Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
Rechtliches

Addendum für regulierte Kunden (DORA / NIS2)

Dieses Addendum ergänzt die Allgemeinen Geschäftsbedingungen der Datargo GmbH um die regulatorisch erforderlichen vertraglichen Pflichtinhalte für Finanzunternehmen unter DORA sowie für wichtige und kritische Einrichtungen unter NIS2.

1. Gegenstand, Anwendungsbereich und Verhältnis zu weiteren Dokumenten

(1) Dieses Addendum für regulierte Kunden (nachfolgend “Addendum”) ergänzt die Allgemeinen Geschäftsbedingungen der Datargo GmbH, Frankfurt am Main (nachfolgend “Datargo”), um diejenigen vertraglichen Pflichtinhalte, die für regulierte Kunden nach der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act, nachfolgend “DORA”) und nach der Richtlinie (EU) 2022/2555 (nachfolgend “NIS2”) sowie ihrer jeweiligen nationalen Umsetzung erforderlich sind.

(2) Dieses Addendum gilt ausschließlich für Kunden, die

KategorieBeschreibung
Finanzunternehmenein Finanzunternehmen im Sinne des Art. 2 Abs. 1 und 2 DORA (insbesondere Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften und vergleichbare beaufsichtigte Unternehmen).
Wichtige oder kritische Einrichtungeine wichtige oder kritische Einrichtung im Sinne der NIS2 und ihrer nationalen Umsetzung.

(3) Datargo erbringt für diese Kunden IKT-Dienstleistungen im Sinne des Art. 3 Nr. 21 DORA und ist insoweit IKT-Drittdienstleister im Sinne des Art. 3 Nr. 19 DORA. Dieses Addendum bildet die nach DORA und NIS2 erforderlichen vertraglichen Pflichtinhalte ab, soweit Datargo sie als Anbieterin von Software-as-a-Service leisten kann.

(4) Dieses Addendum wird durch ausdrückliche Vereinbarung in Textform oder durch Bezugnahme im Einzelvertrag Vertragsbestandteil. Bezeichnet der Kunde gegenüber Datargo die bezogenen Leistungen als zur Unterstützung einer kritischen oder wichtigen Funktion im Sinne des Art. 3 Nr. 22 DORA bestimmt, gelten zusätzlich die in diesem Addendum besonders gekennzeichneten Regelungen für kritische oder wichtige Funktionen.

(5) Soweit dieses Addendum für regulierte Kunden von den Allgemeinen Geschäftsbedingungen, dem Service Level Agreement , den modulspezifischen Bedingungen oder dem Auftragsverarbeitungsvertrag abweicht, geht dieses Addendum in seinem Regelungsgegenstand vor. Im Übrigen gelten die genannten Dokumente ergänzend fort. In Fragen der Verarbeitung personenbezogener Daten geht der Auftragsverarbeitungsvertrag vor. Maßgeblich ist im Übrigen die in Ziffer 20 der Allgemeinen Geschäftsbedingungen geregelte Rangfolge (Individualabrede vor Auftragsverarbeitungsvertrag und diesem Addendum vor Service Level Agreement und modulspezifischen Bedingungen vor Allgemeinen Geschäftsbedingungen).

(6) Die in Ziffer 9 der Allgemeinen Geschäftsbedingungen geregelte Haftung gilt einheitlich und vorrangig für das gesamte Vertragsverhältnis. Dieses Addendum begründet keine eigenständige oder erweiterte Haftung; soweit es auf die Haftung Bezug nimmt, dient dies allein der Klarstellung.

2. Begriffsbestimmungen

Ergänzend zu den Begriffsbestimmungen der Allgemeinen Geschäftsbedingungen gelten für dieses Addendum:

