Nutzungsrichtlinien (Acceptable Use Policy)

Zulaessige und verbotene Nutzung der SaaS-Plattform Aldric

Version 1.0 — Stand: Maerz 2026

Diese Nutzungsrichtlinien (nachfolgend „AUP") legen fest, welche Nutzungsformen der SaaS-Plattform „Aldric" zulaessig sind und welche verboten sind. Die AUP ergaenzen die Allgemeinen Geschaeftsbedingungen (AGB) und sind Bestandteil des Vertragsverhaeltnisses zwischen dem Kunden und der CONPORT Services GmbH.

§ 1 Geltungsbereich

(1) Diese AUP gelten fuer alle Nutzer der SaaS-Plattform „Aldric" (nachfolgend „Plattform"), betrieben von der CONPORT Services GmbH, Alte Benninghofer Str. 24, 44263 Dortmund (nachfolgend „Anbieter"). Dies schliesst Kunden, deren Mitarbeiter, Auftragnehmer sowie — bei Nutzung der Provider Edition — Sub-Mandanten und deren Nutzer ein.

(2) Die AUP gelten ergaenzend zu den AGB des Anbieters. Im Widerspruchsfall haben die AGB Vorrang, sofern in dieser AUP nichts anderes bestimmt ist.

(3) Durch die Nutzung der Plattform erkennt der Nutzer diese AUP an. Kunden sind verantwortlich dafuer, dass auch ihre Mitarbeiter, Auftragnehmer und Sub-Mandanten die AUP einhalten.

§ 2 Zulaessige Nutzung

(1) Die Plattform darf ausschliesslich fuer die vertraglich vereinbarten Zwecke des Compliance-Managements genutzt werden. Zulaessige Nutzungsformen umfassen insbesondere:

  • Verwaltung und Dokumentation von Compliance-Prozessen und -Richtlinien;
  • Durchfuehrung und Dokumentation von Datenschutz-Folgenabschaetzungen (DSFA);
  • Verarbeitung personenbezogener Daten im Rahmen des zwischen den Parteien geschlossenen Auftragsverarbeitungsvertrags und in Uebereinstimmung mit der DSGVO;
  • Verwaltung von Verarbeitungsverzeichnissen, Risikoregistern und Massnahmenplaenen;
  • Schulung von Mitarbeitern in Compliance-relevanten Themen ueber die Plattform;
  • Integration der Plattform in eigene Systeme ueber die bereitgestellten API-Schnittstellen im Rahmen der dokumentierten Nutzungsgrenzen;
  • Nutzung der Provider Edition zur Bereitstellung der Plattform als Dienstleistung gegenueber eigenen Kunden (Sub-Mandanten), sofern dies vertraglich vereinbart ist.

(2) Die Nutzung muss stets im Einklang mit den geltenden gesetzlichen Vorschriften, insbesondere der DSGVO, dem BDSG sowie den fuer den jeweiligen Kunden einschlaegigen branchenspezifischen Vorschriften, erfolgen.

§ 3 Verbotene Nutzung

(1) Folgende Nutzungsformen sind ausdruecklich untersagt:

Rechtswidrige Aktivitaeten

  • Nutzung der Plattform fuer rechtswidrige Zwecke oder zur Unterstuetzung rechtswidriger Aktivitaeten;
  • Verarbeitung oder Speicherung rechtswidriger Inhalte, insbesondere kinderpornografisches Material, Inhalte, die Hassbotschaften verbreiten, oder urheberrechtlich geschuetzte Inhalte ohne entsprechende Lizenz;
  • Verstoss gegen Exportkontrollvorschriften oder Sanktionsregeln.

Unbefugter Zugriff und Sicherheitsverstoesse

  • Unbefugter Zugriff auf Systeme, Konten oder Daten anderer Nutzer oder Mandanten;
  • Umgehung von Authentifizierungs- oder Sicherheitsmechanismen der Plattform;
  • Nutzung fremder Zugangsdaten oder Weitergabe eigener Zugangsdaten an Dritte;
  • Versuche, Sicherheitsluecken der Plattform auszunutzen (fuer die verantwortungsvolle Offenlegung von Sicherheitsluecken gilt § 5 Abs. 3).

