DORA-Zusatzvereinbarung

1. Anwendungsbereich, Einbeziehung und Vorrang

1. Diese DORA-Zusatzvereinbarung („Zusatzvereinbarung“) gilt für Kunden, die als Finanzunternehmen, IKT-Drittdienstleister oder in sonstiger Weise in den Anwendungsbereich der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA“) fallen, soweit der Kunde die nuwacom-Dienste im Rahmen einer vertraglichen Vereinbarung mit nuwacom nutzt.

2. Diese Zusatzvereinbarung ergänzt die zwischen den Parteien geltenden vertraglichen Regelungen über die Nutzung der nuwacom-Dienste, insbesondere die Nutzungsbedingungen, einen etwaigen Arbeitsauftrag, die nuwacom-Datenverarbeitungsvereinbarung („DPA“), den anwendbaren Serviceplan, die Dokumentation, die Leistungsbeschreibung und die Preisliste („Vertragsunterlagen“).

3. Bei Widersprüchen zwischen dieser Zusatzvereinbarung und den übrigen Vertragsunterlagen gehen die Bestimmungen dieser Zusatzvereinbarung ausschließlich für DORA-spezifische Themen vor. Im Übrigen bleiben die Vertragsunterlagen unverändert in Kraft. Bei Widersprüchen in Bezug auf die Verarbeitung personenbezogener Daten geht die DPA vor.

4. In dieser Zusatzvereinbarung verwendete Begriffe haben, soweit nicht ausdrücklich abweichend definiert, dieselbe Bedeutung wie in den Nutzungsbedingungen oder in der DPA.

2. Vertragsparteien und nuwacom-Unternehmen

„nuwacom“ bezeichnet das jeweilige nuwacom-Unternehmen, das nach den Nutzungsbedingungen Vertragspartner des Kunden ist. Für Unternehmenskunden mit Sitz in Deutschland ist dies die nuwacom GmbH, Universitätsstraße 3, 56070 Koblenz, Deutschland. Für alle anderen Kunden ist dies nuwacom S.à r.l., 20 rue des Peupliers, L-2328 Luxemburg, sofern in einem Arbeitsauftrag nicht ausdrücklich etwas Abweichendes vereinbart wurde.

3. Vertragsgegenstand und Beschreibung der IKT-Leistungen

1. nuwacom stellt dem Kunden nach Maßgabe der Vertragsunterlagen die Plattform als cloudbasierte SaaS-Plattform für KI-gestützte Produktivität und Anwendungen bereit. Die im Rahmen des ausgewählten Abonnements zur Verfügung gestellten Funktionen und Merkmale der Plattform werden nachfolgend als „nuwacom-Dienste“ oder „IKT-Leistungen“ bezeichnet.

2. Art, Umfang, Verfügbarkeit, Servicequalität, Support, Nutzungsrechte, technische Anforderungen, Supportzeiten, etwaige Service Levels und sonstige Leistungsmerkmale der IKT-Leistungen ergeben sich aus den Vertragsunterlagen, insbesondere aus dem Arbeitsauftrag, dem Serviceplan, der Dokumentation, der Leistungsbeschreibung und der DPA. Soweit dort qualitative oder quantitative Leistungsparameter vereinbart sind, gelten diese als Leistungsbeschreibung der IKT-Leistungen im Sinne dieser Zusatzvereinbarung.

3. Drittanbieter-Dienste sind nicht Teil der nuwacom-Dienste und unterliegen den Bedingungen des jeweiligen Anbieters. KI-Dienste sind Dienste im Zusammenhang mit KI, die von einem Drittanbieter bereitgestellt werden, auf der Plattform verfügbar sind und für den Betrieb der nuwacom-Dienste oder zur Erweiterung einiger Funktionen verwendet werden. Die Nutzung von KI-Diensten und Drittanbieter-Diensten richtet sich ergänzend nach den Nutzungsbedingungen.