BegriffBedeutung
DORAdie Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor.
NIS2die Richtlinie (EU) 2022/2555 sowie ihre jeweilige nationale Umsetzung (in Deutschland insbesondere das NIS2-Umsetzungsgesetz).
IKT-Dienstleistungeine digitale Dienstleistung und Datendienstleistung im Sinne des Art. 3 Nr. 21 DORA, die über die Leistungen von Datargo bereitgestellt wird.
Kritische oder wichtige Funktioneine Funktion im Sinne des Art. 3 Nr. 22 DORA, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeit wesentlich beeinträchtigen würde. Die Einstufung obliegt allein dem Kunden.
Zuständige Behördedie für den Kunden zuständige Aufsichtsbehörde sowie, soweit einschlägig, die zuständige Abwicklungsbehörde im Sinne der DORA und der NIS2.
IKT-bezogener Vorfallein IKT-bezogener Vorfall im Sinne des Art. 3 Nr. 8 DORA, einschließlich schwerwiegender Vorfälle im Sinne des Art. 3 Nr. 10 DORA, soweit er die für den Kunden erbrachten Leistungen betrifft.
Subunternehmerein von Datargo eingesetzter weiterer Dienstleister im Sinne der Allgemeinen Geschäftsbedingungen und, soweit personenbezogene Daten betroffen sind, ein Sub-Prozessor im Sinne des Auftragsverarbeitungsvertrags .
Informationsregisterdas vom Kunden nach Art. 28 Abs. 3 DORA zu führende Register der vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen.
TLPTbedrohungsorientierte Penetrationstests (Threat-Led Penetration Testing) im Sinne der Art. 26 und 27 DORA.

3. Leistungs- und Funktionsbeschreibung, Datenstandorte

(1) Datargo erbringt die im jeweiligen Einzelvertrag und in der zugehörigen Leistungsbeschreibung bezeichneten Leistungen (Datargo Monitor, Datargo CRM, Datargo ID, Datargo ERP, NextPKI sowie das Bündelangebot Datargo One) als Software-as-a-Service. Die vollständige und aktuelle Beschreibung der Funktionen und IKT-Dienstleistungen, einschließlich etwaiger unterbeauftragter Leistungen, ergibt sich aus der jeweiligen Leistungsbeschreibung, dem gewählten Tarif und etwaigen Individualabreden (Art. 30 Abs. 2 lit. a DORA).

(2) Die Leistungen werden innerhalb der Europäischen Union erbracht. Das Hosting sowie die Verarbeitung und Speicherung der Kundendaten erfolgen in einem Rechenzentrum in Frankfurt am Main (Art. 30 Abs. 2 lit. b DORA). Region-Pinning sowie weitergehende Betriebs- und Standortvereinbarungen können über Datargo One vereinbart werden.

(3) Datargo unterrichtet den Kunden rechtzeitig in Textform, bevor sich der Standort der Verarbeitung oder Speicherung der Kundendaten ändert, und nennt die Bedingungen einer solchen Verlagerung. Sieht eine beabsichtigte Verlagerung eine Verarbeitung oder Speicherung außerhalb der Europäischen Union vor, bedarf sie der vorherigen Zustimmung des Kunden in Textform; dem Kunden steht andernfalls ein Kündigungsrecht nach Ziffer 11 zu.

(4) Datargo gewährleistet im Rahmen der vereinbarten Leistungen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der verarbeiteten Daten, einschließlich des Schutzes personenbezogener Daten (Art. 30 Abs. 2 lit. c DORA). Die technischen und organisatorischen Maßnahmen ergeben sich aus dem Auftragsverarbeitungsvertrag und den dort dokumentierten Maßnahmen nach Art. 32 DSGVO.

(5) Datargo gewährleistet den Zugang zu den Kundendaten sowie deren Wiederherstellung und Rückgabe in einem leicht zugänglichen, gängigen und maschinenlesbaren Format (Art. 30 Abs. 2 lit. c DORA). Die Einzelheiten regelt Ziffer 9 (Ausstiegsstrategie und Reversibilität).

4. Service Level und Leistungsziele

(1) Die für die Leistungen geltenden Service Level, insbesondere die Verfügbarkeit, die Messmethode, die Wartung sowie die Reaktions- und Servicezeiten, ergeben sich aus dem Service Level Agreement (Art. 30 Abs. 2 lit. d DORA).

(2) Unterstützen die Leistungen eine kritische oder wichtige Funktion, vereinbaren die Parteien auf Verlangen des Kunden eine vollständige Leistungsbeschreibung mit präzisen quantitativen und qualitativen Leistungszielen sowie Regelungen zur Anpassung dieser Ziele (Art. 30 Abs. 3 lit. a DORA). Weitergehende oder abweichende Service Level, insbesondere erhöhte Verfügbarkeitsziele oder verkürzte Reaktionszeiten, werden als Individualvereinbarung getroffen und gehen dem Service Level Agreement vor.

