Allgemeine Einkauf-Geschäftsbedingen

Bei Fragen zu Bestellungen oder diesen AGBs senden Sie eine Mail an: DACH-procurement@experian.com

Einkaufs-AGB downloaden

Allgemeine Einkauf-Geschäftsbedingen

Diese Allgemeinen Geschäftsbedingen für den Einkauf (nachfolgend als „AGBs“ bezeichnet) kommen bei der Bereitstellung von Produkten und Dienstleistungen für die informa Solutions GmbH mit Sitz in Baden-Baden (eingetragen im Registergericht des Amtsgerichts Mannheim unter HRB  504140) oder einer ihrer verbundenen Unternehmen nach § 15 Aktiengesetz  (nachfolgend als „Experian“ bezeichnet). Die informa Solutions GmbH und ihre Tochterunternehmen sind Teil der Experian-Unternehmensgruppe mit der börsennotierten Muttergesellschaft Experian plc mit Sitz in St. Helier, Jersey. 

A.              ALLGEMEINE BEDINGUNGEN

 

1.              Allgemein

1.1           Diese Allgemeinen Geschäftsbedingungen für den Einkauf legen die Bedingungen fest, die für die Bereitstellung von Produkten und Dienstleistungen durch den Lieferanten an Experian gelten.

1.2           Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den verschiedenen Dokumenten, die insgesamt den Vertrag bilden, gilt im Umfang des Widerspruchs oder der Unstimmigkeit die folgende Rangfolge (die zuerst genannten Dokumente haben Vorrang vor den später genannten Dokumenten):

1.2.1     der Bestellschein (ggfs. auch als „Purchase Order“ bezeichnet),

1.2.2     diese AGBs,

1.2.3     eine vertragliche Ergänzung,

1.2.4     alle anderen Dokumente.

1.3           Der Lieferant ist jederzeit dafür verantwortlich, die Einhaltung des Vertrages durch etwaige verbundene Unternehmen des Lieferanten und das Personal des Lieferanten zu veranlassen und sicherzustellen. Der Lieferant ist allein verantwortlich und haftbar für die Überwachung, Leitung, Kontrolle und Entlohnung des Personals des Lieferanten sowie für alle Handlungen oder Unterlassungen (einschließlich etwaiger Versäumnisse, Fahrlässigkeit oder vorsätzlichen Fehlverhaltens).

1.4           Diese AGBs können durch einzelne Ergänzungen (1.2.3) ergänzt werden, die zusätzliche Bedingungen enthalten, die für die Bereitstellung bestimmter Produkte und/oder Dienstleistungen für Experian gelten. Der Lieferant stellt Experian die spezifischen Produkte und/oder Dienstleistungen gemäß dem Bestellschein zur Verfügung.

1.5           Der Lieferant ist nicht berechtigt, in der Öffentlichkeit, einschließlich in Werbe- oder Marketingmaterialien oder in Pressemitteilungen oder Erklärungen, Folgendes offenzulegen  (a) das Bestehen oder die Bedingungen dieser Bestellung, des Nachtrags, des Anhangs oder der Bestellung oder (b) das Bestehen von Produkten und/oder Dienstleistungen, die im Rahmen dieser Bestellung bereitgestellt werden, ohne vorherige schriftliche Zustimmung des Geschäftsführers von Experian, die nach dem alleinigen Ermessen von Experian verweigert werden kann.

1.6           Diese Bestellung ist nicht exklusiv auszulegen. Experian kann seine Anforderungen von Lieferanten seiner Wahl erfüllen und ist nicht verpflichtet, eine Mindest- oder Höchstmenge an Dienstleistungen oder Liefergegenständen abzunehmen

1.7           Der Lieferant ist ein unabhängiger Auftragnehmer und kein Angestellter, Agent, Partner, Joint Venture oder gesetzlicher Vertreter von Experian. Keine der Bestimmungen dieser Bestellung zielt darauf ab, eine Partnerschaft oder ein Joint Venture jeglicher Art zwischen dem Lieferanten und Experian zu gründen, noch ermächtigt sie eine der Parteien, als Vertreter der anderen Partei zu handeln. Keine der Parteien hat die Befugnis, im Namen oder im Auftrag der anderen Partei zu handeln oder diese anderweitig zu verpflichten.

1.8           Diese AGBs nebst weiteren Bestelldokumente (siehe § 1.2) sind für die Vertragsparteien und ihre jeweiligen Erben, Vertreter und Rechtsnachfolger verbindlich. Sie dürfen von keiner Seite ohne die vorherige schriftliche Zustimmung der anderen Seite weder ganz noch teilweise abgetreten, übertragen, geteilt oder aufgeteilt werden. 

1.9           Die Bestellung und alle sich daraus ergebenden Fragen unterliegen dem Recht der Bundesrepublik Deutschland. Soweit der Lieferant Kaufmann im Sinne des Handelsgesetzbuches, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist, ist ausschließlicher - auch internationaler - Gerichtsstand für alle sich aus dem Vertragsverhältnis unmittelbar oder mittelbar ergebenden Streitigkeiten Baden-Baden.

1.10        Der Bestellschein kann nur in schriftlicher Form geändert werden, die von autorisierten Vertretern beider Parteien unterzeichnet ist.

1.11        Experian kann auf die Einhaltung von Verpflichtungen, die in diesen AGBs enthalten sind, verzichten.  Ein solcher Verzicht gilt jedoch nicht als Verzicht auf eine andere Verpflichtung oder Bedingung, die nicht ausdrücklich in der schriftlichen Verzichtserklärung genannt ist.

[*1] Zum Zeitpunkt dieser Version die infoscore Consumer Data GmbH mit Sitz in Baden-Baden, die informa HIS GmbH mit Sitz in Wiesbaden, die 3C Deutschland GmbH mit Sitz in Heilbronn, die Experian Austria GmbH mit Sitz in Wien, die Credify Informationsdienstleistungen GmbH mit Sitz in Wien sowie die Experian Switzerland AG mit Sitz in Opfikon.

2.              Bereitstellung von Produkten und Dienstleistungen

2.1           Experian kann Produkte und Dienstleistungen erwerben und der Lieferant muss diese bereitstellen.  Der Beginn der Leistungserbringung durch den Lieferanten im Rahmen einer Bestellung gilt als Annahme der betreffenden Bestellung durch den Lieferanten und wird als solche betrachtet. 

2.2           Sofern Zeitpläne zu den Leistungserbringungen vereinbart werden, bedürfen diese zu ihrer Wirksamkeit der Schriftform und müssen von ordnungsgemäß bevollmächtigten Vertretern jeder Partei unterzeichnet werden. Jede Bestellung bzw. jeder Bestellschein unterliegt den Bestimmungen und Bedingungen dieser AGBs und jeglicher referenzierter Ergänzung(en) und wird durch diese geregelt. Abgesehen von diesen AGBs sind keine vom Lieferanten zur Verfügung gestellten Bedingungen in Bezug auf die Produkte und/oder Dienstleistungen, die Gegenstand der Bestellung oder des Anhangs sind, gültig oder von Bedeutung.

2.3           Der Lieferant ist verpflichtet, die schriftliche Zustimmung von Experian einzuholen, die Experian nach eigenem Ermessen verweigern kann, bevor der Lieferant Vereinbarungen mit Dritten, die einen Teil der Dienstleistungen für Experian erbringen können, abschließt oder diese anderweitig beauftragt. Verbundene Unternehmen des Lieferanten sind von der Zustimmungspflicht ausgenommen. Auf Verlangen von Experian hat der Lieferant Informationen über die Qualifikationen des Dritten (inklusive etwaiger verbundener Unternehmen) vorzulegen. Der Lieferant bleibt gegenüber Experian direkt verantwortlich und haftbar für die Dritten und deren Handlungen, Unterlassungen, Versäumnisse, Fahrlässigkeit oder vorsätzliches Fehlverhalten. Die Zustimmung von Experian zum Einsatz eines Dritten entbindet den Lieferanten nicht von seiner Haftung oder Verpflichtung. Wenn Experian dem Einsatz eines Dritten durch den Lieferanten zustimmt, hat der Lieferant sicherzustellen, dass er mit diesem Subunternehmer eine schriftliche Vereinbarung abschließt, die Verpflichtungen enthält, die den festgelegten entsprechen. 