4. Einstufung der Nutzung und kritische oder wichtige Funktionen

1. Der Kunde ist dafür verantwortlich, auf Grundlage seiner eigenen regulatorischen Anforderungen zu beurteilen, ob und in welchem Umfang die Nutzung der nuwacom-Dienste eine kritische oder wichtige Funktion im Sinne von DORA unterstützt. nuwacom nimmt diese Einstufung nicht für den Kunden vor.

2. Diese Zusatzvereinbarung ist auf eine Nutzung der nuwacom-Dienste ausgelegt, bei der die IKT-Leistungen keine kritischen oder wichtigen Funktionen des Kunden im Sinne von DORA unterstützen. Sofern im Arbeitsauftrag nicht ausdrücklich etwas anderes vereinbart ist, gehen die Parteien davon aus, dass nuwacom im Rahmen dieser Zusatzvereinbarung nicht als kritischer IKT-Drittdienstleister eingeordnet wird.

3. Eine Nutzung der nuwacom-Dienste zur Unterstützung kritischer oder wichtiger Funktionen bedarf einer ausdrücklichen Vereinbarung im Arbeitsauftrag oder einer gesonderten Vereinbarung. Sollte der Kunde eine solche Nutzung beabsichtigen oder sollte sich eine entsprechende Einstufung während der Vertragslaufzeit ändern, wird der Kunde nuwacom unverzüglich in Textform informieren. Die Parteien werden in diesem Fall die erforderlichen zusätzlichen vertraglichen Regelungen abstimmen, insbesondere zu Leistungsbeschreibung, Service Level Agreements, Unterbeauftragung, Prüfungsrechten, Exit-Strategie, Übergangsunterstützung und regulatorischen Informationspflichten.

4. Bis zum Abschluss einer solchen ergänzenden Vereinbarung bleibt diese Zusatzvereinbarung anwendbar. nuwacom ist nicht verpflichtet, eine Nutzung für kritische oder wichtige Funktionen zu ermöglichen, sofern die hierfür erforderlichen vertraglichen, technischen, organisatorischen oder wirtschaftlichen Voraussetzungen nicht einvernehmlich geregelt wurden.

5. Rechte und Pflichten der Parteien

1. Die Parteien legen ihre Rechte und Pflichten im Zusammenhang mit den IKT-Leistungen schriftlich in den Vertragsunterlagen fest. Der Kunde bleibt für seine regulatorische Gesamtverantwortung, sein IKT-Risikomanagement, seine Auslagerungs- oder Drittparteiensteuerung, seine interne Dokumentation sowie die Erfüllung eigener Melde- und Informationspflichten verantwortlich.

2. nuwacom ist für die Bereitstellung der nuwacom-Dienste nach Maßgabe der Vertragsunterlagen verantwortlich. nuwacom schuldet keine Rechts-, Compliance-, Risiko-, Prüfungs- oder aufsichtsrechtliche Beratungsleistung gegenüber dem Kunden.

3. Der Kunde stellt nuwacom die Informationen, Weisungen, Kontakte und Mitwirkungen zur Verfügung, die für die Erfüllung der Pflichten aus dieser Zusatzvereinbarung erforderlich sind. Dies umfasst insbesondere die Benennung fachlicher und technischer Ansprechpartner sowie die rechtzeitige Mitteilung regulatorisch relevanter Anforderungen.

6. Standorte, Datenverarbeitung und Datenresidenz

1. nuwacom erbringt die IKT-Leistungen nach Maßgabe der Vertragsunterlagen innerhalb der Europäischen Union, sofern nicht ausdrücklich anders vereinbart oder durch den Kunden konfiguriert. Kundendaten, die sich unter der Kontrolle von nuwacom befinden, werden im Ruhezustand in der Europäischen Union gespeichert, sofern der Kunde nicht ausdrücklich etwas anderes auswählt.

2. Soweit der Kunde KI-Dienste oder Drittanbieter-Dienste aktiviert, verbindet oder konfiguriert, können Datenverarbeitungen außerhalb der Europäischen Union stattfinden. Dies erfolgt nach Maßgabe der Nutzungsbedingungen und der DPA, einschließlich etwaiger Standardvertragsklauseln, Angemessenheitsbeschlüsse oder sonstiger zulässiger Transfermechanismen, soweit erforderlich.