(3) Datargo überwacht die Einhaltung der vereinbarten Leistungsziele kontinuierlich und stellt dem Kunden auf Anforderung im zumutbaren Umfang aussagekräftige Berichte zur Leistungserbringung zur Verfügung.

5. Zugangs-, Inspektions- und Auditrechte; Rechte der Aufsichtsbehörden

(1) Datargo gewährt dem Kunden und den von ihm beauftragten Prüfern sowie der zuständigen Behörde Zugangs-, Inspektions- und Auditrechte in Bezug auf die für den Kunden erbrachten Leistungen (Art. 30 Abs. 2 lit. e und Abs. 3 lit. e DORA). Diese Rechte umfassen den Zugang zu den relevanten Informationen, Systemen und Geschäftsräumen, soweit dies zur Wahrnehmung der regulatorischen Pflichten des Kunden erforderlich ist.

(2) Vorrang dokumentenbasierter Nachweise. Datargo weist die Einhaltung der einschlägigen Sicherheits- und Compliance-Anforderungen vorrangig durch geeignete, aktuelle Nachweise nach, insbesondere durch anerkannte Zertifizierungen und unabhängige Prüfberichte (etwa ISO/IEC 27001 oder vergleichbare Standards, ein BSI-C5-Testat oder einen SOC-2-Typ-II-Bericht), durch Selbstauskünfte sowie durch zusammenfassende Berichte über Prüfungen und Tests. Diese Nachweise stellt Datargo dem Kunden auf Anforderung im zumutbaren Umfang zur Verfügung. Der Kunde akzeptiert solche Nachweise, soweit sie den geprüften Bereich abdecken und aktuell sind.

(3) Vor-Ort-Prüfung. Reichen die nach Absatz 2 vorgelegten Nachweise im Einzelfall nicht aus oder verlangt die zuständige Behörde eine weitergehende Prüfung, kann der Kunde eine Prüfung vor Ort durchführen oder durch einen geeigneten Dritten durchführen lassen. Für die Durchführung gilt:

AspektRegelung
Prüferder Kunde selbst, ein von ihm beauftragter, zur Verschwiegenheit verpflichteter und mit Datargo nicht im Wettbewerb stehender unabhängiger Prüfer oder die zuständige Behörde.
Ankündigungnach angemessener Vorankündigung in Textform; bei Prüfungen durch eine zuständige Behörde oder bei einem konkreten Anlass (etwa nach einem schwerwiegenden Vorfall) verkürzt sich die Frist auf das von der Behörde oder vom Anlass geforderte Maß.
Zeit und Ortwährend der üblichen Geschäftszeiten, ohne unzumutbare Beeinträchtigung des Geschäftsbetriebs von Datargo.
Umfangbeschränkt auf die für den Kunden erbrachten Leistungen und die Einhaltung der vertraglichen und regulatorischen Anforderungen; unter Wahrung der Geheimhaltungsinteressen von Datargo und der Schutzrechte Dritter und anderer Kunden (Mandantentrennung).
Häufigkeitin der Regel höchstens einmal je Kalenderjahr; zusätzliche Prüfungen bei konkretem Anlass oder auf Verlangen einer zuständigen Behörde.
Kopiendas Recht, bei der Prüfung relevante Unterlagen vor Ort einzusehen und, soweit für kritische oder wichtige Funktionen erforderlich, Kopien zu nehmen, soweit dem keine Geheimhaltungs-, Datenschutz- oder Sicherheitsbelange entgegenstehen.

(4) Erweiterte Auditrechte bei kritischen oder wichtigen Funktionen. Unterstützen die Leistungen eine kritische oder wichtige Funktion, gewährt Datargo dem Kunden und der zuständigen Behörde uneingeschränkte Rechte auf Zugang, Inspektion und Audit sowie das Recht, vor Ort Kopien relevanter Unterlagen zu nehmen (Art. 30 Abs. 3 lit. e DORA). Datargo wirkt an Prüfungen umfassend und nach Treu und Glauben mit und beschränkt diese Rechte nicht über das zum Schutz der Geheimhaltungs-, Datenschutz- und Sicherheitsinteressen sowie der Mandantentrennung erforderliche Maß hinaus.

