreffen, erfolgen gemäß den Vorgaben des AVV. NovaStor wird den Kunden in jedem Fall unverzüglich, in der Regel innerhalb von 24 Stunden ab Kenntnis, informieren.

9. Datenlokation, Subprozessoren, Löschung

  1. Speicherort: Deutschland (Standard-Hosting-Provider IONOS SE oder Impossible Cloud GmbH). Abweichungen bedürfen einer ausdrücklichen vertraglichen Vereinbarung.
  2. Subprozessoren: IONOS SE oder Impossible Cloud GmbH als Hosting-Provider. Weitere Subprozessoren werden gemäß den Regelungen des AVV (Anhang 3) geführt und gepflegt.
  3. Beendigung: Datenexport-Fenster 30 Tage nach Vertragsende; anschließende Löschung gemäß EULA § 13 und AVV.

10. Änderungen am SLA

NovaStor ist berechtigt, dieses SLA an geänderte regulatorische oder technische Anforderungen angemessen anzupassen. Wesentliche Verschlechterungen kündigt NovaStor mindestens 30 Tage vor Wirksamwerden in Textform an. Dem Kunden steht in diesem Fall ein außerordentliches Kündigungsrecht zum Zeitpunkt des Wirksamwerdens zu, das innerhalb von 14 Tagen nach Bekanntgabe in Textform auszuüben ist.

11. Haftungsbezug

Servicegutschriften nach diesem SLA sind der alleinige Rechtsbehelf bei Nichterreichen der MUT. Weitergehende Ansprüche – insbesondere Schadensersatzansprüche – richten sich ausschließlich nach den Haftungsregelungen der EULA und des AVV.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Stand: Juni 2026 · Version 2.2

 

Vertragspartner

Auftragnehmer (Auftragsverarbeiter):

NovaStor GmbH, Lübeckertordamm 1-3, 20099 Hamburg, vertreten durch den Geschäftsführer (nachfolgend "Auftragnehmer" oder "NovaStor")

Auftraggeber (Verantwortlicher):

Mit Nutzung der Produkte von NovaStor schließen NovaStor als Auftragnehmer und der Kunde als Auftraggeber den nachfolgenden Auftragsverarbeitungsvertrag (nachfolgend "Vertrag" oder "AVV"):

Präambel

  1. Der Auftragnehmer erbringt gegenüber dem Auftraggeber Leistungen, in deren Rahmen er auf personenbezogene Daten des Auftraggebers Zugriff erhält oder diese in eigenen Systemen verarbeitet. Die im Rahmen dieses Vertrages betroffenen Leistungen umfassen – je nach Vertragsgestaltung – eines oder mehrere der nachfolgenden Verarbeitungsszenarien:

    1. Modul A: Fernwartung der beim Auftraggeber installierten NovaStor-Software (insbesondere NovaStor DataCenter und NovaStor DataCenter MSP) – Zugriff durch den Auftragnehmer im konkreten Wartungs- oder Fehlerbehebungsfall;

    2. Modul B: SaaS-Backup-Dienst (NovaStor DataCenter Evolve) und/oder Managed Backup Services – kontinuierliche Verarbeitung von Kundendaten in vom Auftragnehmer betriebenen Systemen.

  1. Die maßgeblichen Module und der konkrete Umfang der Verarbeitung ergeben sich aus Anhang 1 zu diesem Vertrag.

  2. Bei ordnungsgemäßem Betrieb durch den Auftraggeber erhält der Auftragnehmer keinen Zugriff auf unverschlüsselte Daten – der Auftraggebern kann verschlüsselte Daten nicht lesen oder entschlüsseln.

  3. Die Begriffe "personenbezogene Daten", "betroffene Person", "Verarbeitung", "Verantwortlicher" und "Auftragsverarbeiter" haben in diesem Vertrag die in Art. 4 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, "DSGVO") definierte Bedeutung.