 

3.              Vergütung, Auslagen und Zahlungsbedingungen

3.1           Experian bezahlt den Lieferanten für die Produkte und Dienstleistungen in der vereinbarten Bestellung festgelegten Höhe. Diese Vergütung ist die gesamte Vergütung, auf die der Lieferant Anspruch hat, und weder der Lieferant noch das Personal des Lieferanten oder eine andere vom Lieferanten beauftragte Person oder Einrichtung hat Anspruch auf andere Vergütungen oder Beträge, einschließlich Erstattungen für Auslagen oder Steuern. Vereinbaren die Parteien eine Gebührenordnung für bestimmte Produkte oder Dienstleistungen für einen bestimmten Zeitraum, so gilt diese Gebührenordnung für die Beschaffung dieser Produkte oder Dienstleistungen durch Experian für den in der Gebührenordnung angegebenen Zeitraum, unabhängig von und unbeeinflusst von Gebührenerhöhungen des Lieferanten.

3.2           Der Lieferant ist allein verantwortlich für alle Kosten und Auslagen, die im Zusammenhang mit der Erbringung der Dienstleistungen oder der Bereitstellung von Produkten entstehen, und trägt diese selbst.  Im Zusammenhang mit von Experian schriftlich genehmigten Reisen werden angemessene und notwendige Reisekosten und reisebedingte Auslagen, die tatsächlich im Zusammenhang mit der Erbringung der Dienstleistungen entstanden sind nach vorheriger Genehmigung von Experian erstattet.

3.3           Der Lieferant stellt an Experian die Rechnung in Übereinstimmung mit dem jeweiligen Bestellschein. Experian ist erst dann zur Zahlung an den Lieferanten verpflichtet, wenn der Lieferant eine korrekte Rechnung vorgelegt hat.  Die Zahlung ist spätestens am letzten Tag des Monats fällig, der auf den Monat folgt, in dem Experian eine ordnungsgemäße Rechnung des Lieferanten erhält (das "Fälligkeitsdatum"), und erfolgt auf elektronischem Wege.  Eine ordnungsgemäße Rechnung muss elektronisch gemäß den Vorgaben von Experian übermittelt werden. Rechnungen werden nur dann von Experian akzeptiert, wenn dem Lieferanten vorher eine gültige Bestellung übermittelt wurde. Rechnungen sollen in einem PDF-Format (Standardtyp, kein Passwortschutz) eingereicht werden. Alle Rechnungen müssen mindestens den lokalen gesetzlichen Bestimmungen entsprechen und sollen die folgenden Informationen enthalten: - (a) Beschreibung, um die Produkte und/oder Dienstleistungen zu identifizieren, (b) Liefer- bzw. Leistungsdatum, (c) Ort, an den die Produkte geliefert bzw. die Dienstleistungen erbracht wurden, (d) Preis, (e) MwSt.-Summe, (f) Name, Adresse und Steuernummer des Lieferanten, (g) die Bestellnummer(n), gegen die die Produkte und/oder Dienstleistungen geliefert werden, (h) alle angewandten Rabatte, (i) Zwischensumme (Preis für die Produkte und/oder Dienstleistungen ohne MwSt.) und (j) Gesamtsumme (Preis für die Produkte und/oder Dienstleistungen plus MwSt.). Wenn eine erhaltene Rechnung diese Kriterien nicht erfüllt, kann Experian diese Rechnung zur Korrektur an den Lieferanten zurücksenden, und die Zahlung einer solchen Rechnung unterliegt einer angemessenen Verzögerung bei der Bearbeitung und Zahlung.

3.4           Experian kann gegenüber dem Lieferanten Zahlungen für die Beträge zurückhalten, die von Experian begründet bestritten werden. Bis zur Beilegung oder Klärung der Streitfrage(n) stellt die Nichtzahlung dieser Posten durch Experian keinen Verzug von Experian dar und berechtigt den Lieferanten nicht zur Aussetzung oder Verzögerung der Erbringung von Dienstleistungen und Bereitstellung der Produkte.

 

4.              Vertraulichkeit, Datenschutz

4.1           Der Lieferant und Experian verpflichten sich, alle vertraulichen Informationen der jeweils anderen Partei nicht offenzulegen und streng vertraulich zu behandeln. Experian und der Lieferant verpflichten sich, die vertraulichen Informationen der jeweils anderen Partei mindestens mit der gleichen Sorgfalt zu schützen und deren Offenlegung gegenüber Dritten zu verhindern, wie sie dies zur Vermeidung der unbefugten Offenlegung, Veröffentlichung, Verbreitung, Zerstörung, des Verlusts, Diebstahls oder der Veränderung ihrer eigenen Informationen (oder Informationen ihrer Kunden) ähnlicher Art erforderlich erscheint.

4.2           Die Parteien dürfen vertrauliche Informationen wie folgt offenlegen: (i) im Falle von Experian nur an ihre verbundenen Unternehmen und deren jeweiliges Personal, das davon Kenntnis haben muss; und (ii) im Falle des Lieferanten an dessen Personal nur in dem Umfang und unter der Voraussetzung, dass dieses Personal (A) von den ihm offengelegten vertraulichen Informationen Kenntnis haben muss, (B) schriftlich über die vertrauliche Natur der vertraulichen Informationen und den Zweck, für den sie rechtmäßig verwendet werden dürfen, informiert wurde und (C) den im Wesentlichen ähnlichen Vertraulichkeitsverpflichtungen unterliegt, wie sie dargelegt sind. Die offenlegende Partei übernimmt hiermit die volle Verantwortung für die Handlungen und Unterlassungen aller Personen oder Unternehmen, denen sie die vertraulichen Informationen der anderen Partei offenlegt, und stellt sicher, dass die vertraulichen Informationen nicht offengelegt oder verwendet werden. Die vertraulichen Informationen jeder Partei bleiben das alleinige und ausschließliche Eigentum der jeweiligen Partei und sind von den Regelungen des Gesetzes zum Schutz von Geschäftsgeheimnissen geschützt.

4.3           Mit Ausnahme von personenbezogenen Informationen gelten die festgelegten Vertraulichkeitsverpflichtungen nicht, soweit diese Informationen: (a) bereits öffentlich bekannt sind oder durch keine Verletzung dieser AGBs durch die empfangende Partei öffentlich bekannt werden; (b) von der empfangenden Partei nachweislich unabhängig und ohne Bezugnahme auf oder Verwendung der vertraulichen Informationen entwickelt wurden; oder (c) aufgrund von Gesetzen oder von einem zuständigen Gericht oder einer Aufsichtsbehörde oder den Regeln einer anerkannten Börse offengelegt werden müssen; vorausgesetzt, dass die empfangende Partei unverzüglich nach Erhalt eines solchen Ersuchens die offenlegende Partei, sofern dies zulässig ist, schriftlich über dieses Erfordernis unterrichtet, um die offenlegende Partei in die Lage zu versetzen, eine Schutzanordnung zum Schutz der Vertraulichkeit dieser Informationen zu erwirken, Maßnahmen zu ergreifen, um eine vertrauliche Behandlung der vertraulichen Informationen zu gewährleisten, oder sonstige Maßnahmen zu ergreifen, die sie zum Schutz der vertraulichen Informationen für angemessen hält.

4.4           Jede Partei verpflichtet sich gegenüber der anderen, dass sie zu jedem Zeitpunkt alle geltenden Gesetze (einschließlich der Datenschutzgesetze) einhalten wird.

4.5           Der Lieferant darf etwaige personenbezogene Daten nur so verarbeiten, wie es für die Vertragszwecke erforderlich ist, und darf ohne die vorherige schriftliche Zustimmung von Experian keine personenbezogenen Daten von Experian außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. Um Zweifel auszuschließen, weist Experian den Lieferanten an, die personenbezogenen Daten von Experian nur für die Vertragszwecke zu verarbeiten.

4.6           Der Lieferant gewährleistet, dass er über angemessene technische und organisatorische Maßnahmen (TOMs) gegen die unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten und gegen den versehentlichen Verlust oder die Zerstörung oder die Beschädigung oder die Offenlegung personenbezogener Daten von Experian verfügt und sich verpflichtet, diese während der gesamten Dauer aufrechtzuerhalten.