(5) Behördliche Zugriffsrechte und Kooperation. Datargo kooperiert uneingeschränkt mit den für den Kunden zuständigen Aufsichts- und Abwicklungsbehörden und ermöglicht diesen die Wahrnehmung ihrer Aufsichts-, Prüf- und Zugangsrechte einschließlich Prüfungen vor Ort (Art. 30 Abs. 2 lit. f DORA). Datargo unterrichtet den Kunden über behördliche Anfragen, die die für ihn erbrachten Leistungen betreffen, soweit dies rechtlich zulässig ist.

(6) Die Kosten von Prüfungen nach Absatz 3 trägt der Kunde, soweit die Prüfung keinen von Datargo zu vertretenden wesentlichen Mangel ergibt; in diesem Fall trägt Datargo die ihr zurechenbaren angemessenen Kosten. Über den üblichen Aufwand hinausgehende Unterstützungsleistungen kann Datargo angemessen vergütet verlangen, soweit DORA dem nicht entgegensteht. Behördliche Prüfungen erfolgen ohne gesonderte Vergütung.

6. Unterauftrag und Subunternehmer

(1) Datargo ist berechtigt, zur Erbringung der Leistungen Subunternehmer einzusetzen. Datargo wählt diese sorgfältig aus, überwacht sie und bleibt für deren Leistungen wie für eigenes Verhalten verantwortlich. Die jeweils eingesetzten Subunternehmer, die personenbezogene Daten verarbeiten, sind unter Sub-Prozessoren abrufbar.

(2) Unterbeauftragung bei kritischen oder wichtigen Funktionen. Unterstützen die Leistungen eine kritische oder wichtige Funktion, gelten zusätzlich die Bedingungen für die Unterbeauftragung nach Art. 30 Abs. 2 lit. a DORA. Datargo verpflichtet den Subunternehmer vertraglich auf die Einhaltung der für die betroffene Funktion maßgeblichen Sicherheits-, Verfügbarkeits-, Audit- und Mitwirkungspflichten, die denen dieses Addendums entsprechen, einschließlich der Zugangs- und Auditrechte des Kunden und der zuständigen Behörde sowie der Standortbindung an die Europäische Union.

(3) Vorherige Unterrichtung und Widerspruchsrecht. Datargo unterrichtet den Kunden rechtzeitig in Textform über eine beabsichtigte Änderung im Bestand der Subunternehmer, die eine kritische oder wichtige Funktion unterstützen. Der Kunde kann der Änderung binnen einer angemessenen Frist aus wichtigem regulatorischen oder sicherheitsbezogenen Grund widersprechen. Im Falle eines berechtigten Widerspruchs werden die Parteien eine einvernehmliche Lösung suchen; gelingt dies nicht, steht dem Kunden ein Kündigungsrecht nach Ziffer 11 in Bezug auf die betroffene Leistung zu.

(4) Wesentliche Änderungen, die die Eignung eines Subunternehmers zur Unterstützung einer kritischen oder wichtigen Funktion erheblich beeinträchtigen könnten, teilt Datargo dem Kunden unverzüglich mit.

7. Meldung IKT-bezogener Vorfälle

(1) Datargo unterrichtet den Kunden unverzüglich über IKT-bezogene Vorfälle, die die für ihn erbrachten Leistungen betreffen, sowie über erhebliche Cyberbedrohungen und Schwachstellen, soweit sie für den Kunden relevant sind (Art. 30 Abs. 2 lit. f und Abs. 3 lit. c DORA).

(2) Meldefristen. Die Unterrichtung erfolgt ohne schuldhaftes Zögern, in der Regel innerhalb von 24 Stunden nach Kenntniserlangung von einem schwerwiegenden Vorfall, der die Leistungen des Kunden betrifft. Datargo informiert in einer ersten Meldung über Art, bekannten Umfang und voraussichtliche Auswirkungen sowie eingeleitete Maßnahmen und aktualisiert die Information fortlaufend, bis der Vorfall behoben ist. Datargo stellt dem Kunden die für dessen eigene aufsichtsrechtliche Meldepflichten nach Art. 19 DORA und nach NIS2 erforderlichen Informationen im Rahmen des Möglichen rechtzeitig zur Verfügung.