Technische Beeintraechtigungen

  • Einsatz von Bots, Skripten oder automatisierten Werkzeugen, die die Plattform mit Anfragen ueberlasten oder deren normalen Betrieb beeintraechtigen (DoS/DDoS-Angriffe);
  • Ueberschreitung der dokumentierten API-Ratenlimits auf systematische oder missbraeuchliche Weise;
  • Upload oder Verbreitung von Schadsoftware, Viren, Trojanern oder sonstigem schadhaften Code ueber die Plattform;
  • Manipulation von Metadaten, HTTP-Headern oder anderen technischen Parametern zur Verschleierung der Nutzungsherkunft.

Reverse Engineering und Wettbewerbsanalyse

  • Dekompilierung, Disassemblierung oder sonstiges Reverse Engineering der Plattform, soweit dies nicht nach zwingenden gesetzlichen Vorschriften (insb. § 69e UrhG) erlaubt ist;
  • Systematisches Auslesen von Plattforminhalten, Strukturen oder Datenbanken durch Scraping oder vergleichbare Methoden;
  • Nutzung der Plattform zum Zweck der Analyse fuer die Entwicklung konkurrierender Produkte oder Dienstleistungen.

Unzulaessige Weitergabe

  • Weiterverkauf, Sublizenzierung oder sonstige Ueberlassung des Plattformzugangs an Dritte, ohne dass eine entsprechende vertragliche Vereinbarung (Provider Edition) vorliegt;
  • Bereitstellung der Plattform als eigenstaendige Dienstleistung gegenueber Dritten ausserhalb der vertraglich vereinbarten Provider-Edition-Nutzung.

§ 4 Datenschutz und Sicherheit

(1) Der Kunde ist alleinig verantwortlich fuer die Rechtmaessigkeit der Daten, die er in die Plattform hochlaedt oder ueber die Plattform verarbeitet. Dies umfasst insbesondere die Sicherstellung einer geeigneten Rechtsgrundlage gemaess Art. 6 DSGVO fuer die Verarbeitung personenbezogener Daten sowie die Erfuellung der Informationspflichten gegenueber betroffenen Personen.

(2) Der Kunde verpflichtet sich zur Einhaltung der anwendbaren datenschutzrechtlichen Vorschriften, insbesondere der DSGVO und des BDSG, bei der Nutzung der Plattform. Einzelheiten zur Datenverarbeitung durch den Anbieter sind in der Datenschutzerklaerung und dem Auftragsverarbeitungsvertrag geregelt.

(3) Nutzer sind verpflichtet, starke, einzigartige Passwoerter zu verwenden und diese regelmaessig zu erneuern. Die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) wird ausdruecklich empfohlen und kann vom Anbieter fuer einzelne Editionen verpflichtend vorgeschrieben werden.

(4) Sicherheitsvorfaelle, die die Plattform betreffen — insbesondere der Verdacht einer Kompromittierung von Zugangsdaten, unbefugter Zugriff auf Kontodaten oder der Verlust von Authentifizierungsmitteln — sind dem Anbieter unverzueglich unter security@conport.services zu melden. Der Kunde ist verpflichtet, den Anbieter bei der Untersuchung und Behebung von Sicherheitsvorfaellen zu unterstuetzen.

§ 5 Systemintegritaet

(1) Jede Einwirkung auf die Plattform, die deren ordnungsgemaessen Betrieb beeintraechtigen koennte, ist untersagt. Dies umfasst insbesondere:

  • Einschleusen von Code oder Daten, die die Plattform in ihrer Funktion beeintraechtigen;
  • Manipulation von Datenbank-Abfragen oder API-Parametern zur Umgehung der Zugriffskontrolle (z. B. SQL Injection, Path Traversal);
  • Nutzung von Techniken, die die Performance der Plattform fuer andere Nutzer messbar verschlechtern.

(2) Die systematische Umgehung von Ratenlimits — etwa durch Rotation von IP-Adressen, verteilte Anfragen oder das Ausnutzen technischer Luecken in der Limitierungslogik — ist untersagt, auch wenn einzelne Anfragen innerhalb der Limits bleiben.

