Common use of Kontakt Clause in Contracts

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID | CH-300-3020266-6 MWSt.-Nr. | CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen XXXXXXXXXXX UID | DE295158299 27/38 Erbringt XiTrust Leistungen bei der Fehlersuche oder –beseitigung, ohne hierzu verpflichtet zu sein, so kann sie hierfür Vergütung entsprechend ihrer üblichen Sätzen verlangen. Dies gilt insbes., wenn der Mangel nicht nachweisbar oder nicht XiTrust zuzurechnen ist. Die Gewährleistung für MOXIS Cloud Services - Einrichtung und Deployment gilt nicht ✓ für Mängel, die auf Bedienungsfehler und Nichtbeachtung von Sicherungsmaßnahmen bzw. auf die Nichteinhaltung der Sorgfaltspflichten des Trennungsgebots wird gewährleistetKunden zurückzuführen sind, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt soaußer der Kunde weist nach, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden könnenMängel auch bei Einhaltung der Sorgfaltspflichten auftreten, sofern ✓ für Kundendaten, welche vom Kunden durch andere Programme oder Werkzeuge des Kunden bzw. Dritter verändert werden, so dass diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit inkonsistent im Sinne der Weitergabekontrolle wird verhindertNutzung von MOXIS werden, ✓ bei selbst veranlassten Eingriffen oder Änderungen von MOXIS durch den Kunden, wie Veränderungen, Anpassungen, Verbindung mit anderen Programmen durch den Kunden oder Dritte und/oder nach vertragswidriger Nutzung aufgetreten sind, außer der Kunde beweist, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können der Mangel unabhängig davon besteht. In Hinblick auf Haftung-Schadenersatz und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung Freiheit von Rechten Dritter gelten die entsprechenden Punkte im Hauptteil analog bezogen auf MOXIS Cloud Services - Einrichtung und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft Deployment und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEdas dafür vom Kunden geleistete Entgelt.

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID | CH-300-3020266-6 MWSt.-Nr. | CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen 6/38 Services, insbesondere die Zurverfügungstellung als Dienstleistung an Dritte (mit oder ohne Erwerbsabsicht), ist unzulässig. Soweit die MOXIS Cloud Services vom Kunden und dessen Verbundenen Unternehmen dazu verwendet werden, Geschäftspartner als Autorisierte Nutzer dazu einzuladen, Dokumente zu unterzeichnen, ist diese Form der Nutzung durch Dritte zulässig. Alle Rechte, welche über die in diesem Punkt gewährten Rechte hinausgehen, insbesondere das Recht zur Vervielfältigung, Verbreitung einschließlich der (Weiter-)Vermietung an Dritte, zur Bearbeitung sowie zur öffentlichen Zugänglichmachung, verbleiben bei XiTrust (siehe dazu auch den Punkt 7 „Geistiges Eigentum“). Dem Kunden und seinen Verbundenen Unternehmen ist bei der Nutzung des Trennungsgebots wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, MOXIS Cloud Service das Kopieren, Ändern Übersetzen, Disassemblieren, Dekompilieren, Zurückentwickeln oder Entfernen bei elektronischer Übertragung anderes Modifizieren bzw. das Erstellen davon abgeleiteter Werke (soweit dies nicht nach zwingendem Recht zulässig oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von für Erfüllung des Vertragszwecks erforderlich ist) nicht gestattet. Dem Kunden und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kannseinen Verbundenen Unternehmen ist eine Nutzung des MOXIS Cloud Service in einer Weise, welche Personenbezogenen Daten gegen anwendbares Recht verstößt, nicht gestattet. Der Kunde haftet gegenüber XiTrust für die vertragsgemäße Nutzung des MOXIS Cloud Service durch den Kunden, seine Verbundenen Unternehmen und Geschäftspartner sowie der Autorisierten Nutzer. XiTrust ist berechtigt, die Lizenz des Kunden aus wichtigem Grund zu welcher Zeit beenden. Als wichtiger Grund gilt jeder beharrliche und wesentliche Verstoß des Kunden gegen Bestimmungen des Vertrags, insbesondere wenn der Kunde gegen die Regelungen über Nutzungsrechteeinräumung, z. B. gegen die Lizenzbedingungen, verstößt und diesen Verstoß trotz Aufforderung von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. XiTrust nicht binnen 30 Tagen ab Feststellung des Verstoßes durch XiTrust behebt. Siehe dazu auch gelöscht und entfernt worden sindden Punkt 4.1.2 Überprüfung. • Protokollierung, ob und In den Fällen der Beendigung der Lizenz des Kunden stellt der Kunde die Nutzung der Software unverzüglich ein. Weitergehende Rechte von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEXiTrust bleiben hiervon unberührt.