(3) Datargo unterstützt den Kunden bei der Bewertung, Bearbeitung und Behebung eines IKT-bezogenen Vorfalls im vereinbarten Umfang. Bei Vorfällen, die die Leistungen des Kunden betreffen, erfolgt die Unterstützung ohne zusätzliche Kosten; ein darüber hinausgehender, vorab zu bestimmender Aufwand wird gesondert vereinbart (Art. 30 Abs. 2 lit. f DORA).

(4) Die Meldung von Verletzungen des Schutzes personenbezogener Daten richtet sich ergänzend nach dem Auftragsverarbeitungsvertrag und den Art. 33 und 34 DSGVO.

8. Business Continuity, Sicherheit und bedrohungsorientierte Tests

(1) Datargo unterhält angemessene Notfall-, Wiederanlauf- und Wiederherstellungsvorkehrungen sowie IKT-Sicherheitsmaßnahmen nach dem Stand der Technik und prüft deren Wirksamkeit regelmäßig (Art. 30 Abs. 3 lit. c DORA). Auf Anforderung stellt Datargo dem Kunden zusammenfassende Informationen über die Vorkehrungen und die Ergebnisse der Tests im zumutbaren Umfang zur Verfügung.

(2) Bedrohungsorientierte Penetrationstests (TLPT). Unterliegt der Kunde der Pflicht zur Durchführung bedrohungsorientierter Penetrationstests nach den Art. 26 und 27 DORA und beziehen diese Tests die von Datargo erbrachten Leistungen ein, wirkt Datargo im zumutbaren Umfang an der Durchführung mit (Art. 30 Abs. 3 lit. d DORA). Umfang, Zeitpunkt, Methodik, Vergütung und Schutzvorkehrungen, insbesondere zur Wahrung der Sicherheit und der Mandantentrennung gegenüber anderen Kunden in einer mandantenfähigen Umgebung, werden in einer gesonderten Vereinbarung festgelegt. Soweit ein Pooling-Test nach Art. 26 Abs. 4 DORA in Betracht kommt, unterstützt Datargo die Abstimmung mit anderen beteiligten Finanzunternehmen.

(3) Sensibilisierung und Schulung. Auf Wunsch des Kunden und in zumutbarem Umfang nimmt Datargo an Programmen des Kunden zur Sensibilisierung für IKT-Sicherheit und zur Schulung der digitalen operationalen Resilienz teil, soweit diese die Zusammenarbeit im Rahmen dieses Vertrages betreffen (Art. 30 Abs. 2 lit. g DORA).

9. Ausstiegsstrategie und Reversibilität

(1) Datargo unterstützt den Kunden bei einem geordneten Ausstieg aus dem Vertragsverhältnis, sei es zur Migration auf einen anderen Anbieter oder zur Rückführung in eine eigene Lösung des Kunden (Art. 28 Abs. 8 und Art. 30 Abs. 3 lit. f DORA).

(2) Übergangszeitraum. Unterstützen die Leistungen eine kritische oder wichtige Funktion, erbringt Datargo die betroffenen Leistungen auf Verlangen des Kunden nach Beendigung des Vertrages für einen angemessenen Übergangszeitraum von bis zu zwölf Monaten zu den bisherigen Bedingungen gegen die vereinbarte Vergütung weiter, um eine Unterbrechung beim Kunden oder eine Beeinträchtigung seiner geordneten Abwicklung zu vermeiden. Der Kunde teilt die Inanspruchnahme und die gewünschte Dauer rechtzeitig vor Vertragsende mit.

(3) Datenrückgabe. Datargo gibt dem Kunden seine Kundendaten in einem leicht zugänglichen, gängigen, strukturierten und maschinenlesbaren Format zurück und ermöglicht deren Export. Datargo unterstützt die Migration der Daten und, soweit vereinbart, der Konfigurationen auf ein Zielsystem im erforderlichen und zumutbaren Umfang. Über den üblichen Exportumfang hinausgehende Migrations- und Übergangsleistungen werden gegen angemessene, vorab zu bestimmende Vergütung erbracht.