4.7           Handelt der Lieferant als Auftragsverarbeiter (im Sinne von Art. 28 DSGVO), der personenbezogene Daten von Experian verarbeitet, vereinbaren die Parteien den Abschluss eines Vertrages zur Auftragsverarbeitung und halten diese während der Laufzeit des Vertrages in Kraft. Soweit der Lieferant einen Datenverarbeiter im Sinne von Artikel 28 Abs. 4 der DSGVO beauftragt, muss er, bevor er dem Datenverarbeiter personenbezogene Daten von Experian zur Verfügung stellt, einen Vertrag zur Auftragsverarbeitung mit dem Datenverarbeiter abschließen.

4.8           Die Informationssicherheit ist ein strategisch wichtiges Thema für Experian. Der Lieferant erkennt an, dass er, sofern er Zugang zu Daten oder anderen Informationen von Experian ("Experian-Informationen") hat, verpflichtet ist, im Rahmen des Experian Lieferantenmanagementprozesses Fragen zur Informationssicherheit, welche der Risikoklassifizierung dieses Lieferanten durch Experian dienen, zu beantworten.  Wenn der Lieferant den Sicherheitsfragebogen nicht ausfüllt, ist Experian berechtigt, zu kündigen (vorausgesetzt, dass Experian dem Lieferanten vor der Ausübung dieses Rechts eine angemessene Gelegenheit zum Ausfüllen des Sicherheitsfragebogens gibt).

4.9           Der Lieferant garantiert Experian, dass er während der Laufzeit alle Informationssicherheitsmaßnahmen, die der Lieferant Experian gegenüber zugesichert hat, dass er sie eingeführt hat oder einführen wird, einführt und aufrechterhält;

4.10        Auf Aufforderung von Experian oder, falls keine Aufforderung während der Laufzeit erfolgt, nach Beendigung dieser Bestellung, hat der Lieferant (nach Wahl von Experian) alle personenbezogenen Daten von Experian und alle vertraulichen Informationen von Experian zu löschen oder an Experian zurückzugeben und darf, sofern nicht gesetzlich vorgeschrieben, keine Kopie zurückbehalten. Experian ist berechtigt, Kopien oder archivierte Computersystem-Backups der vertraulichen Informationen des Lieferanten in Übereinstimmung mit den Aufbewahrungsrichtlinien aufzubewahren, die zum Zweck der Einhaltung geltender Gesetze oder in dem Umfang erstellt wurden, der für die Ausübung der Rechte von Experian erforderlich ist, vorausgesetzt, dass Experian diese Materialien weiterhin als vertrauliche Informationen in Übereinstimmung mit den Bedingungen dieser AGBs behandelt, solange sie sich in seinem Gewahrsam, Besitz oder unter seiner Kontrolle befinden.

 

5.              Rechte an geistigem Eigentum; Verwendung von Experian-Materialien

5.1           Sofern in dieser Ziffer (Rechte an geistigem Eigentum; Verwendung von Experian-Materialien), in einem Nachtrag oder in einem ausgestellten Anhang nichts anderes bestimmt ist, hat der Lieferant alle Rechte, Titel und Interessen an allen Materialien des Lieferanten und behält diese. Experian hat und behält alle Rechte, Titel und Interessen an allen Experian-Materialien.

5.2           Während der Laufzeit und nach Ablauf oder Beendigung der Bestellung gewährt der Lieferant Experian hiermit eine nicht-exklusive, unwiderrufliche, unbefristete, voll bezahlte Lizenz für DACH Region (Deutsch, Österreich, Schweiz) (mit dem Recht, Unterlizenzen zu erteilen) für den Zugriff, die Nutzung, das Kopieren, die Pflege, die Modifizierung, die Erstellung abgeleiteter Werke von, Materialien des Lieferanten und Materialien Dritter in Verbindung mit der Nutzung der Dienstleistungen, Produkte und/oder Liefergegenstände durch Experian oder anderweitig für Experian, um den beabsichtigten Nutzen der bereitgestellten Dienstleistungen, Produkte und/oder Liefergegenstände zu erzielen, soweit Materialien des Lieferanten oder von Dritten (a) mit den Liefergegenständen geliefert, in diese eingebettet oder in diese integriert oder zu einem Teil dieser Liefergegenstände gemacht werden; (b) in einer Anwendungsprogramm-Schnittstelle oder einer anderen Schnittstelle verwendet oder in diese integriert werden; oder (c) für den Zugriff auf oder die Nutzung von Dienstleistungen, Produkten und/oder Liefergegenständen erforderlich sind,.

5.3           Soweit sie nicht kraft Gesetzes oder aufgrund dieser AGBs auf Experian übergehen, überträgt der Lieferant Experian alle Rechte, Titel und Anteile mit voller Eigentumsgarantie, frei von jeglichen nachteiligen Rechten oder Ansprüchen, an allen gegenwärtigen und zukünftigen geistigen Eigentumsrechten und allen anderen Rechten an den Produkten der maßgeschneiderten Dienstleistungen (einschließlich der Liefergegenstände), die vom Lieferanten in Erfüllung der Dienstleistungen hergestellt werden. Diese Abtretung umfasst u. a. alle Rechte auf Schadensersatz wegen Verletzung von Rechten an geistigem Eigentum, alle Rechte an Änderungen oder Erweiterungen bestehender Software, unabhängig davon, ob diese im Eigentum von Experian, des Lieferanten oder eines Dritten stehen, und, falls erforderlich, muss der Lieferant die Abtretung solcher Rechte an geistigem Eigentum, die bei der Erbringung der Dienstleistungen entstehen, an Experian durch den Autor oder Schöpfer veranlassen. Das Eigentum an den Leistungsergebnissen steht Experian ab dem Zeitpunkt der Konzeption, Erstellung oder Fixierung der Leistungsergebnisse in einem greifbaren Ausdrucksmedium zu.

5.4           Der Lieferant ist verpflichtet

5.4.1     unverzüglich nach Entstehung eines Rechts an geistigem Eigentum bei der Erbringung der Dienstleistungen Experian alle Informationen und Daten, die sich in ihrem Besitz, ihrer Macht oder ihrer Kontrolle befinden und die für ein vollständiges Verständnis, die Anwendung und ggf. die Eintragung des Rechts an geistigem Eigentum erforderlich sind, offenzulegen und zu liefern; und

5.4.2     unverzüglich und auf Verlangen von Experian alle weiteren Handlungen vorzunehmen und alle Dokumente auszufertigen, die Experian verlangen kann, um Experian den vollen Nutzen zu sichern, einschließlich aller Rechte, Titel und Interessen an den geistigen Eigentumsrechten und allen anderen Rechten, die Experian in Übereinstimmung mit diesen AGBs übertragen werden, in allen Ländern und frei von jeglichen nachteiligen Rechten oder Ansprüchen; und

5.4.3     unwiderruflich und bedingungslos auf alle Urheberpersönlichkeitsrechte an den vom Lieferanten im Rahmen der Erbringung der Leistungen erzeugten geistigen Eigentumsrechten oder auf alle Rechte ähnlicher Art zu verzichten.

5.5           In Erfüllung seiner Verpflichtungen kann der Lieferant Zugang zu Experian-Materialien haben. Keine Bestimmung dieser AGBs sind so zu verstehen, dass dem Lieferanten oder einer anderen Partei geistige Eigentumsrechte oder Eigentumsrechte an den Experian-Materialien übertragen werden, die im Zusammenhang mit diesen AGBs bereitgestellt oder zugänglich gemacht werden. Der Lieferant ist verpflichtet:

5.5.1     Experian-Materialien nur nach vorheriger schriftlicher Genehmigung für die angegebenen Zwecke, die Experian genehmigt, und für keine anderen Zwecke zu verwenden;

5.5.2     Experian-Materialien in einwandfreiem Zustand zu halten;

5.5.3     allein verantwortlich und haftbar für jeglichen Verlust oder Schaden an den Experian-Materialien zu sein, während sie sich im Gewahrsam, im Besitz oder unter der Kontrolle des Lieferanten befinden;

5.5.4     die Experian-Materialien jederzeit auf Aufforderung von Experian (oder automatisch bei Beendigung oder Ablauf des jeweiligen Bestellscheins, für die diese Experian-Materialien bereitgestellt wurden) unverzüglich an Experian zurückzugeben oder, nur auf ausdrückliche Anweisung von Experian, die Experian-Materialien zu vernichten.