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID | CH-300-3020266-6 MWSt.-Nr. | CHE-159.106.021 MWSt. IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen 8/38 ✓ bei selbst veranlassten Eingriffen oder Änderungen des Trennungsgebots wird gewährleistetMOXIS Cloud Service durch den Kunden, wie Veränderungen, Anpassungen, Verbindung mit anderen Programmen durch den Kunden oder Dritte und/oder nach vertragswidriger Nutzung aufgetreten sind, außer der Kunde beweist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden könnender Mangel unabhängig davon besteht. • Mandantentrennung • Trennung Für das Zusammenspiel der Leistungen von Produktiv- XiTrust mit der Systemumgebung, der Organisation des Kunden oder den Leistungen Dritter (ausgenommen Erfüllungsgehilfen von XiTrust) kann XiTrust nicht einstehen. Ausgenommen von diesem Gewährleistungsausschluss sind Fälle, in welchen der Mangel im MOXIS Cloud Service durch Mängel in der Erbringung von gegebenenfalls zwischen dem Kunden und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • ProviderXiTrust vereinbarten Entwickler-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen Services begründet ist. • Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken XiTrust bietet keine Gewähr für die mit dem Verantwortlichen Verfügbarkeit MOXIS Cloud Service erzielten Ergebnisse, soweit diese auf den Eingaben des Kunden beruhen. Dem Kunden obliegt daher die Hinweispflicht an die Autorisierten Nutzer, die Dokumente vor Signatur inhaltlich zu prüfen. Höhere Gewalt im Sinne von Arbeitskonflikten, Naturkatastrophen, Pandemien (nur soweit sich diese durch behördliche Auflagen nachweislich auf die Leistungserbringung von XiTrust auswirken) und Belastbarkeit Transportsperren sowie sonstige Umstände, die außerhalb der Einflussmöglichkeit von XiTrust liegen, entbinden XiTrust von der Leistungsverpflichtung, solange diese anhält. Sofern die höhere Gewalt Situation länger als 3 (Art 32 Abs lit b DSGVOdrei) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEMonate andauert, haben XiTrust und der Kunde jeweils das Recht den Vertrag mit einer dreimonatigen Kündigungsfrist zu beenden.

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A 35/38 Trennungskontrolle XXXXXXXXXXX UID | DE295158299 34/38 Anlage 2 zu Anhang C – Technische und Organisatorische Maßnahmen‌ Zutrittskontrolle Im Rahmen des Trennungsgebots der Zutrittskontrolle wird gewährleistetUnbefugten der „körperliche“ Zutritt zu Datenverarbeitungsanlagen, dass zu unterschiedlichen Zwecken erhobene mit denen Personenbezogene Daten getrennt verarbeitet werden könnenwerden, verwehrt. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle Es wird verhindert, dass Datenträger Personen, die dazu nicht befugt sind, unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen. Hierdurch wird von vorneherein die Möglichkeit unbefugter Kenntnis- oder Einflussnahme ausgeschlossen. • Zutrittskontrollsystem • Alarmanlage • Besucherüberwachung Zugangskontrolle Durch die Zugangskontrolle wird die unbefugte Nutzung von Datenverarbeitungssystemen verhindert. Geschützt wird das Eindringen in das System selbst seitens unbefugter (externer) Personen. • (Sichere) Kennwörter (einschließlich entsprechender Policy) • Benutzer-Authentifizierung • Automatische Sperrmechanismen • Trennung von Firmen- und Gäste-WLAN • Sicherungsmaßnahmen für externen Zugriff auf Firmennetzwerk z.B. aus Homeoffice (Virtual Private Network) • Richtlinie über sicheren Einsatz für (mobile) Endgeräte • Kein Einsatz von privaten Endgeräten • Verschlüsselung von Datenträgern • Zwei-Faktor-Authentifizierung Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Dadurch werden können sowohl Zugriffs- und Speichermaßnahmen kontrolliert. Organisatorisch wird sichergestellt, dass überprüft der Zugriff nur zu solchen Daten eröffnet wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen die der Mitarbeiter zur Datenübertragung vorgesehen istErledigung der ihm übertragenen Aufgaben benötigt. • Kein unbefugtes LesenStandard-Berechtigungsprofile auf „need-to-know“- Basis • Standardprozess für Berechtigungsvergabe • Protokollierung von Zugriffen • Periodische Überprüfungen der vergebenen Berechtigungen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport insb. von administrativen Benutzerkonten • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Prozess zur Aufhebung nicht mehr benötigter Zutrittsrechten Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A XXXXXXXXXXX UID | DE295158299 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 XXXXXXXXXXX UID | DE295158299 16/38 Anhang A 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots – MOXIS Lizenzbedingungen‌ Auf die Nutzung der MOXIS Cloud Services kommen die Lizenzbedingungen gemäß Vertrag, insbesondere die MOXIS Lizenzbedingungen in diesem Anhang A, zur Anwendung. Bei der Lizenzierung von MOXIS unterscheidet XiTrust grundsätzlich zwischen User- und Dokumentenmodell. Das signierte Dokument wird gewährleistetnach der am Dokument angebrachten Signatur mit dem höchsten Niveau eingestuft. Als ein QES-Dokument gilt z.B. ein Dokument, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden könnenwenn sich neben mehreren SES oder/und Fortgeschrittenen Signaturen mindestens eine (1) Qualifizierte Elektronische Signatur am Dokument befindet. • Mandantentrennung • Trennung Es können sich jedoch unlimitiert viele QES am Dokument befinden. Befinden sich hingegen z. B. am Dokument ausschließlich SES, so gilt das Dokument als ein SES-Dokument. Es können sich unlimitiert viele SES am Dokument befinden. Die MOXIS Cloud Services dürfen nicht von Produktiv- 2 oder mehreren Personen, die sich als derselbe Team-User ausgeben, bzw. von generischen und Testsystem • Getrennte Speicherung Pseudonymisierung nicht natürlichen Personen (z. B. Abteilungen) genutzt werden. Die Verarbeitung Zugriffsdaten für die MOXIS Cloud Services dürfen nicht mehrfach genutzt oder von Daten erfolgt somehreren Personen gleichzeitig verwendet werden. Zugriffsdaten können jedoch von einer Person auf eine andere übertragen werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen wenn der ursprüngliche Nutzer nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit im Verzeichnis zur Nutzung der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen MOXIS Cloud Services befugt ist. • Kein unbefugtes LesenIst ein Team-User kein Mitarbeiter des Kunden oder seiner Verbundenen Unternehmen, Kopierendann ist dessen Zugriff auf die des MOXIS Cloud Service nur als Xxxx-User eines Geschäftspartners zur Abwicklung der eigenen Geschäftsfälle des Kunden und seiner Verbundenen Unternehmen gestattet. Indirekte Nutzung: Wenn aus einem Drittsystem Aufträge in MOXIS per Webservice zur Bearbeitung übergeben werden, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung muss eine natürliche Person beim betreffenden Auftraggeber als Team-User lizenziert sein. Der Preis für einen Team-User ergibt sich aus der durchschnittlichen Verteilung der Rechte an die zur Nutzung der MOXIS Cloud Services (Aufträge anlegen, signieren, freigeben etc.) im Verzeichnis autorisierten, natürlichen Personen (Autorisierte Nutzer). Beim Usermodell Interne dürfen interne Xxxx-User einmal pro Quartal von und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei HashTeam-WertUsern zur gemeinschaftlichen Signatur eines Auftrags Dokuments eingeladen werden. Externe Xxxx-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, welche Personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) User dürfen pro Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx GmbH Deutschland Xx Xxxxxxxx 0 0000 Xxxxxx Xxxxxxx 00000 Xxxxxxxxxxxxxxx Xxxxxxxxxxx EUROPE

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID HRB | CH-300-3020266-6 MWSt.-Nr. 00000 Xxxxxxxxxxxxx | CHE-159.106.021 MWSt. Xxxxxxxxxx IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X 00 BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird gewährleistetXXXXXXXXXXX UID | DE295158299 6/38 Die MOXIS Cloud Services dürfen vom Kunden ausschließlich zur bestimmungsgemäßen Nutzung für den vertragsgemäßen Zweck eingesetzt werden. Jede darüberhinausgehende Verwendung der MOXIS Cloud Services, dass insbesondere die Zurverfügungstellung als Dienstleistung an Dritte (mit oder ohne Erwerbsabsicht), ist unzulässig. Soweit die MOXIS Cloud Services vom Kunden und dessen Verbundenen Unternehmen dazu verwendet werden, Geschäftspartner als Autorisierte Nutzer dazu einzuladen, Dokumente zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden könnenunterzeichnen, ist diese Form der Nutzung durch Dritte zulässig. • Mandantentrennung • Trennung von Produktiv- Alle Rechte, welche über die in diesem Punkt gewährten Rechte hinausgehen, insbesondere das Recht zur Vervielfältigung, Verbreitung einschließlich der (Weiter-)Vermietung an Dritte, zur Bearbeitung