(4) Geordneter Ausstieg. Datargo wirkt während des Übergangszeitraums an einem geordneten Ausstieg mit, insbesondere durch Bereitstellung der erforderlichen Dokumentation und Informationen sowie durch die gebotene Mitwirkung bei Tests der Reversibilität. Nach Abschluss des Ausstiegs und Ablauf des Übergangszeitraums löscht Datargo die Kundendaten und vorhandene Kopien oder gibt sie zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Datenschutzrechtliche Lösch- und Rückgabepflichten richten sich ergänzend nach dem Auftragsverarbeitungsvertrag .

(5) Auf Anforderung stellt Datargo dem Kunden die Informationen zur Verfügung, die dieser zur Erstellung und Pflege seiner eigenen Ausstiegsstrategie nach Art. 28 Abs. 8 DORA benötigt, soweit sie die für ihn erbrachten Leistungen betreffen.

10. Unterstützung beim Informationsregister

(1) Datargo stellt dem Kunden die Informationen zur Verfügung, die dieser zur Führung und Aktualisierung seines Informationsregisters nach Art. 28 Abs. 3 DORA in Bezug auf die mit Datargo bestehenden vertraglichen Vereinbarungen benötigt, insbesondere Angaben zu den bezogenen Leistungen, zu den Datenstandorten und, bei kritischen oder wichtigen Funktionen, zu den eingesetzten Subunternehmern.

(2) Soweit Datargo über die hierfür erforderlichen Kennungen verfügt (insbesondere die Rechtsträgerkennung, Legal Entity Identifier, LEI), teilt Datargo diese dem Kunden auf Anforderung mit. Datargo unterstützt den Kunden bei Plausibilitätsrückfragen zu den registerrelevanten Angaben im zumutbaren Umfang.

(3) Die Verantwortung für die Erstellung, Vollständigkeit, Richtigkeit und fristgerechte Übermittlung des Informationsregisters an die zuständige Behörde verbleibt beim Kunden.

11. Kündigungsrechte

(1) Über die Kündigungsrechte der Allgemeinen Geschäftsbedingungen hinaus kann der Kunde den Vertrag oder die betroffene Leistung aus wichtigem Grund kündigen, wenn einer der Umstände des Art. 28 Abs. 7 DORA vorliegt, insbesondere wenn

BuchstabeKündigungsgrund (Art. 28 Abs. 7 DORA)
aDatargo geltende Rechts- und Verwaltungsvorschriften oder Vertragsbedingungen erheblich verletzt;
bim Rahmen der Überwachung des IKT-Drittparteienrisikos Umstände festgestellt werden, die geeignet sind, die Erfüllung der vertraglich vereinbarten Funktionen zu verändern, einschließlich wesentlicher Änderungen, die die Vereinbarung oder die Lage von Datargo betreffen;
cbei Datargo nachgewiesene Schwächen im IKT-Risikomanagement bestehen, insbesondere bei der Gewährleistung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten; oder
ddie zuständige Behörde den Kunden infolge der Bedingungen oder Umstände bei Datargo nicht mehr wirksam beaufsichtigen kann.

(2) Datargo räumt dem Kunden für die Kündigung nach Absatz 1 angemessene Mindestkündigungsfristen im Einklang mit den Erwartungen der zuständigen Behörden ein (Art. 30 Abs. 2 lit. h DORA). Das Recht zur ordentlichen Kündigung sowie die Kündigungsrechte aus den Allgemeinen Geschäftsbedingungen bleiben unberührt.

(3) Im Falle einer Kündigung nach diesem Addendum gelten die Regelungen zur Ausstiegsstrategie und Reversibilität nach Ziffer 9, insbesondere zum Übergangszeitraum und zur Datenrückgabe.

12. NIS2-Lieferkettenkooperation

(1) Soweit der Kunde als wichtige oder kritische Einrichtung der NIS2 unterliegt, unterstützt Datargo den Kunden bei der Erfüllung seiner Pflichten zur Sicherheit der Lieferkette nach Art. 21 Abs. 2 NIS2 und seiner nationalen Umsetzung.