1. Vertragsgegenstand und Anwendungsbereich

  1. Gegenstand dieses Vertrages ist die Regelung der datenschutzrechtlichen Pflichten der Parteien bei der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. Der Vertrag konkretisiert die Vorgaben von Art. 28 DSGVO.
  2. Inhalt, Art, Zweck und Dauer der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anhang 1 zu diesem Vertrag festgelegt.
  3. Dieser Vertrag gilt für sämtliche Tätigkeiten, bei denen der Auftragnehmer im Rahmen der Erbringung der Leistungen mit personenbezogenen Daten des Auftraggebers in Berührung kommt. Im Falle eines Widerspruchs zwischen diesem AVV und sonstigen Vereinbarungen (EULA, SLA, AGB) gehen die Regelungen dieses AVV vor.

2. Pflichten des Auftraggebers

  1. Datenschutzrechtliche Verantwortlichkeit: Der Auftraggeber bleibt im Verhältnis zwischen den Parteien alleiniger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er ist verantwortlich für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen. Insbesondere darauf zu achten, dass die Daten nur verschlüsselt gesichert werden.
  2. Weisungen: Der Auftraggeber wird, soweit erforderlich, Weisungen zum Umgang mit den Daten erteilen. Weisungen erfolgen in Textform (E-Mail oder über das Support-Portal genügt). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Eine Weisung gilt erst mit Eingang beim Auftragnehmer als erteilt.
  3. Konfigurations- und Sicherungsverantwortung: Soweit der Auftraggeber NovaStor DataCenter oder NovaStor DataCenter MSP on-premises oder beim MSP betreibt (Modul A), liegt die Verantwortung für die Backup-Konfiguration, die Auswahl der zu sichernden Daten, die Aufbewahrungsfristen und die Wiederherstellbarkeit ausschließlich beim Auftraggeber bzw. beim MSP. Der Auftraggeber definiert klare Verantwortlichkeiten hinsichtlich Sicherung, Aufbewahrung und Löschung der Daten und ergreift geeignete technische und organisatorische Maßnahmen für eine ordnungsgemäße Datensicherung.
  4. Bei SaaS-Diensten (Modul B – Evolve) ist der Auftraggeber für die Konfiguration der Sicherungsjobs, die Festlegung der Aufbewahrungsfristen, die Verwaltung der Zugangsdaten und Verschlüsselungsschlüssel sowie für die regelmäßige Verifikation der Wiederherstellbarkeit (Restore-Tests) verantwortlich.
  5. Der Auftraggeber benennt eine Kontaktperson für datenschutzrechtliche Belange und teilt deren Kontaktdaten dem Auftragnehmer in Textform mit.

3. Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit und Zweckbindung

  1. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers und zu den in Anhang 1 genannten Zwecken. Eine darüber hinausgehende Verarbeitung erfolgt nur, sofern der Auftragnehmer hierzu durch das Recht der EU oder ihrer Mitgliedstaaten verpflichtet ist; in diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das jeweilige Recht eine solche Mitteilung nicht aus Gründen eines wichtigen öffentlichen Interesses verbietet.

3.2 Hinweispflicht bei rechtswidrigen Weisungen

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere anwendbare Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung einer solchen Weisung auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Eine umfassende rechtliche Prüfungspflicht trifft den Auftragnehmer nicht.

3.3 Unterstützung bei Betroffenenrechten

  1. Anfragen betroffener Personen auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) oder Widerspruch (Art. 21 DSGVO) bearbeitet der Auftraggeber eigenständig. Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten und nicht selbst beantworten. Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenanfragen, soweit dies dem Auftragnehmer möglich ist und sich der Aufwand im angemessenen Rahmen bewegt.

3.4 Vertraulichkeit

  1. Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht über die Beendigung des Beschäftigungsverhältnisses bzw. der Tätigkeit für den Auftragnehmer hinaus fort.

3.5 Meldepflicht bei Datenschutzverletzungen

  1. Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO bekannt, die Daten des Auftraggebers betrifft, meldet der Auftragnehmer dies dem Auftraggeber unverzüglich, in der Regel innerhalb von 24 Stunden ab Kenntnis. Die Meldung erfolgt in Textform an die vom Auftraggeber benannte Kontaktperson und enthält – soweit verfügbar – Angaben zu Art und Umfang der Verletzung, betroffenen Datenkategorien und Personen, voraussichtlichen Folgen sowie bereits ergriffenen Gegenmaßnahmen. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von dessen Meldepflichten nach Art. 33 und 34 DSGVO.

3.6 Unterstützung bei datenschutzrechtlichen Pflichten

  1. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzung, vorherige Konsultation der Aufsichtsbehörde).

