1. Vertragsgegenstand
Gegenstand dieser Leistungsbeschreibung ist die Bereitstellung eines Informationssicherheits‑ und Datenschutzmanagementsystems (ISMS inkl. DSMS) durch die Trans4mation AC GmbH (nachfolgend „Auftragnehmer“) für den jeweiligen Kunden (nachfolgend „Auftraggeber“).
Das System stellt eine zentrale, cloudbasierte Management‑ und Dokumentationsplattform zur strukturierten Abbildung von Informationssicherheits‑ und Datenschutzanforderungen bereit.
Die Bereitstellung des Systems erfolgt im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Abschluss eines gesonderten Auftragsverarbeitungsvertrags (AV‑Vertrags) ist Voraussetzung für die Nutzung des Systems.
Diese Leistungsbeschreibung gilt als alleinige, vollständige und abschließende Beschreibung des im Shop angebotenen ISMS‑Produkts. Nebenabreden oder weitergehende Leistungen sind nicht geschuldet, sofern sie nicht ausdrücklich schriftlich vereinbart wurden.
2. Ziel und Zweck der Leistung
Ziel der Leistung ist die systemseitige und methodische Unterstützung des Auftraggebers beim Aufbau, Betrieb und Ziel der Leistung ist die systemseitige und methodische Unterstützung des Auftraggebers beim Aufbau, Betrieb und der Weiterentwicklung eines integrierten Managementsystems für:
- Informationssicherheit (ISMS)
- Datenschutz (DSMS)
insbesondere im Hinblick auf:
- ISO/IEC 27001,
- DSGVO (ausschließlich in management‑ und dokumentationsbezogener Ausprägung),
- NIS‑2,
- vergleichbare regulatorische oder vertragliche Anforderungen.
Die Leistung dient ausschließlich der Unterstützung bei Organisation, Dokumentation und Nachweisführung.
Sie ersetzt weder rechtliche Beratung noch eine fachliche oder technische Einzelprüfung.
Insbesondere stellt das DSMS keine vollständige Umsetzung oder Herstellung von DSGVO‑Konformität dar und ersetzt keine datenschutzrechtliche Bewertung technischer und organisatorischer Maßnahmen.
Ein bestimmter Audit‑, Zertifizierungs‑, Prüf‑ oder Genehmigungserfolg ist ausdrücklich nicht geschuldet.
3. Systembasis und Bereitstellung
Das ISMS inkl. DSMS wird auf Basis von Microsoft SharePoint Online (Microsoft 365) bereitgestellt.
Die Leistung umfasst:
- Bereitstellung einer strukturierten Systemumgebung,
- Konfiguration standardisierter Listen, Bibliotheken und Ansichten,
- Nutzung vordefinierter Templates und Grundmodelle.
Ein Betrieb außerhalb von Microsoft 365 oder als On‑Premises‑Lösung ist nicht Bestandteil dieser Leistung.
Die Nutzung von Microsoft 365 erfolgt in der technischen und organisatorischen Verantwortung des Auftraggebers.
Die datenschutzrechtliche Bewertung von Microsoft 365, einschließlich Drittlandübermittlungen, Datenstandorten, Verschlüsselung sowie der Konfiguration von Sicherheits‑ und Datenschutzfunktionen, ist nicht Bestandteil dieser Leistung.
Microsoft agiert als (Unter‑)Auftragsverarbeiter des Auftraggebers.
4. Leistungsumfang
4.1 Allgemeine Systemfunktionen
- Abbildung von Unternehmen, Organisationseinheiten, Standorten und Geltungsbereichen
- Rollen- und berechtigungsbasierte Zugriffskonzepte
- Versionierte Dokumenten‑ und Nachweisverwaltung
- Aufgaben‑ und Maßnahmenmanagement
- Änderungs‑ und Bearbeitungsnachvollziehbarkeit
- Zentrale Ablage von Richtlinien, Prozessen und Nachweisen
4.2 ISMS-Funktionalitäten
Asset‑Management
Strukturierte Erfassung und Klassifizierung von Informationswerten
Risikomanagement
Dokumentation von Risiken, Bewertungen und Risikobehandlungsentscheidungen
Maßnahmen‑ und Aufgabenmanagement
Planung, Zuweisung und Nachverfolgung von Sicherheitsmaßnahmen
Incident‑Management
Erfassung und Dokumentation von sicherheitsrelevanten Vorfällen
Lieferanten‑ und Partnermanagement
Dokumentation externer Dienstleister im Kontext der Informationssicherheit
Dokumentenmanagement
Verwaltung von Richtlinien, Konzepten, Arbeitsanweisungen und Nachweisen
4.3 DSMS-Funktionalitäten
Das ISMS beinhaltet ein integriertes Datenschutzmanagementsystem (DSMS) mit folgenden Funktionalitäten:
- Abbildung datenschutzrelevanter Organisationseinheiten und Zuständigkeiten
- Verzeichnis von Verarbeitungstätigkeiten (VVT)
- Datenschutz‑Risikobetrachtungen auf Managementebene
- Dokumentation datenschutzrelevanter Prozesse und Maßnahmen
- Ablage und Verwaltung datenschutzbezogener Dokumente und Nachweise
Die im DSMS enthaltenen Risikobetrachtungen stellen keine Datenschutz‑Folgenabschätzung gemäß Art. 35 DSGVO dar.
Nicht Bestandteil des DSMS sind insbesondere:
- Löschkonzepte oder automatisierte Löschlogiken
- Datenschutz‑Folgenabschätzungen (DSFA), insbesondere für Microsoft 365 (separat erhältlich)
- technische Umsetzung oder Kontrolle von Datenschutzmaßnahmen
4.4 inkludierte Beratungsleistung
Im Rahmen des ISMS‑Produkts sind jährlich Beratungsstunden enthalten, abhängig vom im Shop bzw. in der jeweils gültigen Preisliste ausgewiesenen Leistungsumfang.
Die Beratungsleistungen dienen ausschließlich der produkt‑ und systembezogenen Unterstützung, insbesondere bei:
- Fragen zur Nutzung und Struktur des ISMS‑/DSMS‑Systems
- Erläuterungen zu Funktionen, Workflows und Systemlogik
- fachlichen Rückfragen im Zusammenhang mit der Weiterentwicklung und Pflege des Managementsystems,
ohne Übernahme inhaltlicher Verantwortung oder Entscheidungsbefugnis
Die Beratungsstunden stellen keine fortlaufende Betreuung, keine Projektleistung und kein Service Level Agreement (SLA) dar.
Die Beratungsstunden gelten jeweils für ein Vertragsjahr, sind nicht auf Folgejahre übertragbar und verfallen mit Ablauf der jeweiligen Abrechnungsperiode, sofern sie nicht in Anspruch genommen wurden.
Eine Auszahlung oder Verrechnung nicht genutzter Beratungsstunden ist ausgeschlossen.
Über die im Produkt enthaltenen Beratungsstunden hinausgehende Leistungen werden ausschließlich nach gesonderter Vereinbarung erbracht.
5. Implementierung
Die Implementierung umfasst – sofern vereinbart:
- fachliche und systembezogene Erstberatung,
- Bereitstellung und Grundkonfiguration des ISMS‑/DSMS‑Konstrukts,
- Einweisung in Struktur, Systemlogik und Nutzung.
Der Auftragnehmer nimmt keine inhaltliche Befüllung des Systems vor.
Insbesondere werden keine Assets, Risiken, Maßnahmen, Verarbeitungstätigkeiten oder Inhalte erstellt, bewertet oder gepflegt.
Die vollständige inhaltliche Verantwortung liegt beim Auftraggeber.
6. Abgrenzung der Leistung
Nicht Bestandteil dieser Leistungsbeschreibung sind insbesondere:
- Datenschutz‑Folgenabschätzungen (DSFA)
- Löschkonzepte
- rechtliche Beratung oder Einzelfallprüfungen
- Stellung eines externen Informationssicherheits‑ oder Datenschutzbeauftragten
- Durchführung oder Begleitung von Audits oder Zertifizierungen
- Service Level Agreements (SLA)
- laufende Pflege oder Aktualisierung von Inhalten
- individuelle Sonderentwicklungen oder kundenspezifische Anpassungen
7. Zusatzleistungen
Zusätzliche Leistungen wie z. B.:
- Beratungs‑ oder Projektleistungen
- Workshops
- fachliche Unterstützung im Betrieb
können nach gesonderter Vereinbarung kostenpflichtig beauftragt werden.
8. Mitwirkungspflichten des Auftraggebers
Der Auftraggeber ist verantwortlich für:
- die Rechtmäßigkeit der Verarbeitung aller im System enthaltenen Daten,
- Inhalte, Pflege und Aktualität der Daten,
- Benennung interner Verantwortlicher,
- Entscheidungen über Risiken, Maßnahmen und Freigaben,
- die angemessene Datensicherung sowie Nutzung des Systems gemäß gesetzlicher Anforderungen.
9. Vertragslaufzeit und Abrechnung
Die Mindestvertragslaufzeit für die Nutzung des ISMS‑Produkts beträgt 36 Monate und beginnt mit dem vertraglich vereinbarten Leistungsstart.
Die Abrechnung erfolgt jährlich im Voraus.
Sofern der Vertrag nicht unter Einhaltung einer Frist von drei Monaten zum Ende der jeweiligen Vertragslaufzeit gekündigt wird, verlängert er sich automatisch um weitere zwölf Monate.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt hiervon unberührt.
10. Haftung und Erfolg
Das ISMS inkl. DSMS stellt eine unterstützende Management‑ und Dokumentationslösung dar.
Der Auftragnehmer schuldet keinen bestimmten rechtlichen, normativen oder organisatorischen Erfolg, sondern ausschließlich die vertragsgemäße Bereitstellung des Systems.
Die Haftung des Auftragnehmers ist – soweit gesetzlich zulässig – auf Vorsatz und grobe Fahrlässigkeit beschränkt.
Eine Haftung für Datenverluste, Fehlkonfigurationen oder inhaltliche Entscheidungen des Auftraggebers ist ausgeschlossen.
11. Vergütung
Die Vergütung richtet sich nach der im Shop ausgewiesenen Preisliste.
Alle Preise verstehen sich zzgl. gesetzlicher Mehrwertsteuer.