sowie zur öffentlichen Zugänglichmachung, verbleiben bei XiTrust (siehe dazu auch den Punkt 7 „Geistiges Eigentum“). Dem Kunden und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit seinen Verbundenen Unternehmen ist bei der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, Nutzung der MOXIS Cloud Services das Kopieren, Ändern Übersetzen, Disassemblieren, Dekompilieren, Zurückentwickeln oder Entfernen bei elektronischer Übertragung anderes Modifizieren bzw. das Erstellen davon abgeleiteter Werke (soweit dies nicht nach zwingendem Recht zulässig oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von für Erfüllung des Vertragszwecks erforderlich ist) nicht gestattet. Dem Kunden und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kannseinen Verbundenen Unternehmen ist eine Nutzung der MOXIS Cloud Services in einer Weise, welche Personenbezogenen Daten gegen anwendbares Recht verstößt, nicht gestattet. Der Kunde haftet gegenüber XiTrust für die vertragsgemäße Nutzung der MOXIS Cloud Services durch den Kunden, seine Verbundenen Unternehmen und Geschäftspartner sowie der Autorisierten Nutzer. XiTrust ist berechtigt, die Lizenz des Kunden aus wichtigem Grund zu welcher Zeit beenden. Als wichtiger Grund gilt jeder beharrliche und wesentliche Verstoß des Kunden gegen Bestimmungen des Vertrags, insbesondere wenn der Kunde gegen die Regelungen über Nutzungsrechteeinräumung, z. B. gegen die Lizenzbedingungen, verstößt und diesen Verstoß trotz Aufforderung von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. XiTrust nicht binnen 30 Tagen ab Feststellung des Verstoßes durch XiTrust behebt. Siehe dazu auch gelöscht und entfernt worden sindden Punkt 4.1.2 Überprüfung. • Protokollierung, ob und In den Fällen der Beendigung der Lizenz des Kunden stellt der Kunde die Nutzung der Software unverzüglich ein. Weitergehende Rechte von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEXiTrust bleiben hiervon unberührt.

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID FN | CH-300-3020266-6 MWSt.-Nr. 219152h Gerichtsstand | CHE-159.106.021 MWSt. Graz IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen des Trennungsgebots wird gewährleistetXXXXXXXX UID | ATU53880402 8/38 ✓ bei selbst veranlassten Eingriffen oder Änderungen der MOXIS Cloud Services durch den Kunden, wie Veränderungen, Anpassungen, Verbindung mit anderen Programmen durch den Kunden oder Dritte und/oder nach vertragswidriger Nutzung, außer der Kunde beweist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden könnender Mangel unabhängig davon besteht. • Mandantentrennung • Trennung Für das Zusammenspiel der Leistungen von Produktiv- XiTrust mit der Systemumgebung, der Organisation des Kunden oder Leistungen Dritter (ausgenommen Erfüllungsgehilfen von XiTrust) kann XiTrust nicht einstehen. Ausgenommen von diesem Gewährleistungsausschluss sind Fälle, in welchen der Mangel in den MOXIS Cloud Services durch Mängel in der Erbringung von gegebenenfalls zwischen dem Kunden und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • ProviderXiTrust vereinbarten Consulting-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen Services begründet ist. • Kein unbefugtes LesenXiTrust bietet keine Gewähr für die mit den MOXIS Cloud Services erzielten Ergebnissen, Kopierensoweit diese auf den Eingaben des Kunden beruhen. Dem Kunden obliegt daher die Hinweispflicht an die Autorisierten Nutzer, Ändern oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung die Dokumente vor Signatur inhaltlich zu prüfen. Höhere Gewalt im Sinne von, Arbeitskonflikten, Naturkatastrophen, Pandemien (nur soweit sich diese durch behördliche Auflagen nachweislich auf die Leistungserbringung von XiTrust auswirken) und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang Transportsperren sowie sonstige Umstände, die außerhalb der Einflussmöglichkeit von XiTrust liegen, entbinden XiTrust von der Leistungsverpflichtung, solange diese anhält. Sofern die höhere Gewalt Situation länger als 3 (gilt bei Hash-Wert-Verfahrendrei) Eingabekontrolle Die Eingabekontrolle gewährleistetMonate andauert, dass nachträglich überprüft haben XiTrust und festgestellt werden kann, welche Personenbezogenen Daten der Kunde jeweils das Recht den Vertrag mit einer dreimonatigen Kündigungsfrist zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. • Protokollierung, ob und von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEbeenden.