3.7 Datensicherheit nach Art. 32 DSGVO

  1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die bei Vertragsbeginn umgesetzten Maßnahmen sind in Anhang 2 beschrieben. Der Auftragnehmer ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern hierdurch das Datenschutzniveau insgesamt nicht abgesenkt wird. Wesentliche Änderungen werden mit dem Auftraggeber abgestimmt und dokumentiert.

4. Kontrollrechte des Auftraggebers

  1. Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrages, der gesetzlichen Datenschutzvorschriften und der erteilten Weisungen im Benehmen mit dem Auftragnehmer zu kontrollieren. Kontrollen in den Betriebsstätten des Auftragnehmers sind mindestens 14 Tage im Voraus in Textform anzukündigen und während der üblichen Geschäftszeiten unter größtmöglicher Schonung des Geschäftsbetriebs des Auftragnehmers durchzuführen. Pro Kalenderjahr ist eine Vor-Ort-Kontrolle ohne besonderen Anlass zulässig; bei begründetem Anlass (z.B. einem konkreten Datenschutzvorfall) gilt die Begrenzung nicht.
  2. Der Auftragnehmer stellt dem Auftraggeber auf Anforderung alle zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung.
  3. Der Nachweis von Maßnahmen, die nicht ausschließlich diesen konkreten Auftrag betreffen, kann nach Wahl des Auftragnehmers erfolgen durch:
    1. Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO;
    2. Zertifizierung nach einem genehmigten Verfahren gemäß Art. 42 DSGVO (z.B. ISO/IEC 27001, BSI-C5 beim Hosting-Provider);
    3. Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (Wirtschaftsprüfer, Datenschutzbeauftragter, externe Auditoren).
  4. Soweit durch Kontrollen Betriebs- und Geschäftsgeheimnisse des Auftragnehmers offenbart, geistiges Eigentum gefährdet oder die Interessen des Auftragnehmers in vergleichbarer Weise beeinträchtigt werden können, hat der Auftraggeber die Kontrolle durch einen fachkundigen, unabhängigen, zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen.
  5. Die Kosten für Vor-Ort-Kontrollen trägt der Auftraggeber. Aufwände des Auftragnehmers für die Unterstützung umfangreicher Vor-Ort-Kontrollen können nach Aufwand abgerechnet werden, sofern sie über eine angemessene Mitwirkung hinausgehen.

5. Unter-Auftragsverarbeiter (Subprozessoren)

  1. Der Auftragnehmer darf weitere Auftragsverarbeiter (Unter-Auftragsverarbeiter, "Subprozessoren") nur nach vorheriger Information des Auftraggebers einsetzen. Mit Abschluss dieses Vertrages erteilt der Auftraggeber dem Auftragnehmer eine allgemeine schriftliche Genehmigung zur Inanspruchnahme weiterer Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subprozessoren sind in Anhang 3 aufgeführt.
  2. Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen oder Ergänzungen der Subprozessoren mindestens 30 Tage vor Wirksamwerden in Textform informieren. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen ab Bekanntgabe in Textform aus wichtigem Grund widersprechen, insbesondere wenn berechtigte datenschutzrechtliche Bedenken gegen den neuen Subprozessor bestehen. Können sich die Parteien nicht innerhalb von 30 Tagen einigen, ist der Auftraggeber zur außerordentlichen Kündigung berechtigt.
  3. Der Auftragnehmer schließt mit jedem Subprozessor eine schriftliche Vereinbarung, die im Wesentlichen die gleichen Datenschutzpflichten auferlegt wie in diesem Vertrag festgelegt. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch den Subprozessor.
  4. Standard-Subprozessor für das Hosting im Rahmen von NovaStor DataCenter Evolve ist die IONOS SE und die Impossible Cloud GmbH mit Sitz in Deutschland und Rechenzentren in Deutschland. IONOS und Impossible Cloud unterliegen deutscher Jurisdiktion ohne Bindung an den US-amerikanischen CLOUD Act.