3. nuwacom informiert den Kunden rechtzeitig in Textform über beabsichtigte wesentliche Änderungen der primären Verarbeitungsstandorte, soweit diese die IKT-Leistungen betreffen und nicht bereits über die DPA, das Trust Center oder eine andere geeignete Informationsquelle bereitgestellt werden.

7. Informationsregister und regulatorische Dokumentation

1. nuwacom stellt dem Kunden auf Anforderung die Informationen zur Verfügung, die der Kunde für die Erstellung und Pflege seines Informationsregisters, Auslagerungsverzeichnisses oder vergleichbarer regulatorischer Dokumentation benötigt, soweit diese Informationen nuwacom vorliegen, sich auf die von nuwacom erbrachten IKT-Leistungen beziehen und der Offenlegung keine gesetzlichen Pflichten, Sicherheitsanforderungen oder berechtigten Geheimhaltungsinteressen entgegenstehen.

2. Die Parteien erkennen an, dass der Kunde für die inhaltliche Richtigkeit, Vollständigkeit, Aktualität und Einreichung seines Informationsregisters gegenüber zuständigen Behörden verantwortlich bleibt.

8. Informationssicherheit und technische und organisatorische Maßnahmen

1. nuwacom betreibt für die Plattform ein Informationssicherheitsmanagementsystem (ISMS) und ist nach ISO/IEC 27001 zertifiziert. nuwacom stellt dem Kunden auf Anforderung das aktuelle Zertifikat oder gleichwertige Nachweise sowie relevante Prüfberichte, Testate oder Sicherheitsnachweise in angemessenem Umfang zur Verfügung, soweit dies zur Erfüllung gesetzlicher oder aufsichtsrechtlicher Pflichten des Kunden erforderlich ist und der Offenlegung keine gesetzlichen Pflichten, Sicherheitsanforderungen oder berechtigten Geheimhaltungsinteressen entgegenstehen.

2. nuwacom trifft angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der IKT-Leistungen und der im Zusammenhang damit verarbeiteten Kundendaten und Kundeninhalte. Die konkret implementierten Maßnahmen ergeben sich insbesondere aus der DPA, dem Trust Center, der Dokumentation und den Sicherheitsunterlagen von nuwacom.

3. Zu den Sicherheitsmaßnahmen können insbesondere Zugriffskontrollen, rollenbasierte Zugriffskonzepte, Verschlüsselung, Protokollierung, Schwachstellenmanagement, Maßnahmen zur Netzwerksicherheit, Backup- und Wiederherstellungsprozesse sowie Verfahren zur Behandlung sicherheitsrelevanter Ereignisse gehören.

4. nuwacom kann technische und organisatorische Maßnahmen weiterentwickeln, sofern das Gesamtschutzniveau der nuwacom-Dienste dadurch nicht wesentlich verringert wird. Kritische Sicherheitslücken der Plattform werden von nuwacom ohne unangemessene Verzögerung bewertet und nach Maßgabe ihrer Kritikalität behandelt.

9. IKT-Vorfälle, Sicherheitsereignisse und Unterstützung

1. nuwacom unterrichtet den Kunden unverzüglich nach Kenntnis in Textform über IKT-bezogene Vorfälle, die die von nuwacom bereitgestellten IKT-Leistungen betreffen und die Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität der IKT-Leistungen oder der Kundendaten erheblich gefährden können.

2. nuwacom stellt dem Kunden auf Anforderung die bei nuwacom verfügbaren Informationen zur Verfügung, die der Kunde benötigt, um einen gemeldeten IKT-Vorfall einzustufen und gesetzlich oder aufsichtsrechtlich erforderliche Meldungen gegenüber zuständigen Behörden vorzubereiten, soweit der Offenlegung keine gesetzlichen Pflichten, Sicherheitsanforderungen oder berechtigten Geheimhaltungsinteressen entgegenstehen.