(3) Wer eine Sicherheitsluecke in der Plattform entdeckt, ist gebeten, diese verantwortungsvoll ueber security@conport.services zu melden (Responsible Disclosure), bevor eine Veroeffentlichung erfolgt. Der Anbieter verpflichtet sich, gemeldete Schwachstellen zeitnah zu pruefen und — sofern bestaetigt — zu beheben. Die Nutzung entdeckter Luecken ueber das fuer die Reproduktion notwendige Mass hinaus ist untersagt.

§ 6 Konsequenzen bei Verstoessen

(1) Bei Verstoessen gegen diese AUP ist der Anbieter berechtigt, nach eigenem Ermessen folgende Massnahmen zu ergreifen, wobei die Verhaeltnismaessigkeit gewahrt bleibt:

  • Verwarnung: Bei erstmaligen oder geringfuegigen Verstoessen kann der Anbieter den Kunden schriftlich verwarnen und zur Abhilfe auffordern;
  • Voruebergehende Sperrung: Bei wiederholten oder schwerwiegenden Verstoessen kann der Anbieter den Zugang zur Plattform ganz oder teilweise voruebergehend sperren, bis der Verstoss behoben ist;
  • Sofortige Kuendigung: Bei besonders schwerwiegenden Verstoessen — insbesondere bei rechtswidrigen Aktivitaeten, vorsaetzlichen Sicherheitsangriffen oder gravierenden Datenschutzverletzungen — ist der Anbieter berechtigt, das Vertragsverhaeltnis fristlos aus wichtigem Grund zu kuendigen.

(2) Bei einer Kuendigung aufgrund eines vom Kunden zu vertretenden Verstosses gegen diese AUP besteht kein Anspruch auf Rueckerstattung bereits gezahlter Entgelte. Weitergehende Schadensersatzansprueche des Anbieters bleiben unberuehrt.

(3) Der Anbieter behaelt sich vor, bei unmittelbarer Gefahr fuer die Sicherheit oder Integritaet der Plattform oder anderer Nutzer ohne vorherige Ankuendigung zu handeln. In diesem Fall wird der betroffene Kunde so bald wie moeglich informiert.

§ 7 Meldung von Verstoessen

(1) Verstoesse gegen diese AUP durch andere Nutzer koennen dem Anbieter unter security@conport.services gemeldet werden. Der Anbieter behandelt eingehende Meldungen vertraulich und prueft diese zeitnah.

(2) Fuer die Meldung von Sicherheitsluecken und Schwachstellen gilt § 5 Abs. 3. Allgemeine Supportanfragen sind ueber die regulaeren Supportkanaele einzureichen.

§ 8 Aenderungen der Nutzungsrichtlinien

(1) Der Anbieter ist berechtigt, diese AUP mit einer Ankuendigungsfrist von 30 Tagen zu aendern. Aenderungen werden dem Kunden in Textform mitgeteilt, entweder per E-Mail oder durch einen deutlich sichtbaren Hinweis in der Plattform.

(2) Die fortgesetzte Nutzung der Plattform nach Ablauf der Ankuendigungsfrist gilt als Zustimmung zu den geaenderten AUP. Sofern der Kunde den Aenderungen nicht zustimmt, steht ihm ein ausserordentliches Kuendigungsrecht gemaess den AGB zu.

(3) Bei Aenderungen, die ausschliesslich der Klarstellung dienen oder dem Kunden keine wesentlichen neuen Pflichten auferlegen, kann der Anbieter die Ankuendigungsfrist auf 14 Tage verkuerzen.

§ 9 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Ausschliesslicher Gerichtsstand fuer alle Streitigkeiten aus und im Zusammenhang mit diesen AUP ist Dortmund, sofern der Kunde Kaufmann, juristische Person des oeffentlichen Rechts oder oeffentlich-rechtliches Sondervermoegen ist.

(3) Sollten einzelne Bestimmungen dieser AUP unwirksam oder undurchfuehrbar sein oder werden, so wird die Wirksamkeit der uebrigen Bestimmungen davon nicht beruehrt. Die unwirksame oder undurchfuehrbare Bestimmung ist durch eine solche zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am naechsten kommt.

(4) Diese AUP sind in Verbindung mit den AGB, der Datenschutzerklaerung und dem Auftragsverarbeitungsvertrag zu lesen. Im Zweifel hat der Inhalt der AGB Vorrang.

Stand: Maerz 2026