Auf Verlangen von Experian wird der Lieferant Experian jederzeit eine schriftliche Bestätigung über die Einhaltung der Anforderungen dieser Ziffer (Verwendung von Experian-Materialien) vorlegen.

5.6           Der Lieferant ist verpflichtet,

5.6.1     ohne die vorherige schriftliche Zustimmung von Experian keine Open-Source-Software in Produkten oder Leistungen zu verwenden, von denen er weiß (oder von denen er vernünftigerweise wissen müsste), dass sie in Produkte/Dienstleistungen von Experian integriert werden oder von Experian an Dritte weitergegeben werden können, wenn die Bedingungen, zu denen die Open-Source-Software zur Verfügung gestellt wird, es erforderlich machen würden, dass Experian den Code, an dem es die Rechte des geistigen Eigentums besitzt, gegenüber Dritten offenlegt;

5.6.2     jede Open-Source-Software, die in Produkten oder Leistungen, die Experian zur Verfügung gestellt werden, verwendet wird, zu scannen, um signifikante oder risikoreiche Schwachstellen zu erkennen und solche Schwachstellen zu beheben, bevor das Produkt oder die Leistung Experian zur Verfügung gestellt wird;

5.6.3     jederzeit sicherzustellen, dass die Verwendung und Bereitstellung von Open-Source-Software für Experian mit den geltenden Lizenzen konform ist; und

5.6.4     Experian auf schriftliche Anfrage eine Liste aller in Produkten oder Leistungen enthaltenen Open-Source-Software zur Verfügung zu stellen. 

 

6.              Laufzeit und Beendigung

6.1           Jeder Bestellschein beginnt an dem im Bestellschein festgelegten Datum und bleibt in Kraft, bis der frühere der folgenden Zeitpunkte eintritt: 

6.1.1     Kündigung eines solchen Bestellscheins durch eine der Parteien;

6.1.2     Ende der in einem solchen Bestellschein angegebenen Laufzeit; oder

6.1.3     wie von Experian festgelegt, Fertigstellung aller Dienstleistungen und Abnahme aller Produkte, Dienstleistungen und Liefergegenstände durch Experian, die gemäß diesem Bestellschein erforderlich sind.

6.2           Jede Partei kann die Bestellung ohne Haftung gegenüber der anderen Partei und unbeschadet ihrer sonstigen Rechte jederzeit durch schriftliche Mitteilung an die andere Partei fristlos kündigen:

6.2.1     wenn die andere Partei eine wesentliche und nicht behebbare Verletzung einer der Bestimmungen der Bestellung, der AGBs oder ergänzender Regelungen begeht;

6.2.2     wenn die andere Partei eine wesentliche Verletzung begeht und, sofern diese behebbar ist, diese Verletzung nicht innerhalb von 30 Tagen nach schriftlicher Benachrichtigung darüber behoben hat;

6.2.3     wenn die andere Partei in Liquidation geht (abgesehen von der solventen Liquidation zum Zwecke des Zusammenschlusses oder der Umstrukturierung), aufgelöst wird, für insolvent erklärt wird, ein Konkursverwalter, Verwalter oder Zwangsverwalter über ihr gesamtes Vermögen oder einen Teil davon ernannt wird, einen Vergleich mit ihren Gläubigern abschließt oder eine ähnliche Maßnahme wie die oben genannten ergreift oder erleidet; oder

6.2.4     wenn sich die finanzielle Lage der anderen Partei in einem solchen Ausmaß verschlechtert, dass nach vernünftiger Einschätzung der anderen Partei ihre Fähigkeit zur angemessenen Erfüllung ihrer Verpflichtungen aus der Bestellung gefährdet ist.

6.3           Experian hat das Recht, jederzeit zu kündigen (es sei denn, Experian entscheidet sich nach eigenem Ermessen für die Einräumung einer Heilungsfrist), wenn der Lieferant eine der folgenden Bestimmungen verletzt: 

6.3.1     Verstoß gegen die Klausel zu Vertraulichkeitsverpflichtungen; Datenschutz oder ein Sicherheitsvorfall oder

6.3.2     Verstoß gegen die Klausel zur Verwendung von Experian-Materialien.

6.4           Im Falle einer Kündigung wird der Lieferant auf schriftliche Aufforderung von Experian angemessene Übergangsleistungen entweder direkt an Experian oder an einen von Experian benannten Dritten erbringen, um laufende Arbeiten oder andere Leistungen, die nach einer solchen Kündigung fortgeführt werden müssen, zu übertragen. Solche Übergangsleistungen erfolgen – sofern der Grund in der Kündigung beim Lieferanten liegt - ohne zusätzliche Kosten und umfassen insbesondere die Bereitstellung von detaillierten Anweisungen, Teilelisten, Dritten oder anderen Elementen, die zu diesem Zeitpunkt erforderlich sind, um die Arbeiten zu vervollständigen oder die Nutzung der Dienstleistungen oder Liefergegenstände fortzusetzen. Der Lieferant wird in angemessener Weise mit Experian und ggf. dem von ihm benannten Dritten zusammenarbeiten, damit die Übertragung der laufenden Arbeiten oder anderer Dienstleistungen bei Kündigung mit einem Minimum an Störungen für Experian und die Dienstleistungen, auf die sich die Kündigung bezieht, erreicht wird.

 

7.              Zusicherungen und Garantien.

7.1           Der Lieferant sichert zu, dass das Personal des Lieferanten über die Fähigkeiten, Ressourcen und das Fachwissen verfügt, um alle Dienstleistungen zu erbringen.  Der Lieferant sichert Experian zu und gewährleistet, dass alle erbrachten Dienstleistungen pünktlich, professionell und fachmännisch in Übereinstimmung mit den höchsten Industriestandards für Qualität und Integrität erbracht werden.

7.2           Der Lieferant sichert zu, dass: 

7.2.1     die Materialien, Dienstleistungen, Produkte oder Liefergegenstände des Lieferanten und/oder jegliche Bestandteile davon keine Rechte an geistigem Eigentum Dritter verletzen, missbrauchen oder verletzen werden;

7.2.2      er das Recht hat, die Experian gewährten Rechte und Lizenzen zu gewähren; und

7.2.3     der Lieferant Eigentümer aller Materialien ist, die er bei der Erbringung der Dienstleistungen verwendet oder bereitstellt, oder berechtigt ist, diese zu verwenden.

7.3           Der Lieferant sichert zu, dass er bei der Erfüllung seiner Verpflichtungen nicht gegen Gesetze verstößt und dass er es nicht versäumt hat und nicht versäumen wird, Lizenzen, Genehmigungen, Rechte, Zustimmungen, Konzessionen oder behördliche Genehmigungen einzuholen, die für die Bereitstellung der Produkte und Liefergegenstände, die Erbringung der Dienstleistungen, das Eigentum an seinem Eigentum, die Führung seiner Geschäfte, die Durchführung der vorgesehenen Transaktionen oder die Erfüllung seiner Verpflichtungen erforderlich sind. 

7.4           Der Lieferant sichert zu, dass: 

7.4.1     der Lieferant qualifiziert und registriert ist, um an allen Orten, an denen die Erfüllung seiner Verpflichtungen eine solche Qualifikation erfordern würde, Geschäfte zu tätigen;

7.4.2     der Lieferant alle erforderlichen Rechte, Befugnisse und Vollmachten, einschließlich aller erforderlichen Genehmigungen und Lizenzen, hat und beibehalten wird, um diese Bestellung abzuschließen und zu erfüllen und alle Rechte oder Lizenzen zu gewähren, die ihm gewährt werden oder gewährt werden müssen; 

7.4.3     die Ausführung und Erfüllung der Bestellung durch den Lieferanten nicht mit Gesetzen kollidiert oder gegen diese verstößt und nicht gegen Vereinbarungen, Absprachen, Gerichtsbeschlüsse, Urteile oder Verfügungen verstößt, an die der Lieferant als Partei gebunden ist; und

7.4.4     es keine anhängigen oder angedrohten Ansprüche oder Prozesse gibt, die die Fähigkeit des Lieferanten zur Erfüllung seiner Verpflichtungen beeinträchtigen könnten.

7.5           Der Lieferant sichert zu, dass die Produkte und die Software keinen Disabling Code enthalten und diesen auch nicht von der Datenverbindung des Lieferanten oder einem anderen Medium des Lieferanten erhalten werden. Für den Fall, dass ein Deaktivierungscode identifiziert wird, hat der Lieferant ohne zusätzliche Kosten oder Aufwendungen für Experian alle erforderlichen Schritte zu unternehmen, um: 

7.5.1     alle vertraulichen Informationen und Daten, die Experian infolge eines solchen Deaktivierungscodes verloren hat, wiederherzustellen und/oder zu rekonstruieren;

7.5.2     Experian neue und gleichwertige Produkte und/oder Software ohne das Vorhandensein eines Deaktivierungscodes zur Verfügung zu stellen; und

7.5.3     diese neue und gleichwertige Software ohne zusätzliche Kosten oder Aufwendungen für Experian zu installieren und zu implementieren.

7.6           Der Lieferant ist verpflichtet, ohne zusätzliche Kosten oder Aufwendungen Fehler in dem Produkt oder Dienstleistung für Experian zu korrigieren, wenn die betreffenden Leistungen nicht mit der vereinbarten Beschaffenheit übereinstimmt oder diese nicht erfüllt. Sollte der Lieferant zweimal nicht in der Lage sein, solche Fehler innerhalb von dreißig (30) Tagen nach Erhalt einer entsprechenden Mitteilung zu korrigieren, gilt dies als wesentliche Vertragsverletzung durch den Lieferanten.

 

8.              Schadensersatz bei Verletzung von Rechten des geistigen Eigentums

8.1           Der Lieferant verpflichtet sich, Experian zu entschädigen und zu verteidigen sowie alle Verluste zu tragen, die Experian aufgrund von, im Zusammenhang mit oder infolge von tatsächlichen, angedrohten oder angeblichen Ansprüchen Dritter entstehen, die sich auf Folgendes beziehen (a) Dienstleistungen, Materialien des Lieferanten, Produkte, Liefergegenstände und sonstige Dienstleistungen, Technologien, Techniken oder Produkte des Lieferanten, die vom Lieferanten zur Erbringung der Dienstleistungen verwendet werden, und (b) der Erhalt oder die Verwendung eines der vorstehend genannten Gegenstände durch Experian (zusammen als "Gegenstände des Lieferanten" bezeichnet), gegen geistige Eigentumsrechte verstoßen.

8.2           Wenn das Recht von Experian, Gegenstände des Lieferanten zu verwenden, zu erhalten oder zu nutzen, untersagt ist oder voraussichtlich untersagt wird, hat der Lieferant unverzüglich auf seine alleinigen Kosten und in einer Weise, die die Geschäftstätigkeit und die Rechte von Experian nicht stört oder beeinträchtigt, eine der folgenden Maßnahmen zu ergreifen:  (i) für Experian das Recht zu erwirken, diese Dienstleistungen, Materialien und/oder Gegenstände weiterhin frei von Ansprüchen wegen Verletzung, Zweckentfremdung und Verstoß zu erhalten und zu nutzen; (ii) die betreffenden Dienste, Materialien und/oder Gegenstände so zu ändern, dass sie nicht länger eine Verletzung, Zweckentfremdung oder einen Verstoß darstellen (vorausgesetzt, eine solche Änderung beeinträchtigt nicht die Leistung oder Qualität der Dienste, Materialien und/oder Gegenstände oder wirkt sich nachteilig auf die beabsichtigte Nutzung durch Experian aus); oder (iii) die Dienste, Materialien und/oder Gegenstände durch nicht verletzende, nicht zweckentfremdende und nicht verletzende funktionale Äquivalente zu ersetzen, die für Experian akzeptabel sind.

 

B.              BESONDERE BEDINGUNGEN

 

9.              Versicherung

9.1           Der Lieferant ist verpflichtet, zu jeder Zeit während der Laufzeit dieser Bestellung auf seine Kosten zu unterhalten, sofern er dazu nicht ohnehin gesetzlich verpflichtet ist,:

9.1.1     eine Betriebs-/Produkthaftpflichtversicherung mit einer Deckungssumme von mindestens                     € 1.000.000 pro Schadensfall;

9.1.2     eine Kfz-Haftpflichtversicherung mit einer Deckungssumme von mindestens € 1.000.000, die für alle eigenen, nicht eigenen und gemieteten Fahrzeuge gilt;

9.1.3     eine Berufshaftpflichtversicherung (einschließlich einer Datenschutz- und Cyber-Haftpflichtversicherung) mit einer Deckungssumme von mindestens € 1.000.000 pro Schadensfall, jedoch mit der Maßgabe, dass, wenn die Dienstleistungen Kredit- oder Produktionssysteme oder -anwendungen von Experian betreffen, die erforderliche Deckungssumme pro Schadensfall mindestens € 5.000.000 betragen muss;

9.1.4     eine Versicherung gegen unredliche Handlungen von Mitarbeitern (Vertrauensschadenversicherung) mit einer Deckungssumme von mindestens € 1.000.000 pro Schadensfall; und

9.1.5     eine Arbeitgeberhaftpflicht mit einer Deckungssumme von € 10.000.000.

9.2           Die Versicherungspolicen des Lieferanten müssen Personen und Einrichtungen abdecken, für deren Handlungen der Lieferant haftbar gemacht werden kann, sowie die durchgeführten Aktivitäten, die bereitgestellten Produkte und Dienstleistungen und alle Verpflichtungen, die der Lieferant übernommen hat. Experian hat das Recht, die Bestellung wegen erheblicher Verletzung zu kündigen, wenn der Lieferant nicht die erforderlichen Versicherungsarten und -höhen aufrechterhält. Wird eine Umbrella-Haftpflichtversicherung teilweise genutzt, um die hierin geforderte Deckungssumme bereitzustellen, muss die Umbrella-Police mindestens so breit wie die zugrunde liegende Police sein.

9.3           Der Lieferant hat auf Verlangen von Experian einen von einem bevollmächtigten Vertreter oder Angestellten der Versicherungsgesellschaft unterzeichneten Versicherungsnachweis vorzulegen, der die hierin geforderte Versicherung belegt. Der Lieferant ist verpflichtet, Experian mindestens dreißig (30) Tage vor einer wesentlichen Änderung, Kündigung oder Nichterneuerung einer erforderlichen Versicherung zu informieren. Alle vom Lieferanten bereitgestellten Versicherungen müssen primär sein und dürfen nicht mit anderen von Experian unterhaltenen Versicherungen zusammenwirken.

9.4           Indem Experian eine Versicherung verlangt, sichert Experian nicht zu, dass die Deckung und die Limits notwendigerweise ausreichend sind, um den Lieferanten zu schützen, und diese Deckung und Limits sind nicht als Beschränkung der Haftung des Lieferanten zu verstehen und dürfen nicht als solche angesehen werden. Besteht ein Selbstbehalt oder eine Selbstbeteiligung bei einer der geforderten Versicherungen, trägt der Lieferant die alleinige Verantwortung für die Zahlung des Selbstbehalts oder der Selbstbeteiligung für alle Ansprüche,

9.5           Alle hierin geforderten Versicherungen müssen vorsehen, dass der Lieferant und sein Versicherer auf alle Rückforderungsrechte und den Forderungsübergang gegenüber Experian und seinen verbundenen Unternehmen sowie deren Anteilseignern oder Gesellschaftern, Direktoren, leitenden Angestellten, Mitarbeitern und Vertretern verzichtet haben. Wenn ein spezieller Vermerk oder eine Vereinbarung des Versicherers erforderlich ist, um einen Verzicht auf den Forderungsübergang gegenüber allen hier genannten Parteien zu bewirken, muss der Lieferant eine solche Vereinbarung zum Verzicht auf den Forderungsübergang schriftlich sicherstellen.