3. nuwacom unterstützt den Kunden bei einem IKT-Vorfall, der mit den von nuwacom erbrachten IKT-Leistungen zusammenhängt, in angemessenem Umfang. Diese Unterstützung erfolgt ohne zusätzliche Kosten, soweit sie zur Erfüllung zwingender DORA-bezogener Melde- oder Informationspflichten des Kunden erforderlich ist. Darüber hinausgehende Unterstützungsleistungen können nach Maßgabe der jeweils gültigen Tagessätze oder einer gesonderten Vereinbarung vergütet werden.

4. Die vorstehenden Pflichten gelten nicht, soweit der Vorfall durch den Kunden, seine autorisierten Benutzer, seine Systeme, seine Konfiguration, seine Inhalte, seine Weisungen oder von ihm ausgewählte oder konfigurierte Drittanbieter-Dienste verursacht wurde. In solchen Fällen unterstützt nuwacom den Kunden nach gesonderter Vereinbarung.

5. nuwacom informiert den Kunden über wesentliche Entwicklungen, die sich erheblich auf die Fähigkeit von nuwacom auswirken könnten, die IKT-Leistungen nach Maßgabe der Vertragsunterlagen bereitzustellen, soweit und sobald nuwacom von solchen Entwicklungen Kenntnis erlangt.

10. Business Continuity, Notfallkonzept und Wiederherstellung

1. nuwacom unterhält angemessene Maßnahmen für Business Continuity, Notfallmanagement und Wiederherstellung im Zusammenhang mit seinem eigenen Geschäftsbetrieb und der Bereitstellung der Plattform.

2. Diese Maßnahmen dienen dazu, die Kontinuität der nuwacom-Dienste zu unterstützen, auf IKT-Vorfälle zu reagieren und die Wiederherstellung betroffener Dienste in angemessener Weise zu ermöglichen. Umfang und konkrete Ausgestaltung richten sich nach Art, Umfang und Risikoprofil der nuwacom-Dienste sowie den in den Vertragsunterlagen beschriebenen Leistungsmerkmalen.

3. nuwacom überprüft und testet die Angemessenheit und Wirksamkeit seiner Business-Continuity- und Notfallmaßnahmen regelmäßig in angemessenem Umfang. Soweit entsprechende Nachweise vorhanden sind, stellt nuwacom dem Kunden auf Anforderung geeignete Zusammenfassungen, Zertifikate oder Berichte zur Verfügung, soweit dies zur Erfüllung gesetzlicher oder aufsichtsrechtlicher Pflichten des Kunden erforderlich ist.

11. Datenzugang, Datenexport, Löschung und Beendigungsmanagement

1. Der Schutz personenbezogener Daten, Zugriffe auf personenbezogene Daten sowie Löschung und Rückgabe personenbezogener Daten richten sich nach der DPA.

2. Im Falle der Beendigung der IKT-Leistungen ermöglicht nuwacom dem Kunden nach Maßgabe der Vertragsunterlagen den Export der in der Plattform gespeicherten Kundendaten und Kundeninhalte in einem gängigen, maschinenlesbaren Format. Der Export ist für einen Zeitraum von 30 Tagen nach Wirksamwerden der Beendigung möglich, sofern in einem Arbeitsauftrag, der DPA oder einer gesonderten Vereinbarung nicht etwas Abweichendes geregelt ist.

3. Nach Ablauf der Exportfrist kann nuwacom Kundendaten und Kundeninhalte nach Maßgabe der Vertragsunterlagen löschen, sofern keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen oder sonstigen rechtlichen Gründe einer Löschung entgegenstehen. nuwacom bestätigt dem Kunden die Löschung auf Anfrage in angemessener Form.

4. Soweit der Kunde über die Standard-Exportfunktionen hinaus Unterstützung bei der Migration, Übertragung oder geordneten Beendigung der Nutzung benötigt, werden die Parteien Art, Umfang, Zeitplan und Vergütung dieser Unterstützungsleistungen gesondert vereinbaren.

5. Soweit die Parteien eine Nutzung der nuwacom-Dienste zur Unterstützung kritischer oder wichtiger Funktionen vereinbaren, werden sie zusätzliche Exit- und Übergangsregelungen treffen, einschließlich eines angemessenen Übergangszeitraums, um das Risiko von Störungen beim Kunden zu reduzieren und eine Migration zu einem anderen IKT-Drittdienstleister oder zu einer internen Lösung zu ermöglichen.

12. Subunternehmer und Unterauftragsverarbeiter

1. nuwacom ist berechtigt, Subunternehmer zur Erbringung bestimmter Teile der nuwacom-Dienste einzusetzen. Soweit diese Subunternehmer personenbezogene Daten im Auftrag verarbeiten, gelten ergänzend die Regelungen der DPA zu Unterauftragsverarbeitern.

2. Die für die Erbringung der nuwacom-Dienste eingesetzten Subunternehmer und Unterauftragsverarbeiter werden in der DPA, im Trust Center oder in einer anderen geeigneten, dem Kunden zugänglichen Quelle aufgeführt. Der Einsatz neuer Unterauftragsverarbeiter erfolgt nach Maßgabe der DPA.

3. nuwacom stellt dem Kunden auf Anforderung relevante Informationen über eingesetzte Subunternehmer und Unterauftragsverarbeiter zur Verfügung, soweit dies zur Erfüllung gesetzlicher oder aufsichtsrechtlicher Pflichten des Kunden erforderlich ist und der Offenlegung keine gesetzlichen Pflichten, Sicherheitsanforderungen oder berechtigten Geheimhaltungsinteressen entgegenstehen.

4. Soweit Subunternehmer wesentliche Teile der IKT-Leistungen erbringen oder für eine vereinbarte Nutzung zur Unterstützung kritischer oder wichtiger Funktionen relevant sind, werden die Parteien auf Anforderung des Kunden zusätzliche Informationen zu Umfang, Ort, Funktion und Bedingungen der Unterbeauftragung abstimmen.

13. Schulungen und Awareness

1. nuwacom unterhält angemessene interne Schulungs- und Awareness-Maßnahmen im Bereich Informationssicherheit, Datenschutz und digitaler operationaler Resilienz, soweit dies für die Erbringung der nuwacom-Dienste relevant ist.

2. Fordert der Kunde nuwacom zur Teilnahme an kundenspezifischen Schulungen zur IKT-Sicherheit oder digitalen operationalen Resilienz auf, werden die Parteien einvernehmlich abstimmen, ob und in welchem Umfang eine Teilnahme erforderlich, angemessen und durchführbar ist.

3. Soweit eine Teilnahme vereinbart wird, ist diese grundsätzlich auf Mitarbeitende beschränkt, die unmittelbar an der Erbringung der IKT-Leistungen gegenüber dem Kunden beteiligt sind, und erfolgt remote per Videokonferenz oder über vergleichbare Kommunikationsmittel, sofern nicht anders vereinbart. Der Kunde vergütet den hierfür entstehenden Zeitaufwand nach den jeweils gültigen Tagessätzen, sofern die Parteien nicht ausdrücklich etwas Abweichendes vereinbaren.

14. Prüfungs-, Auskunfts- und Zugangsrechte

1. nuwacom stellt dem Kunden auf Anforderung relevante Informationen zur Verfügung, die bei nuwacom vorhanden und erforderlich sind, um die Einhaltung der Pflichten aus dieser Zusatzvereinbarung gegenüber zuständigen Aufsichtsbehörden nachzuweisen.

2. Die Einhaltung der Pflichten aus dieser Zusatzvereinbarung wird vorrangig durch geeignete Zertifikate, Testate, Berichte unabhängiger Dritter, Sicherheitsdokumentation, Auskünfte oder sonstige Nachweise nachgewiesen. Dies gilt insbesondere, soweit eine unmittelbare Prüfung die Sicherheit, Verfügbarkeit oder Vertraulichkeit der Systeme von nuwacom oder Daten anderer Kunden beeinträchtigen könnte.