6. Datenübermittlung in Drittländer

  1. Eine Verarbeitung oder Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/des EWR) findet im Rahmen dieses Vertrages grundsätzlich nicht statt. Der Standard-Speicherort ist Deutschland.
  2. Sollte im Einzelfall eine Drittlandübermittlung erforderlich werden (etwa bei Inanspruchnahme spezialisierter Subprozessoren), wird der Auftragnehmer dies dem Auftraggeber vorab gemäß Ziffer 5 anzeigen. Die Übermittlung erfolgt nur unter Einhaltung der Vorgaben des Kapitels V DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses nach Art. 45 DSGVO oder geeigneter Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln in der jeweils gültigen Fassung, ggf. ergänzt um zusätzliche Maßnahmen nach den Vorgaben des EuGH-Urteils "Schrems II").
  3. Fernzugriffe durch Mitarbeiter des Auftragnehmers im Rahmen von Modul A (Fernwartung) erfolgen ausschließlich von Geräten und Standorten innerhalb der EU oder der Schweiz.

7. Besondere Regelungen für Cloud-Backup (Modul B)

  1. Soweit eine Datensicherung in der vom Auftragnehmer betriebenen Cloud (Modul B – NovaStor DataCenter Evolve oder Managed Backup) Vertragsbestandteil ist, gelten folgende ergänzende Regelungen:
  1. Die Kundendaten werden in einer mit dem Auftragnehmer abgestimmten Konfiguration verschlüsselt, dedupliziert und komprimiert in die Cloud übertragen und können von dort wiederhergestellt werden.
  2. Eine Entschlüsselung der gespeicherten Backup-Daten ist weder NovaStor noch dem Cloud-Hosting-Provider (IONOS SE oder Impossible Cloud) nach dem Stand der Technik nicht möglich, sofern eine kundenseitige Verschlüsselung mit eigener Schlüsselverwaltung konfiguriert ist. Bei Nutzung der Standard-Verschlüsselung mit vom Auftragnehmer verwalteten Schlüsseln ist eine technische Entschlüsselung durch den Auftragnehmer möglich; sie erfolgt nur auf ausdrückliche Weisung des Auftraggebers oder zur Erfüllung gesetzlicher Pflichten.
  3. Vor, Nach und während des Backupvorgangs werden keine Prozesse auf den IT-Systemen des Auftraggebers gestartet, welche Netzwerk-Ports in Richtung Internet öffnen. Auch die Sicherung auf S3-basierte Systeme ermöglicht bei der Datenübertragung (HTTPS) keine Nutzung der Verbindung durch Dritte.
  4. Speicherort der Daten ist Deutschland (IONOS oder Impossible Cloud -Rechenzentren). Es gelten ergänzend die Auftragsverarbeitungsbedingungen der IONOS SE und der Impossible Cloud in ihrer jeweils aktuellen Fassung, abrufbar unter https://www.ionos.de/terms-gtc/avv/ bzw. https://www.impossiblecloud.com/de-de/terms-of-service
  5. Der Auftragnehmer behält sich vor, den Cloud-Hosting-Provider zu wechseln, wenn wirtschaftliche, technische oder regulatorische Rahmenbedingungen dies erfordern. In diesem Fall gilt das Subprozessoren-Änderungsverfahren nach Ziffer 5 Abs. 2.

8. Rückgabe und Löschung der Daten bei Vertragsende

  1. Bei Modul A (Fernwartung): Der Auftragnehmer erstellt im Rahmen der Leistungserbringung grundsätzlich keine Kopien der Daten und speichert diese nicht in seinem Verantwortungsbereich. Sofern dies auf Weisung des Auftraggebers ausnahmsweise dennoch erfolgt, übergibt der Auftragnehmer nach Abschluss der vertraglichen Arbeiten oder auf Aufforderung sämtliche in seinen Besitz gelangten Unterlagen, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände dem Auftraggeber und vernichtet sie anschließend datenschutzgerecht. Eine Löschbestätigung wird auf Verlangen in Textform mit Datumsangabe erstellt.
  2. Bei Modul B (SaaS-/Managed-Backup): Während der Vertragslaufzeit und bis zu 30 Tage nach Vertragsende stellt der Auftragnehmer dem Auftraggeber angemessene Möglichkeiten zum Export der Kundendaten und/oder zum Restore zur Verfügung. Nach Ablauf des Exportfensters werden die Kundendaten aus den Produktivsystemen gelöscht. Die Löschung aus Sicherungssystemen erfolgt im Rahmen der definierten Aufbewahrungsfristen, in der Regel innerhalb von weiteren 30 Tagen. Eine Löschbestätigung wird auf Anfrage in Textform erteilt.
  3. Gesetzliche Aufbewahrungspflichten bleiben unberührt. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht werden können, werden gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