(2) Datargo trifft angemessene technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik (vgl. den Auftragsverarbeitungsvertrag ), unterhält ein Sicherheitsvorfall-Management und stellt dem Kunden auf Anforderung im zumutbaren Umfang Nachweise über die getroffenen Maßnahmen (etwa Zertifikate, Testate oder Prüfberichte) zur Verfügung.

(3) Datargo unterrichtet den Kunden unverzüglich über Sicherheitsvorfälle, die die für ihn erbrachten Leistungen betreffen, und unterstützt ihn bei der Einhaltung seiner Meldepflichten gegenüber den zuständigen Behörden, einschließlich der nach NIS2 geltenden Fristen (insbesondere Frühwarnung, Meldung und Abschlussbericht). Die Meldefristen und Einzelheiten richten sich nach Ziffer 7, die insoweit entsprechend gilt.

(4) Datargo kooperiert mit dem Kunden bei der Bewältigung und Nachbereitung von Sicherheitsvorfällen in der Lieferkette im vereinbarten Umfang und benennt hierfür geeignete Ansprechpartner und Kontaktwege.

13. Verbleibende regulatorische Verantwortung des Kunden

(1) Die Verantwortung für die Einhaltung der für den Kunden geltenden regulatorischen Anforderungen, insbesondere aus DORA und NIS2, verbleibt allein beim Kunden. Sie ist regulatorisch nicht auf Datargo übertragbar.

(2) Datargo unterstützt den Kunden bei der Erfüllung seiner Pflichten im Rahmen dieses Addendums, übernimmt jedoch keine Gewähr dafür, dass die Nutzung der Leistungen allein die regulatorischen Anforderungen des Kunden erfüllt. Dem Kunden obliegen insbesondere die Einstufung kritischer oder wichtiger Funktionen, das eigene IKT-Risikomanagement, die Führung des Informationsregisters, die eigenen aufsichtsrechtlichen Meldungen und die Erstellung der eigenen Ausstiegsstrategie.

(3) Die Bewerbung oder Bezeichnung der Leistungen als geeignet zur Unterstützung von DORA- oder NIS2-Anforderungen begründet keine Garantie und keine über dieses Addendum hinausgehende Pflicht von Datargo.

14. Nicht zumutbare Pflichten; Einzelvereinbarung

(1) Soweit eine nach DORA oder NIS2 für kritische oder wichtige Funktionen vorgesehene Anforderung über das hinausgeht, was Datargo als Anbieterin einer mandantenfähigen Standard-Software-as-a-Service mit angemessenem Aufwand und unter Wahrung der Sicherheit und der Rechte anderer Kunden leisten kann, ist diese Anforderung Gegenstand einer gesonderten Einzelvereinbarung. Dies betrifft insbesondere weitergehende individuelle Penetrationstests, individuelle Vor-Ort-Zugänge in mandantenfähige Systeme, individuelle Verfügbarkeits- oder Wiederanlaufziele sowie individuelle Standort- oder Betriebsvorgaben.

(2) Die Parteien verhandeln solche Anforderungen nach Treu und Glauben mit dem Ziel, eine den regulatorischen Vorgaben des Kunden genügende und für Datargo zumutbare Lösung zu finden. Eine solche Einzelvereinbarung geht diesem Addendum vor.

15. Schlussbestimmungen

(1) Soweit dieses Addendum keine abweichenden Regelungen trifft, gelten die Allgemeinen Geschäftsbedingungen ergänzend, insbesondere zu Recht, Gerichtsstand, Textform und der Behandlung unwirksamer Bestimmungen.

(2) Ändern sich die für regulierte Kunden maßgeblichen rechtlichen oder regulatorischen Anforderungen, werden die Parteien dieses Addendum im erforderlichen Umfang nach Treu und Glauben anpassen.

Maßgebliche Sprachfassung

Dieses Dokument wird in deutscher, englischer und französischer Sprache bereitgestellt. Die englische und die französische Fassung sind ausschließlich Übersetzungen zur besseren Verständlichkeit. Maßgeblich und im Streitfall sowie bei Auslegungs- oder Übersetzungsdifferenzen allein verbindlich ist die deutsche Fassung.

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz