EOD
Zum Dashboard

Allgemeine Geschäftsbedingungen (B2B)

Diese AGB regeln die Bereitstellung von EOD als SaaS-Plattform für Nachhilfeinstitute und deren autorisierte Standortnutzer. Der rechtsverbindliche Hauptvertrag wird ausschließlich in Schriftform (beidseitig unterzeichnetes Auftragsformular) geschlossen und analog archiviert.

Stand: 10.05.2026

Anlageverzeichnis

Die nachfolgenden Anlagen sind Bestandteil des individuellen Hauptvertrags (Papier) und werden bei Vertragsabschluss übergeben.

  1. Teil A: B2B-Hauptvertrag (SaaS) — Papieranlage, beim Anbieter archiviert
  2. Anlage 1: AVV gemäß Art. 28 DSGVO — Papieranlage
  3. Anlage 2: TOM-Anlage — Papieranlage; aktuelle Fassung zusätzlich in Abschnitt „TOM-Anlage" dieser Seite
  4. Anlage 3: SLA-Anlage — Papieranlage
  5. Anlage 4: Subprozessoren-Anlage — Papieranlage

1. Vertragsparteien und B2B-Geltung

  1. Anbieter: Luca Düsdieker (Einzelunternehmen), Grafenstraße 22, 59457 Werl, Deutschland.
  2. Vertragskontakt (Textform): luca.duesdieker@gmail.com.
  3. Verträge werden jeweils mit dem konkreten Vertragsstandort des Kunden geschlossen.
  4. Kunde sichert zu, dass der Unterzeichner für den jeweiligen Vertragsstandort vertretungsberechtigt ist.
  5. Das Angebot richtet sich ausschließlich an Unternehmer im Sinne von § 14 BGB.
  6. Verbraucher im Sinne von § 13 BGB sind vom Vertragsabschluss ausgeschlossen; Verbraucherschutz- und Widerrufsregelungen für Fernabsatzgeschäfte gelten für diesen B2B-Vertrag nicht.
  7. Der Vertrag kommt ausschließlich durch beidseitige handschriftliche Unterzeichnung des Auftragsformulars (Papiervertrag) zustande; eine digitale Bestätigung innerhalb der Plattform ersetzt diese Unterzeichnung nicht, sondern dient der Bestätigung der Plattformnutzung nach bereits vollzogenem Vertragsabschluss.
  8. Beide Vertragsausfertigungen verbleiben bei den jeweiligen Parteien; eine davon wird beim Anbieter analog archiviert.

2. Vertragsgegenstand

  1. EOD wird als SaaS-Plattform für Verwaltungs-, Kommunikations- und Abrechnungsprozesse bereitgestellt.
  2. Die Bereitstellung erfolgt als Cloud-Dienst über Serverinfrastruktur bei IONOS SE, Rechenzentrumsstandort Deutschland.
  3. Der genaue Funktionsumfang ergibt sich aus dem individuellen Hauptvertrag (Papieranlage) und den darin vereinbarten Modulen.
  4. Bei mehreren Standorten gilt der Vertragsumfang je Vertragsstandort separat, sofern im Hauptvertrag nicht ausdrücklich abweichend geregelt.
  5. Nach Vertragsabschluss legt der Anbieter den Vertragsstandort im System an und erstellt einen initialen Leitungsaccount.
  6. Anbieter räumt dem Kunden für die Vertragslaufzeit ein einfaches, nicht übertragbares und nicht unterlizenzierbares Nutzungsrecht an der Plattform für die vertragsgemäße Nutzung am jeweiligen Vertragsstandort ein.
  7. Alle Rechte, die nicht ausdrücklich eingeräumt werden, verbleiben beim Anbieter.

3. Vergütung und Abrechnung

  1. Vergütungsmodell: monatliche Grundgebühr, variable Gebühr pro aktivem Schüler und optionale Onboarding-Gebühr gemäß individuellem Hauptvertrag.
  2. Alle Preise verstehen sich netto zuzüglich gesetzlicher Umsatzsteuer.
  3. Rechnungen sind innerhalb von 14 Tagen ohne Abzug fällig.
  4. Bei Zahlungsverzug gelten die gesetzlichen Verzugsregelungen für Unternehmergeschäfte (§ 288 Abs. 2 BGB).
  5. Die Abrechnung erfolgt je Vertragsstandort; eine Bündelung über mehrere Standorte bedarf einer gesonderten Vereinbarung in Textform.
  6. Anbieter kann Preise mit einer Vorankündigung von mindestens 3 Monaten in Textform anpassen. Widerspricht Kunde nicht innerhalb von 4 Wochen nach Zugang der Ankündigung, gelten die neuen Preise ab dem angekündigten Datum als vereinbart; auf dieses Recht wird in der Ankündigung ausdrücklich hingewiesen.

4. Laufzeit und Kündigung

  1. Vertragsbeginn, Mindestlaufzeit und Kündigungsfristen werden im individuellen Hauptvertrag (Papier) festgelegt.
  2. Eine ordentliche Kündigung ist erstmals zum Ende der vereinbarten Mindestlaufzeit möglich.
  3. Ohne fristgerechte Kündigung verlängert sich der Vertrag automatisch um jeweils 3 Monate.
  4. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund (§ 314 BGB) bleibt unberührt.
  5. Nach Vertragsende gewährt Anbieter dem Kunden für 30 Tage Zugriff auf den Datenexport des jeweiligen Vertragsstandorts; danach werden die Daten innerhalb weiterer 30 Tage unwiederbringlich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Leistungen, Verfügbarkeit und Support

  1. Zielverfügbarkeit, Wartungsfenster, Supportwege und Eskalation richten sich nach der SLA-Anlage (Bestandteil des Hauptvertrags).
  2. Anbieter strebt eine monatliche Verfügbarkeit von mindestens 99,0 % (gemessen auf Monatsbasis, exkl. vereinbarter Wartungsfenster) an.
  3. Ausnahmen, geplante Wartungen und etwaige Service-Credit-Regelungen werden in der SLA-Anlage abschließend geregelt.
  4. Bei höherer Gewalt (insbesondere Naturkatastrophen, Pandemien, staatliche Maßnahmen, infrastrukturell bedingte Ausfälle beim Hosting-Provider) ist Anbieter für die Dauer des Hinderungsgrunds von SLA-Verpflichtungen befreit; das außerordentliche Kündigungsrecht beider Parteien bleibt unberührt.

6. Pflichten des Kunden

  1. Kunde stellt korrekte Stammdaten, Rollen und Zugriffsberechtigungen sicher und hält diese aktuell.
  2. Kunde ist für Endgeräte, Zugangsdaten und kundenseitig angebundene Drittsysteme sowie deren ordnungsgemäße Konfiguration verantwortlich.
  3. Sicherheitsvorfälle, Verdacht auf unbefugten Zugriff und Fehlfunktionen sind unverzüglich an den Anbieter zu melden.
  4. Der Dashboard-Login kann für alle Nutzerrollen technisch verfügbar sein; Zugriffe auf Daten und Funktionen müssen standort- und rollenbasiert auf autorisierte Nutzer beschränkt werden.
  5. Die Anlage, Änderung und Löschung von Mitarbeitenden-Accounts obliegt dem jeweiligen Standortleiter im Verantwortungsbereich des Kunden.
  6. Bei Rollenwechsel oder Austritt müssen Zugänge unverzüglich entzogen werden; personenbezogene Logins dürfen nicht geteilt werden.

7. Drittanbieter-Integrationen (kundenseitig)

  1. Bei Anbindung kundeneigener Konten (zum Beispiel Microsoft 365, Google) bleibt der Kunde datenschutzrechtlich Verantwortlicher für diese Konten und die zugehörigen Datenflüsse.
  2. Anbieter schuldet keine rechtliche oder fachliche Prüfung kundenseitiger Drittanbieter-Konfigurationen.

8. Datenschutz und Auftragsverarbeitung

  1. Soweit Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, gilt die AVV-Anlage gemäß Art. 28 DSGVO (Bestandteil des Hauptvertrags).
  2. Technische und organisatorische Maßnahmen (TOM) sind in der TOM-Anlage (Bestandteil des Hauptvertrags) sowie tagesaktuell im Abschnitt „TOM-Anlage" dieser AGB-Seite beschrieben.
  3. Unterauftragsverarbeiter ergeben sich aus der Subprozessoren-Anlage (Bestandteil des Hauptvertrags).
  4. Im Falle einer Datenpanne, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, benachrichtigt Anbieter den Kunden unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, sodass der Kunde seiner Meldepflicht nach Art. 33 DSGVO (72 Stunden gegenüber der Aufsichtsbehörde) fristgerecht nachkommen kann.
  5. Der Kunde ist seinerseits verpflichtet, Anbieter unverzüglich über datenschutzrechtlich relevante Ereignisse zu informieren, die im Verantwortungsbereich des Kunden entstanden sind.

9. Geistiges Eigentum und verbotene Nutzung

  1. Alle Rechte an der Plattform, dem Quellcode, der Dokumentation und den enthaltenen Werken verbleiben ausschließlich beim Anbieter; das eingeräumte Nutzungsrecht (§ 2) begründet kein darüberhinausgehendes Eigentumsrecht.
  2. Dem Kunden ist es untersagt, die Plattform oder Teile davon zu dekompilieren, zu disassemblieren oder durch Reverse Engineering zu analysieren.
  3. Eine Weitervermietung, Unterlizenzierung oder ein Weiterverkauf der Plattformzugänge oder -funktionen an Dritte ohne ausdrückliche schriftliche Zustimmung des Anbieters ist untersagt.
  4. Kundendaten (vom Kunden in die Plattform eingebrachte Daten) verbleiben im Eigentum des Kunden; der Anbieter erhält ein auf die Vertragserfüllung beschränktes Recht zur Verarbeitung dieser Daten.
  5. Verstöße gegen diesen Abschnitt berechtigen den Anbieter zur fristlosen Kündigung und begründen Schadensersatzansprüche.

10. Abtretung und Übertragung

  1. Der Kunde darf Rechte und Pflichten aus diesem Vertrag ohne vorherige schriftliche Zustimmung des Anbieters nicht auf Dritte übertragen.
  2. Der Anbieter ist berechtigt, Rechte und Pflichten aus diesem Vertrag mit einer Ankündigungsfrist von 6 Wochen auf ein Nachfolgeunternehmen zu übertragen, sofern dem Kunden dabei kein wesentlicher Nachteil entsteht.

11. Haftung

  1. Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.
  2. Bei einfacher Fahrlässigkeit haftet Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), begrenzt auf den vertragstypischen vorhersehbaren Schaden.
  3. Eine Haftung für mittelbare Schäden, entgangenen Gewinn und Betriebsunterbrechung ist bei einfacher Fahrlässigkeit ausgeschlossen, soweit gesetzlich zulässig.
  4. Die Haftungsobergrenze für einfache Fahrlässigkeit beträgt pro Schadensfall das Dreifache der im Schadensmonat für den betroffenen Vertragsstandort geschuldeten monatlichen Nettovergütung (Grundgebühr), mindestens jedoch 500 Euro.
  5. Die Haftung nach zwingenden gesetzlichen Vorschriften (insbesondere Produkthaftungsgesetz, DSGVO) bleibt unberührt.

12. Freistellung

  1. Kunde stellt Anbieter von sämtlichen Ansprüchen Dritter frei, die auf einer rechtswidrigen oder vertragswidrigen Nutzung der Plattform durch den Kunden oder dessen Nutzer beruhen.
  2. Dies umfasst insbesondere Ansprüche aus fehlerhafter Rechtevergabe, unzureichender Deprovisionierung von Nutzerkonten oder Verstößen gegen § 9 (Geistiges Eigentum) im Verantwortungsbereich des Kunden.

13. Vertraulichkeit und Verschwiegenheit

  1. Beide Parteien behandeln vertrauliche Informationen der jeweils anderen Partei streng vertraulich und nutzen sie ausschließlich zur Durchführung des Vertrags.
  2. Als vertraulich gelten insbesondere Preise, technische Implementierungsdetails, Kundendaten und Geschäftsgeheimnisse.
  3. Die Vertraulichkeitsverpflichtung gilt für die Dauer des Vertrags und für 3 Jahre nach dessen Beendigung fort.

14. Änderungen und Versionierung

  1. Änderungen des individuellen Hauptvertrags (Papiervertrag) bedürfen der Schriftform (beiderseitige Unterzeichnung).
  2. Anbieter kann diese AGB (öffentliche Referenzfassung) und die TOM-Anlage mit einer Vorankündigung von mindestens 6 Wochen in Textform ändern. Widerspricht Kunde nicht innerhalb von 4 Wochen nach Zugang der Ankündigung, gelten die Änderungen als vereinbart; auf dieses Recht wird in der Ankündigung ausdrücklich hingewiesen.
  3. Die TOM-Anlage kann bei rein technischen Aktualisierungen (z. B. Wechsel eines Sicherheitsverfahrens) mit einer Ankündigungsfrist von 2 Wochen angepasst werden, sofern das Schutzniveau nicht verringert wird.
  4. Alle Versionen dieser AGB und der TOM-Anlage werden mit Datum versioniert und auf Anfrage zugesandt.

15. Gerichtsstand und anwendbares Recht

  1. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts (CISG).
  2. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Soest, Deutschland, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

16. Rangfolge bei Widersprüchen

  1. Bei Widersprüchen gilt folgende Rangfolge: 1) individueller Hauptvertrag (Papier), 2) SLA-Anlage, 3) AVV-Anlage, 4) TOM-Anlage, 5) Subprozessoren-Anlage, 6) diese AGB.