Kontakt. Telefon AT | +00 000 00 00 00 Telefon DE | +00 0000 000 00 00 Telefon CH | +00 000 00 00 00 E-Mail | xxxxxx@xxxxxxx.xxx Web | xxxxx://xxx.xxxxxxx.xxx CH-ID FN | CH-300-3020266-6 MWSt.-Nr. 219152h Gerichtsstand | CHE-159.106.021 MWSt. Graz IBAN (CHF) | XX00 0000 0000 0000 0000 X IBAN (EUR) | XX00 0000 0000 0000 0000 X BIC | UBSWCHZH80 A 35/38 Trennungskontrolle Im Rahmen XXXXXXXX UID | ATU53880402 6/38 Die MOXIS Cloud Services dürfen vom Kunden ausschließlich zur bestimmungsgemäßen Nutzung für den vertragsgemäßen Zweck eingesetzt werden. Jede darüberhinausgehende Verwendung der MOXIS Cloud Services, insbesondere die Zurverfügungstellung als Dienstleistung an Dritte (mit oder ohne Erwerbsabsicht), ist unzulässig. Soweit die MOXIS Cloud Services vom Kunden und dessen Verbundenen Unternehmen dazu verwendet werden, Geschäftspartner als Autorisierte Nutzer dazu einzuladen, Dokumente zu unterzeichnen, ist diese Form der Nutzung durch Dritte zulässig. Alle Rechte, welche über die in diesem Punkt gewährten Rechte hinausgehen, insbesondere das Recht zur Vervielfältigung, Verbreitung einschließlich der (Weiter-)Vermietung an Dritte, zur Bearbeitung sowie zur öffentlichen Zugänglichmachung, verbleiben bei XiTrust (siehe dazu auch den Punkt 7 „Geistiges Eigentum“). Dem Kunden und seinen Verbundenen Unternehmen ist bei der Nutzung des Trennungsgebots wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Mandantentrennung • Trennung von Produktiv- und Testsystem • Getrennte Speicherung Pseudonymisierung Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden Technischen und Organisatorischen Maßnahmen unterliegen. • Provider-Shielding • Kein gezieltes Auslesen Personenbezogener Daten auf Dokumenten Integrität (Art 32 Abs 1 lit b DSGVO) Weitergabekontrolle Mit der Weitergabekontrolle wird verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft wird, an welche Stellen eine Übermittlung Personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. • Kein unbefugtes Lesen, MOXIS Cloud Service das Kopieren, Ändern Übersetzen, Disassemblieren, Dekompilieren, Zurückentwickeln oder Entfernen bei elektronischer Übertragung oder Transport • Verschlüsselung • Virtual Private Networks • Geschützte Verbindung von anderes Modifizieren bzw. das Erstellen davon abgeleiteter Werke (soweit dies nicht nach zwingendem Recht zulässig ist) nicht gestattet. Dem Kunden und zum Rechenzentrum • Keine Datenweitergabe beim elektronischen Signaturvorgang (gilt bei Hash-Wert-Verfahren) Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kannseinen Verbundenen Unternehmen ist eine Nutzung der MOXIS Cloud Services in einer Weise, welche Personenbezogenen Daten gegen anwendbares Recht verstößt, nicht gestattet. Der Kunde haftet gegenüber XiTrust für die vertragsgemäße Nutzung der MOXIS Cloud Services durch den Kunden, seine Verbundenen Unternehmen, der Geschäftspartner und der Autorisierten Nutzer. XiTrust ist berechtigt, die Lizenz des Kunden aus wichtigem Grund zu welcher Zeit beenden. Als wichtiger Grund gilt jeder beharrliche bzw. wesentliche Verstoß des Kunden gegen Bestimmungen des Vertrags, insbesondere wenn der Kunde gegen die Regelungen über Nutzungsrechteeinräumung, z. B. gegen die Lizenzbedingungen, verstößt und diesen Verstoß trotz Aufforderung von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. XiTrust nicht binnen 30 Tagen ab Feststellung des Verstoßes durch XiTrust behebt. Siehe dazu auch gelöscht und entfernt worden sindden Punkt 4.1.2 Überprüfung. • Protokollierung, ob und In den Fällen der Beendigung der Lizenz des Kunden stellt der Kunde die Nutzung der Software unverzüglich ein. Weitergehende Rechte von wem Personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind • Eingabe, Veränderung oder Entfernung nur in Zusammenwirken mit dem Verantwortlichen Verfügbarkeit und Belastbarkeit (Art 32 Abs lit b DSGVO) Secure Technologies AG Schweiz Xxxx Xxxxxxxxxxxxx 0 0000 Xxxxxx Xxxxxxx EUROPEXiTrust bleiben hiervon unberührt.