9. Haftung

  1. Die Haftung der Parteien aus diesem Vertrag richtet sich nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO. Die Haftungsbeschränkungen der EULA gelten ergänzend, soweit sie nicht im Widerspruch zu zwingenden datenschutzrechtlichen Vorgaben stehen.
  2. Im Innenverhältnis der Parteien gilt: Soweit beide Parteien für einen Schaden ersatzpflichtig sind, haften sie im Verhältnis ihrer Verantwortungsbeiträge.

10. Laufzeit

  1. Die Laufzeit dieses Vertrages beginnt mit der Aufnahme der geschäftlichen Zusammenarbeit oder der Bereitstellung der Vertragssoftware bzw. des SaaS-Dienstes – je nachdem, welches Ereignis früher eintritt – und endet automatisch mit der Beendigung sämtlicher zugrunde liegenden Hauptverträge.
  2. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund für den Auftraggeber liegt insbesondere bei nicht unerheblichen Verstößen des Auftragnehmers gegen wesentliche Pflichten dieses Vertrages vor, sofern der Auftragnehmer trotz Aufforderung in Textform und Setzung einer angemessenen Nachfrist (mindestens 14 Tage) keine Abhilfe schafft.

11. Schlussbestimmungen

  1. Auf diesen Vertrag findet ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung.
  2. Gerichtsstand ist Hamburg, soweit dies gesetzlich zulässig ist.
  3. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke.
  4. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB).

 

Anhang 1 zum AVV ·
Einzelheiten zur Auftragsverarbeitung

Stand: Juni 2026 · Version 2.2

 

1.1 Anwendbares Modul

Zwischen den Parteien gelten je nach Vertragsgegenstand folgende Verarbeitungsszenarien:

Modul A – Fernwartung (NovaStor DataCenter, NovaStor DataCenter MSP on-premises)

Modul B – SaaS-/Managed-Backup-Dienst (NovaStor DataCenter Evolve oder Managed Backup Services)

In einigen Fällen können auch beide Module gelten.

 

1.2 Modul A – Fernwartung

Gegenstand, Art und Zweck der Verarbeitung

Fernwartung der beim Auftraggeber installierten NovaStor-Software, insbesondere NovaStor DataCenter und NovaStor DataCenter MSP. Die Tätigkeiten umfassen das Einspielen von Updates und Patches, die Konfiguration und Optimierung, die Fehleranalyse und -behebung sowie das Anlernen oder Beraten des Kunden bei der Bedienung.

Verarbeitete Datenkategorien

  • Im Regelfall keine personenbezogenen Daten der Endnutzer; der Zugriff beschränkt sich auf Konfigurations- und Diagnoseinformationen der NovaStor-Software.
  • Eingeschränkt sichtbar können sein: Systemkennungen, Hostnamen, Backup-Job-Namen, technische Log-Daten.
  • Soweit der Auftraggeber ausnahmsweise dem Auftragnehmer Zugriff auf Inhaltsdaten (z.B. zur Mängelanalyse) gewährt, sind die Datenkategorien im Einzelfall zu dokumentieren.

Kategorien betroffener Personen (im Regelfall)

  • Im Regelfall keine; eingeschränkt: technische Administratoren des Auftraggebers (Anmelde-/Sitzungsdaten).

Modalitäten des Fernzugriffs

  • Der Zugriff erfolgt nur auf Anforderung und im Beisein eines verantwortlichen Mitarbeiters des Auftraggebers.
  • Übertragungen sind durchgehend verschlüsselt (TLS bzw. äquivalent).
  • Fernwartungszugriffe erfolgen mit vom Auftragnehmer kontrollierten Mitteln (z.B. Remote-Support-Tool, VPN).
  • Zugriffe erfolgen ausschließlich durch Mitarbeiter und von Geräten innerhalb der EU oder der Schweiz.
  • Der Auftraggeber hat jederzeit das Recht, den Zugriff zu unterbrechen, insbesondere bei Verdacht auf unbefugte Zugriffe oder Verarbeitung.
  • Sitzungen werden protokolliert (technische Logs); die Protokolldaten können nach drei Monaten gelöscht werden, sofern keine konkreten Anhaltspunkte für eine längere Aufbewahrung bestehen.