 

10.           Geschäftskontinuitätsplan

10.1        Der Lieferant implementiert und pflegt ein Business Continuity-Programm, das dokumentierte Wiederherstellungsstrategien, -pläne und -verfahren umfasst, um sicherzustellen, dass der Lieferant seine Produkte und Dienstleistungen für Experian weiterhin innerhalb der festgelegten Wiederherstellungszeit liefern kann.  Der Lieferant muss Experian in jedem Fall innerhalb von vierundzwanzig (24) Stunden nach Aktivierung des Business Continuity Plans für Produkte und Dienstleistungen, die Experian zur Verfügung gestellt werden, benachrichtigen.

10.2        Der Lieferant wird seinen Business-Continuity-Plan so oft testen, wie es erforderlich ist, um eine erfolgreiche Wiederherstellung innerhalb des zugesagten Wiederherstellungszeitziels zu gewährleisten, falls eine tatsächliche Wiederherstellung erforderlich ist, jedoch nicht weniger als einmal alle zwölf (12) Monate. 

10.3        Experian behält sich das Recht vor, die Pläne und Testergebnisse regelmäßig zu überprüfen.

 

11.           Auditrecht

11.1        Während der Laufzeit dieser Bestellung und für drei (3) Jahre nach Ablauf oder Beendigung der Bestellung hat Experian (und alle Aufsichtsbehörden von Experian) das Recht, Audits und Inspektionen durchzuführen, um:

11.1.1  die Integrität der Systeme des Lieferanten, die vertrauliche Informationen von Experian verarbeiten, speichern, unterstützen und übertragen, zu untersuchen und zu überprüfen;

11.1.2  die internen Kontrollen (z.B., (b) die internen Kontrollen (z. B. Personalwesen, Finanz- und Rechnungswesen, Beschaffung, organisatorische Kontrollen, Input/Output-Kontrollen, Systemänderungskontrollen, Verarbeitungskontrollen, Systemdesignkontrollen und Zugangskontrollen) sowie die Praktiken und Verfahren für Sicherheit, Notfallwiederherstellung, Geschäftskontinuität und Back-up zu prüfen;

11.1.3  die Richtigkeit und Vollständigkeit der Experian in Rechnung gestellten Gebühren, Kosten und Auslagen zu prüfen;

11.1.4  die vom Lieferanten eingesetzten Prozesse und Verfahren zu prüfen;

11.1.5  die Erbringung der Dienstleistungen durch den Lieferanten zu prüfen und zu verifizieren; und

11.1.6  Experian in die Lage zu versetzen, die anwendbaren gesetzlichen, regulatorischen und vertraglichen Anforderungen (einschließlich, ohne Einschränkung, der FCA und GDPR) zu erfüllen, jeweils in dem auf die Dienstleistungen anwendbaren Umfang. 

11.2        Der Lieferant gewährt Experian oder verschafft Experian Zugang zu solchen Objekten, Aufzeichnungen und Mitarbeitern, die Experian für den vorgenannten Zweck angemessener Weise benötigt. Im Zusammenhang mit solchen Audits wird Experian den Lieferanten in angemessener Weise benachrichtigen und die vertraulichen Informationen des Lieferanten vertraulich behandeln und verlangen, dass der von Experian benannte Vertreter sich zur vertraulichen Behandlung verpflichtet.

 

12.           Regulatorische Anforderungen

12.1        Zur Sicherstellung der Informationssicherheit gelten die erweiterten Pflichten nach Anlage 1 dieser AGBs. Je nach Einstufung der Risikoklassifizierung wird Experian ggf. weitere Bedingungen vereinbaren, die für Experian essentiell sind.

12.2        Jede Partei wird mit der anderen kooperieren und Informationen austauschen, soweit dies erforderlich ist (einschließlich in Fällen, in denen die Parteien einzeln oder gemeinsam einen Schaden für Endverbraucher verursacht haben könnten), um sicherzustellen, dass beide Parteien ihren regulatorischen Verpflichtungen nachkommen, und um dazu beizutragen, dass positive Ergebnisse für die Verbraucher erzielt werden.

12.3        Der Lieferant ist verpflichtet, seine geschäftlichen Aktivitäten so zu gestalten, dass die soziale und ökologische Verantwortung und die Geschäftsethik in Übereinstimmung mit allen geltenden Gesetzen und Vorschriften gefördert werden. Zur Förderung des Vorgenannten wird der Lieferant: (i) keine Personen unter 15 Jahren (bzw. 14 Jahren, wenn das Gesetz des jeweiligen Landes dies zulässt) oder unter dem Alter für den Abschluss der Schulpflicht oder unter dem Mindestalter für die Beschäftigung, je nachdem, was höher ist, beschäftigen; (ii) keine Zwangsarbeit oder unfreiwillige Arbeit in irgendeiner Form (z. B. (ii) Zwangsarbeit oder unfreiwillige Arbeit in irgendeiner Form (z. B. Schuldknechtschaft, Arbeitsverpflichtung oder unfreiwillige Gefängnisarbeit) einsetzen, noch darf von den Mitarbeitern verlangt werden, Papiere oder Kautionen zu hinterlegen; (iii) eine sichere und gesunde Arbeitsumgebung bereitstellen und wirksame Maßnahmen zur Verhinderung möglicher Arbeitsunfälle ergreifen; (iv) die Rechte aller Mitarbeiter respektieren, Gewerkschaften zu gründen und beizutreten und Tarifverhandlungen zu führen, ohne dass dies negative Konsequenzen oder Vergeltungsmaßnahmen seitens des Lieferanten nach sich zieht; (v) bei der Einstellung oder Beschäftigung keine Diskriminierung aufgrund von Rasse, Nationalität oder territorialer oder sozialer Herkunft, Geschlecht, sexueller Orientierung, familiären Pflichten, Familienstand, politischer Zugehörigkeit, Alter, Schwangerschaft, Behinderung oder anderen Bedingungen, die zu einer Diskriminierung führen könnten, vornehmen; (vi) das gesamte Personal mit Würde und Respekt zu behandeln und sich nicht an körperlicher Bestrafung, psychischem oder physischem Zwang oder verbalem Missbrauch des Personals zu beteiligen oder diesen zu unterstützen; (vii) die Tarifverträge (soweit anwendbar) und Branchenstandards zu Arbeitszeiten, Pausen und Feiertagen einzuhalten; (viii) alle geltenden Lohn- und Arbeitszeitgesetze und -vorschriften einhalten und gesetzlich vorgeschriebene Leistungen erbringen; (ix) so handeln, dass die Umwelt geschützt und erhalten wird, einschließlich der Einhaltung aller Branchenstandards; und (x) alle geltenden Gesetze und Vorschriften zu Bestechung, Korruption und verbotenen Geschäftspraktiken einhalten.

12.4        Der Lieferant wird den oben genannten Verhaltensstandard ("Verhaltenskodex") einhalten und Prozesse und Verfahren implementieren, die zeigen, wie er die Einhaltung des Verhaltenskodex handhabt. Der Lieferant wird alle Unterlagen aufbewahren, die zum Nachweis der Einhaltung des Verhaltenskodex erforderlich sind, und Experian auf schriftliche Anfrage Zugang zu diesen Unterlagen gewähren (oder alternativ klare und genaue Antworten auf Anfragen von Experian bezüglich der Einhaltung der Standards, der Anforderungen der Aufsichtsbehörden und der Geschäfts- oder Beschäftigungspraktiken des Lieferanten geben).

12.5        Der Lieferant garantiert, sichert zu und verpflichtet sich, dass er die Fähigkeit, die Kapazität und die eventuell gesetzlich vorgeschriebene Genehmigung hat, die Leistungen zuverlässig und professionell zu erbringen.

12.6        Der Lieferant hat die Ausführung der Leistungen durch seine Mitarbeiter und zugelassenen Dritten ordnungsgemäß zu überwachen und die mit der Erbringung der Leistungen verbundenen Risiken angemessen zu steuern.

12.7        Der Lieferant ist verpflichtet, Experian unverzüglich zu benachrichtigen, wenn ihm etwas bekannt wird, das seine Fähigkeit beeinträchtigen könnte, die Dienstleistungen oder in Übereinstimmung mit den geltenden Gesetzen und regulatorischen Anforderungen zu erbringen.