17. Schlussbestimmungen

  1. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  2. Unwirksame Bestimmungen sind durch gesetzeskonforme Regelungen zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommen.
  3. Mündliche Nebenabreden bestehen nicht; Änderungen und Ergänzungen bedürfen der Textform.

TOM-Anlage

Technische und Organisatorische Maßnahmen gemäß Art. 32 DSGVO

Stand: 10.05.2026 — Diese Fassung wird unabhängig von den AGB-Klauseln (§ 14) aktualisiert. Die jeweils aktuelle Version ist unter dieser URL abrufbar; der Papiervertrag enthält einen Verweis auf diese Seite.

Zutrittskontrolle (physischer Zugang zur Infrastruktur)

  • Serverinfrastruktur ausschließlich bei IONOS SE in deutschen Rechenzentren (DE, de-fra-1); kein physischer Kundenzugang.
  • Zutritt zu Serverräumen ausschließlich durch autorisiertes IONOS-Betriebspersonal.

Zugangskontrolle (Authentifizierung)

  • Passwort-Hashing mit bcrypt (Kostenfaktor ≥ 12); Klartext-Passwörter werden zu keiner Zeit gespeichert.
  • Zwei-Faktor-Authentifizierung (TOTP/MFA) verfügbar und für privilegierte Rollen vorgesehen.
  • JWT-basierte Session-Tokens (HS256) mit konfigurierter Gültigkeitsdauer und automatischer Invalidierung.
  • Passwort-Reset ausschließlich über kryptografisch sichere Einmal-Tokens (SHA-256-gehashte Zufallswerte mit kurzer Gültigkeit).
  • Rate-Limiting auf allen Authentifizierungsendpunkten (Login, Passwort-Reset, First-Login); bei DB-Ausfall fail-closed (503).
  • CSRF-Schutz für alle zustandsändernden Requests (Prüfung von sec-fetch-site, Origin, Referer).

Zugriffskontrolle (Autorisierung)

  • Rollenbasiertes Zugriffsmodell (RBAC) mit standortbasierter Isolation; jeder Nutzer ist einem oder mehreren Vertragsstandorten zugeordnet.
  • Alle API-Endpunkte verlangen gültige Authentifizierung; unauthentifizierter Zugriff wird mit HTTP 401 abgewiesen.
  • Nutzer eines Vertragsstandorts können nicht auf Daten anderer Vertragsstandorte zugreifen (mandantenbezogene Datenbankfilterung auf API-Ebene).

Weitergabekontrolle (Übertragungssicherheit)

  • Ausschließlich TLS-verschlüsselte Übertragung (HTTPS); unverschlüsselte HTTP-Verbindungen werden auf HTTPS umgeleitet.
  • Sicherheitsrelevante HTTP-Header gesetzt: HSTS, Content-Security-Policy, X-Content-Type-Options: nosniff, X-Frame-Options.
  • Session-Cookies mit Attributen: __Host-Präfix, Secure, HttpOnly, SameSite=Strict.

Eingabekontrolle (Nachvollziehbarkeit)

  • Audit-Log aller schreibenden Aktionen (Erstellen, Ändern, Löschen) mit Zeitstempel, Nutzer-ID, Aktion und server-seitig ermittelter IP-Adresse.
  • Kein Klartext sensibler Daten (Passwörter, Tokens, MFA-Secrets) in Log-Einträgen.

Auftragskontrolle

  • Auftragsverarbeitungsvertrag (AVV) mit IONOS SE gemäß Art. 28 DSGVO für Hosting und E-Mail-Versand.
  • Weitere Unterauftragsverarbeiter nur nach schriftlicher Vereinbarung und Aufnahme in die Subprozessoren-Anlage.

Verfügbarkeitskontrolle

  • Hosting bei IONOS SE mit vertraglich zugesicherter Infrastrukturverfügbarkeit.
  • Automatisierte Datenbankbackups gemäß IONOS-Backup-Richtlinien; Wiederherstellbarkeit wird regelmäßig überprüft.

Trennungsgebot (Mandantentrennung)

  • Logische Mandantentrennung: alle personenbezogenen Datensätze sind einer eindeutigen location_id (Vertragsstandort) zugeordnet.
  • Datenbankabfragen erzwingen standortbezogene Filterung auf API-Ebene; ein standortübergreifender Datenzugriff ohne explizite Berechtigung ist technisch ausgeschlossen.

Verschlüsselung sensibler Daten (at rest)

  • MFA-Secrets: AES-256-GCM-verschlüsselt mit zufälligem Initialisierungsvektor (IV) je Datensatz.
  • MFA-Backup-Codes: AES-256-CBC-verschlüsselt mit zufälligem IV je Datensatz.