 

1.3 Modul B – SaaS-/Managed-Backup-Dienst

Gegenstand, Art und Zweck der Verarbeitung

Bereitstellung eines SaaS-Backup-Dienstes (NovaStor DataCenter Evolve) bzw. eines Managed Backup Service. Die Verarbeitung umfasst den Empfang, die Speicherung, die Aufbewahrung gemäß den vom Auftraggeber konfigurierten Retention-Policies und die Wiederherstellung von Backup-Daten.

Verarbeitete Datenkategorien

Die Backup-Daten enthalten typischerweise alle vom Auftraggeber für die Sicherung ausgewählten Daten. Welche personenbezogenen Daten konkret enthalten sind, liegt allein in der Entscheidung des Auftraggebers. Mögliche Kategorien sind insbesondere:

  • Stammdaten (Name, Anschrift, Kontaktdaten)
  • Vertrags- und Abrechnungsdaten
  • Kommunikationsdaten (E-Mails, Chats)
  • Personalstammdaten
  • Gesundheits- oder andere besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, soweit diese in den vom Auftraggeber zur Sicherung freigegebenen Datenbeständen enthalten sind
  • Authentifizierungs- und Berechtigungsdaten
  • Inhalts-, Datei- und Datenbankinhalte

Kategorien betroffener Personen (typischerweise)

  • Mitarbeiter des Auftraggebers und seiner verbundenen Unternehmen
  • Kunden, Lieferanten, Geschäftspartner des Auftraggebers
  • Sonstige natürliche Personen, deren Daten der Auftraggeber im Rahmen seiner Geschäftstätigkeit verarbeitet

Dauer der Verarbeitung

Für die Dauer der Vertragslaufzeit zuzüglich des 30-tägigen Export- und Übergangsfensters nach Vertragsende; anschließende Löschung gemäß Ziffer 8 des AVV.

 

Anhang 2 zum AVV ·
Technisch-organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO

Stand: Juni 2026 · Version 2.2

 

Der Auftragnehmer hat die nachstehend beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung umgesetzt. Die Maßnahmen werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf an den Stand der Technik angepasst. Für die SaaS-Plattform (NovaStor DataCenter Evolve) profitiert NovaStor zusätzlich von den Sicherheitsmaßnahmen der Hosting-Providers IONOS SE oder der Impossible Cloud.

 

2.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

  • Verschlossene Geschäftsräume; Zutritt nur für autorisierte Mitarbeiter mit elektronischer Zugangskontrolle
  • Besucher werden empfangen, dokumentiert und begleitet (genaueres regeln die vertraglichen Bedingungen der Hosting-Provider)
  • Server- und Datacenter-Räume des Hosting-Providers IONOS sind nach BSI-C5 abgesichert (24/7-Sicherheitsdienst, Mehrfaktor-Zutrittskontrolle, Videoüberwachung)

Zugangskontrolle

  • Benutzeridentifikation und -authentifizierung über persönliche Konten mit starken Passwortrichtlinien
  • Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge und für den Zugriff auf Produktivsysteme
  • Automatische Sperrung von Sitzungen nach Inaktivität
  • Zentrale Verwaltung von Berechtigungen und regelmäßige Überprüfung

Zugriffskontrolle

  • Rollenbasiertes Berechtigungskonzept ("Need-to-Know-Prinzip")
  • Zugriff auf Kundendaten nur, soweit für die Aufgabenerfüllung erforderlich, und nur durch geschulte Mitarbeiter
  • Protokollierung administrativer Zugriffe auf Produktivsysteme
  • Trennung von Entwicklungs-, Test- und Produktivumgebungen

Trennungskontrolle

  • Mandantenfähige Architektur der SaaS-Plattform mit logischer Datentrennung je Tenant
  • Getrennte Datenbanken bzw. Schemata je Mandant
  • Trennung von Backup-Daten unterschiedlicher Kunden auf Storage-Ebene