12.8        Der Lieferant wird mit allen relevanten Aufsichtsbehörden im Zusammenhang mit der Erbringung der Dienstleistungen zusammenarbeiten. Soweit der Lieferant im Zusammenhang mit den Dienstleistungen mit einer relevanten Regulierungsbehörde zu verhandeln hat, wird er dies in offener und kooperativer Weise tun.

12.9        Der Lieferant stellt Experian die Informationen und Unterstützung zur Verfügung, die Experian vernünftigerweise benötigt, um (i) seine gesetzlichen und regulatorischen Verpflichtungen zu erfüllen und (ii) Experian in die Lage zu versetzen, die Auswirkungen der Dienste auf seine Systeme und Kontrollen zu bewerten.

12.10    Der Lieferant ist verpflichtet, in allen Angelegenheiten, die die Dienstleistungen betreffen, mit Experian zusammenzuarbeiten und alle Anweisungen von Experian zu befolgen.

12.11    Wenn der Lieferant Experian Software liefert, erkennt der Lieferant an, dass die Software Exportkontrollgesetzen und -vorschriften ("Exportkontrollen") unterliegen kann, und verpflichtet sich, soweit anwendbar, zur Einhaltung der Exportkontrollen. Der Lieferant verpflichtet sich, Experian unverzüglich zu benachrichtigen, wenn die Software Exportkontrollen unterliegt oder unterliegen wird, und Experian die Einzelheiten der Exportkontrolllizenz des Lieferanten mitzuteilen, damit Experian die Software gestattet nutzen kann. Wenn es Experian erlaubt, die Software in Unterlizenz zu vergeben oder an Dritte zu vertreiben (einschließlich Unternehmen der Experian-Gruppe), dann gilt diese Mitteilungspflicht für die Exportkontrollen, die in allen Ländern gelten, in die Experian berechtigt ist, Unterlizenzen zu vergeben oder zu vertreiben.

12.12    Wenn zu irgendeinem Zeitpunkt Exportkontrollen die Fähigkeit von Experian, lizenzierte Software wie erlaubt zu nutzen, verhindern oder beeinträchtigen, ist Experian berechtigt, die Bestellung durch schriftliche Mitteilung an den Lieferanten sofort zu kündigen.

12.13    Experian führt regelmäßige Überprüfungen seiner Lieferanten anhand von Sanktionslisten durch. Wenn Experian zu irgendeinem Zeitpunkt Kenntnis davon erlangt, dass der Lieferant auf einer solchen Liste steht, ist Experian berechtigt, die Bestellung und alle anderen Verträge, die mit dem Lieferanten bestehen, durch schriftliche Mitteilung an den Lieferanten sofort zu kündigen.

 

Version 1 / Juni 2021

 

 

Anlage 1

Experian Sicherheitsanforderungen

 

Die in diesem Sicherheitsanforderungsdokument enthaltenen Sicherheitsanforderungen sollen sicherstellen, dass der Lieferant über ein Informationssicherheitsprogramm verfügt, um die Experian-Daten zu schützen, die er erhält, verarbeitet, überträgt, speichert, liefert und/oder auf die er anderweitig zugreift. 

 

DEFINITIONEN

"Experian-Daten" sind hochsensible Informationen von Experian, zu denen beispielhaft und ohne Einschränkung Daten, Datenbanken, Anwendungssoftware, Softwaredokumentation, unterstützende Prozessdokumente, Dokumentation von Betriebsprozessen und -verfahren, Testpläne, Testfälle, Testszenarien, Berichte über Cybervorfälle, Verbraucherinformationen, Finanzdaten, Mitarbeiterdaten und Informationen über potenzielle Akquisitionen sowie andere Informationen ähnlicher Art oder gemäß gegenseitiger schriftlicher Vereinbarung gehören, deren Offenlegung, Änderung oder Zerstörung dem Ruf von Experian, der Bewertung von Experian ernsthaften Schaden zufügen und/oder Experian einen Wettbewerbsnachteil verschaffen würde.

 

"Ressource" bezeichnet alle Geräte von Lieferanten, einschließlich, aber nicht beschränkt auf Laptops, PCs, Router, Server und andere Computersysteme, die die Experian-Daten speichern, verarbeiten, übertragen, übermitteln oder anderweitig darauf zugreifen. 

 

INFORMATIONSSICHERHEITSPROGRAMM

Der Lieferant unterhält ein umfassendes Informationssicherheitsprogramm, das administrative, technische und physische Schutzmaßnahmen enthält, die der Komplexität, der Art und dem Umfang seiner Aktivitäten und der Sensibilität seiner Informationswerte angemessen sind.  Solche Schutzmaßnahmen umfassen die unten aufgeführten Elemente und sind angemessen gestaltet, um:

(1) die Sicherheit und Vertraulichkeit von Experian-Informationen zu erreichen;

(2) Schutz vor zu erwartenden Bedrohungen oder Gefahren für die Sicherheit oder Integrität der Experian-Daten;

(3) Schutz vor unbefugtem Zugriff auf oder Verwendung von Experian-Informationen, die zu erheblichen Schäden oder Unannehmlichkeiten für Experian, seine Kunden und/oder Verbraucher führen könnten, und

(4) Experian die fortlaufende Wirksamkeit der Kontrollen zuzusichern.

 

Wenn der Drittanbieter Karteninhaberdaten (CHD; insbesondere die primäre Kontonummer) oder sensible Authentifizierungsdaten (SAD)* erhält, speichert, verarbeitet oder überträgt, muss er den aktuellsten Payment Card Industry Data Security Standard (PCI DSS) einhalten, der sich auf die Verarbeitung solcher Daten als Dienstleister für Experian bezieht.  Der Drittanbieter stellt Experian auf Anfrage eine Kopie seiner aktuellsten PCI DSS-Compliance-Bescheinigung (AOC) und anderer relevanter Unterlagen (Self-Assessment Questionnaire - SAQ) zur Verfügung. Für weitere Definitionen siehe PCI Data Security Standard, veröffentlicht auf https://www.pcisecuritystandards.org/

 

SICHERHEITSANFORDERUNGEN

 

1.              Richtlinien für die Informationssicherheit und Governance

Das Informationssicherheitsprogramm des Lieferanten wird mit den Praktiken übereinstimmen, die in einem Industriestandard wie ISO 27002 und diesem Sicherheitsanforderungsdokument beschrieben sind.

 

2.              Vertraulichkeit und Integrität

Der Lieferant verwendet einen verwalteten Sicherheitsansatz, um sicherzustellen, dass Experian-Informationen während des gesamten Lebenszyklus geschützt sind, von der Erstellung über die Umwandlung und Verwendung bis hin zur Speicherung und Vernichtung, unabhängig von den Speichermedien, z. B. Band, Festplatte, Papier usw.

 

3.              Verwaltung von Informationen

Der Lieferant benennt Ansprechpartner für Experian, welche für die unter ihrer Kontrolle stehenden Informationsbestände, einschließlich Experian-Daten, verantwortlich sind.

 

 

4.              Schutz vor Datenverlust

Data Loss Prevention (DLP)-Lösungen sollen eingesetzt werden, um Daten im Gebrauch (z.B. Endpunkt-Aktionen), Daten in Bewegung (z.B. Netzwerk-Aktionen) und Daten im Ruhezustand (z.B. Datenspeicherung) durch Inhaltskontrolle und mit einem zentralisierten Management-Framework zu identifizieren, zu überwachen und zu schützen.

 

5.              Vulnerability Management

Firewalls, Router, Server, PCs und alle anderen Ressourcen, die bei der Erbringung von Dienstleistungen für Experian verwendet werden, werden mit geeigneten sicherheitsspezifischen System-Patches auf dem neuesten Stand gehalten. Der Lieferant wird regelmäßige Penetrationstests (einschließlich automatischer und manueller Methoden) durchführen, die von unabhängigen Dritten durchgeführt werden, um die Ressourcen weiter zu bewerten.

 

6.              Physische Sicherheit

Es gibt eine Sicherheitsfunktion, die den physischen Zugang zu Einrichtungen, in denen Experian-Informationen gespeichert sind oder auf die zugegriffen werden kann, gewährt, anpasst und widerruft.   Alle Standorte des Lieferanten und der Zugang zu Informationen befinden sich innerhalb des vereinbarten Standorts, sofern nicht anderweitig schriftlich von Experian genehmigt.