Pseudonymisierung und Verschlüsselung

  • Verschlüsselte Übertragung (TLS 1.2 oder höher) zwischen Client und Backend
  • Verschlüsselte Speicherung der Backup-Daten (AES-256 oder gleichwertig)
  • Optionale kundenseitige Schlüsselverwaltung für End-to-End-Verschlüsselung
  • Sichere Verwaltung und Aufbewahrung von Schlüsselmaterial

2.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

  • Verschlüsselte Übertragung sämtlicher Backup-Daten
  • Sichere Kommunikationskanäle (TLS, SSH, VPN) für administrative Zugriffe
  • Keine Speicherung von Kundendaten auf mobilen Endgeräten oder Wechseldatenträgern

Eingabekontrolle

  • Protokollierung aller wesentlichen Verarbeitungsvorgänge in den Backup-Systemen
  • Lückenlose Audit-Trails für administrative Tätigkeiten
  • Manipulationssichere Aufbewahrung der Logs
  • Immutable Backups als optionales Feature für Ransomware-Schutz

 

2.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

  • Redundante Auslegung der Produktivsysteme in den Rechenzentrum der Hosting-Provider
  • Unterbrechungsfreie Stromversorgung (USV) und Notstromaggregate beim Hosting-Provider
  • Klimatisierung und Brandfrühererkennung
  • Datensicherung der Plattform selbst (Meta- und Konfigurationsdaten)
  • DDoS-Schutz und Web Application Firewall (WAF)
  • Monitoring und Alerting der Plattform 24/7

Rasche Wiederherstellung

  • Disaster Recovery-Konzept mit definierten RTO und RPO für die Plattform
  • Regelmäßige Tests der Wiederherstellungsfähigkeit
  • Geographisch getrennte Standorte für Sicherungskopien (innerhalb Deutschlands)

 

2.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • Etabliertes Information Security Management mit dokumentierten Prozessen
  • Regelmäßige interne Audits
  • Penetrationstest der SaaS-Plattform mindestens jährlich
  • Schulung der Mitarbeiter zu Datenschutz und Informationssicherheit mindestens jährlich
  • Datenschutzbeauftragter (intern oder extern) bestellt; Kontaktdaten auf Anfrage
  • Incident-Response-Prozess mit definierten Eskalationswegen und Meldepflichten
  • Auftragsdatenverarbeitung mit Subprozessoren auf Basis schriftlicher Verträge

2.5 Schutz vor Schadsoftware und Wiederherstellbarkeit

  • Aktuelle Antivirus- und Endpoint-Protection-Lösungen auf allen Endgeräten und Servern
  • Patch-Management mit zeitnahem Einspielen sicherheitsrelevanter Updates
  • Härtung der Server-Konfigurationen nach anerkannten Standards (z.B. CIS Benchmarks)
  • Immutable-Backup-Optionen schützen Kundendaten zusätzlich gegen Ransomware-Angriffe

 

Anhang 3 zum AVV ·
Genehmigte Subprozessoren (Unter-Auftragsverarbeiter)

Stand: Juni 2026 · Version 2.2

 

Zum Zeitpunkt des Vertragsschlusses sind die nachstehend aufgeführten Subprozessoren genehmigt. Die Liste wird vom Auftragnehmer aktuell gehalten; Änderungen werden gemäß Ziffer 5 des AVV mitgeteilt.

 

Subprozessor

Sitz / Verarbeitungsort

Leistung

Anwendbares Modul

IONOS SE

Deutschland (Sitz und Rechenzentren)

Hosting der SaaS-Plattform NovaStor DataCenter Evolve einschließlich Speicherung der Backup-Daten

Modul B

Impossible Cloud GmbH

Deutschland (Sitz und Rechenzentren)

Hosting der SaaS-Plattform NovaStor DataCenter Evolve einschließlich Speicherung der Backup-Daten

Modul B

[ggf. weitere Subprozessoren]

[Sitz]

[Leistung]

[Modul]

 

Tools und Dienste, die der Auftragnehmer im Rahmen seiner internen Verwaltung einsetzt (z.B. Office-Anwendungen, interne CRM-Systeme, Buchhaltung) und die keinen Zugriff auf Kundendaten des Auftraggebers haben, sind keine Subprozessoren im Sinne dieses AVV und werden hier nicht aufgeführt.

 

Back to top