 

7.              Change Management

Änderungen und Verbesserungen an der/den Ressource(n) müssen durch einen kontrollierten Änderungsmanagementprozess verwaltet werden.  Für alle Änderungsanfragen sollte ein designierter "Eigentümer" identifiziert werden, und Änderungen sollten von einer Änderungsmanagementgruppe genehmigt werden.

 

8.              Protokollierung und Überwachung

Für alle Systeme, die Experian-Daten verarbeiten, übertragen oder speichern, müssen Protokollierungsmechanismen vorhanden sein. Die Protokollierung wird benötigt, um Sicherheitsvorfälle zu identifizieren, die individuelle Verantwortlichkeit festzustellen und Ereignisse zu rekonstruieren.  Audit-Protokolle werden in einem geschützten Zustand aufbewahrt (d. h. verschlüsselt oder gesperrt), und es werden Prozesse zur regelmäßigen Überprüfung eingerichtet, um Einbrüche, unbefugte Zugriffe, unbeabsichtigte Aktivitäten, Schadsoftware oder Versuche dieser oder anderer Handlungen zu erkennen, die die Sicherheit von Systemen, die Experian-Daten verarbeiten, gefährden könnten.  Sie werden für einen Zeitraum von mindestens 90 Tagen aufbewahrt.

 

9.              Intrusion Prevention Systeme

Der Lieferant setzt Sicherheitsmaßnahmen (einschließlich IPS und IDS) ein, um das/die Telekommunikationssystem(e) des Lieferanten und jedes Computersystem oder Netzwerkgerät zu schützen, das der Lieferant zur Erbringung von Dienstleistungen für Experian verwendet, um das Risiko der Infiltration, des Hackings, des Eindringens in den Zugriff durch oder der Exposition gegenüber einem Dritten zu verringern.

 

10.           Reaktion auf Vorfälle

Es werden geeignete Prozesse und Verfahren für die Reaktion auf Sicherheitsverletzungen und ungewöhnliche oder verdächtige Ereignisse und Vorfälle eingerichtet und aufrechterhalten, um weitere Schäden an Informationswerten zu begrenzen und die Identifizierung und Verfolgung zu ermöglichen. Der Lieferant meldet Experian tatsächliche oder vermutete Sicherheitsverletzungen oder Vorfälle, die sich auf Experian auswirken, innerhalb von vierundzwanzig (24) Stunden, nachdem der Lieferant von einer solchen Verletzung oder einem solchen Vorfall Kenntnis erlangt hat, an Experian.

 

11.           Malware-Abwehr

Der Lieferant verwendet Computer-Malware-Erkennungs-/Scan-Dienste und -Verfahren.

 

12.           Aufgabentrennung und Umgebungsbedingungen

Der Lieferant unterhält Kontrollen, die eine angemessene Aufgabentrennung zwischen den Mitarbeitern des Drittanbieters gewährleisten, einschließlich des Zugangs zu Systemen und Netzwerken.  Die Aufgaben werden so zugewiesen, dass eine Person keine widersprüchlichen Aufgaben hat, die zu einer versehentlichen oder vorsätzlichen Kompromittierung von Informationen, Systemen oder Prozessen führen können, noch die Möglichkeit hat, ihre Fehler oder Unregelmäßigkeiten zu verbergen.

 

13.           Verschlüsselung und PKI

Alle Experian-Daten werden bei der Speicherung (im Ruhezustand) nach dem üblichen Stand der Technik bzw. Informationssicherheit verschlüsselt, es sei denn, es werden von Experian genehmigte kompensierende Kontrollen implementiert. Auf Laptops werden keine Experian-Daten gespeichert, es sei denn, Experian stimmt zu, dass eine geschäftliche Notwendigkeit für eine solche Speicherung besteht, und wenn dies der Fall ist, werden die Experian-Daten auf Laptops verschlüsselt.

 

14.           Netzwerksicherheit

Der Lieferant wird die folgenden Sicherheitsdienste für die Datenkommunikation bereitstellen, um:

a)       die Vertraulichkeit und Integrität aller Daten zu schützen, die über jegliche Form von Datennetzwerken übertragen werden; und

b)       die Implementierung und Beibehaltung starker, aktueller Best-Practice-Standard-Verschlüsselungstechniken für alle Fälle, in denen Experian-Daten über ein öffentliches Datennetz übertragen werden, sicherzustellen.

 

15.           Identifizierung, Authentifizierung und Autorisierung

Jeder Benutzer einer Ressource hat eine eindeutig zugewiesene Benutzer-ID, um eine individuelle Authentifizierung und Verantwortlichkeit zu ermöglichen. Die Ressourcen authentifizieren jeden Benutzer, bevor sie jeden autorisierten Zugriff gewähren. Der Grad der Authentifizierung, der für den Zugriff auf eine Ressource erforderlich ist, steht im Verhältnis zur Sensibilität der auf der Ressource gespeicherten Daten. Der Zugriff auf privilegierte Konten wird nur auf die Personen beschränkt, die die Ressource verwalten; die individuelle Verantwortlichkeit wird beibehalten. Alle Standardpasswörter (z. B. von Hardware- oder Softwareanbietern) werden sofort nach Erhalt geändert.

 

16.           Benutzerpasswörter und Konten

Benutzer-Passwörter werden nach dem üblichen Stand der Technik bzw. Informationssicherheit vergeben, wodurch der Zugang zum System geschützt ist (bspw. Vertraulichkeit, Vorgaben zur Passwortvergabe, Verschlüsselung bei der Speicherung und Übertragung, Verfall nach einer Anzahl von Tagen, Sperrung nach fehlgeschlagenen Anmeldeversuchen).

 

17.           Autorisierung der Fernzugriffsverbindung

Alle Fernzugriffsverbindungen zu internen Netzwerken und/oder Computersystemen von Lieferanten erfordern eine Autorisierung und bieten ein genehmigtes Mittel zur Zugriffskontrolle am "Eintrittspunkt" in die Computer- oder Kommunikationsressourcen von Drittanbietern durch eine mehrstufige Authentifizierung. Ein solcher Zugriff erfolgt über sichere Zugriffskanäle, wie z. B. ein Virtual Private Network (VPN).

 

18.           Sichere Systementwicklung

Anwendungen, die von Lieferanten entwickelt werden, um Experian-Daten zu verarbeiten, werden einer Methodik folgen, die Folgendes vorsieht: (i) die Definition von Sicherheitsanforderungen als Teil der Anforderungsdefinitionsphase; (ii) die Verwendung eines Entwurfsmodells, das Best Practices im Bereich Sicherheit beinhaltet; (iii) die Entwicklung von Code auf eine Art und Weise, die Sicherheitsschwachstellen minimiert (wie Cross-Site-Scripting, SQL-Injection, Pufferüberläufe usw.); (iv) das Testen des Codes durch statische und dynamische Bewertungen; und (v) die Bereitstellung der Anwendung in einer sicheren Produktionsumgebung.

 

19.           Personelle Sicherheit

Alle Mitarbeiter von Lieferanten und Unterauftragnehmer, falls vorhanden, die: (a) Zugang zu einem Experian-Netzwerk haben; (b) Zugang zu Experian-Informationen haben oder diese einsehen oder nutzen können, müssen eine Überprüfung des strafrechtlichen Hintergrunds und allgemeine Hintergrundprüfungen bestehen. Der Lieferant ist nicht verpflichtet, Personen zu überprüfen, bei denen dies gesetzlich verboten ist.

 

20.           Schulung und Sensibilisierung

Der Lieferant muss von allen Mitarbeitern verlangen, dass sie mindestens einmal jährlich an Schulungen und Sensibilisierungsmaßnahmen zur Informationssicherheit teilnehmen und für die Mitarbeiter einen Lernnachweis erstellen.

 

21.           Recht von Experian auf Prüfung

Der Lieferant unterliegt einer Fern- und / oder Vor-Ort-Bewertung ihres Informationssicherheits-programms und der Einhaltung dieser Sicherheitsanforderungen.