3. Soweit dies für Prüfungszwecke erforderlich und rechtlich zulässig ist, darf der Kunde Kopien relevanter Nachweise, Zertifikate, Berichte oder Dokumentationen erhalten oder anfertigen, sofern dadurch keine Geschäftsgeheimnisse, Sicherheitsinteressen, Rechte Dritter oder Daten anderer Kunden beeinträchtigt werden. nuwacom kann hierfür angemessene Vertraulichkeits-, Zugriffsschutz- und Nutzungsbeschränkungen verlangen.

4. Soweit (i) der Kunde einen konkreten und begründeten Verdacht auf einen wesentlichen Verstoß gegen diese Zusatzvereinbarung darlegt, (ii) die Nachweise nach Absatz 2 im Einzelfall keine angemessene Überprüfung ermöglichen oder (iii) ein Audit durch eine zuständige Aufsichtsbehörde verbindlich angeordnet wurde, sind der Kunde oder von ihm beauftragte Prüfer berechtigt, Audits in Bezug auf die von nuwacom gegenüber dem Kunden erbrachten IKT-Leistungen durchzuführen.

5. Audits sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten, in angemessenem Umfang und unter Beachtung der Sicherheits-, Vertraulichkeits- und Betriebsanforderungen von nuwacom durchzuführen. Der Kunde und seine Prüfer müssen angemessene Vertraulichkeitsverpflichtungen eingehen und dürfen keine Informationen über andere Kunden, Systeme oder Geschäftsgeheimnisse von nuwacom offenlegen oder kopieren, soweit dies für den Prüfungszweck nicht zwingend erforderlich ist.

6. Soweit Audits personenbezogene Daten betreffen, gelten ergänzend die Regelungen der DPA über Prüfungen und Inspektionen. Prüfungsrechte nach dieser Ziffer bestehen für einen Zeitraum von bis zu einem Jahr nach Beendigung der IKT-Leistungen fort, soweit dies zur Erfüllung gesetzlicher oder aufsichtsrechtlicher Pflichten des Kunden erforderlich ist.

15. Zusammenarbeit mit Aufsichts- und Abwicklungsbehörden

1. nuwacom arbeitet mit den für den Kunden zuständigen Aufsichtsbehörden und Abwicklungsbehörden, einschließlich der von diesen benannten Personen, in angemessenem Umfang zusammen, soweit sich deren Anfragen auf die von nuwacom gegenüber dem Kunden bereitgestellten IKT-Leistungen beziehen.

2. Die Zusammenarbeit steht unter dem Vorbehalt zwingender gesetzlicher Pflichten, Sicherheitsanforderungen, Vertraulichkeitsverpflichtungen, Geschäftsgeheimnisse sowie berechtigter Interessen von nuwacom, verbundenen Unternehmen, anderen Kunden oder Subunternehmern.

3. nuwacom wird den Kunden, soweit rechtlich zulässig, über behördliche Anfragen informieren, die sich auf die IKT-Leistungen des Kunden beziehen.

16. Tests, TLPT und weitergehende Resilienzprüfungen

1. Soweit der Kunde nuwacom zur Teilnahme an Tests, Prüfungen oder szenariobasierten Übungen zur digitalen operationalen Resilienz auffordert, werden die Parteien einvernehmlich abstimmen, ob und in welchem Umfang eine Teilnahme erforderlich, angemessen und technisch durchführbar ist.

2. Eine Beteiligung von nuwacom an bedrohungsgeleiteten Penetrationstests oder vergleichbaren Prüfungen setzt eine vorherige schriftliche Vereinbarung über Umfang, Verfahren, Zeitfenster, Sicherheitsvorgaben, zulässige Testmethoden, Ansprechpartner, Vertraulichkeit und Vergütung voraus.

3. Der Kunde darf keine Tests durchführen oder veranlassen, die die Sicherheit, Integrität, Verfügbarkeit oder Leistung der Plattform, der nuwacom-Dienste oder der Daten anderer Kunden gefährden könnten, sofern nuwacom dem nicht zuvor ausdrücklich zugestimmt hat.

17. Kündigungsrechte des Kunden

1. Der Kunde kann die betroffenen IKT-Leistungen und diese Zusatzvereinbarung aus wichtigem Grund mit einer Frist von 14 Tagen in Textform kündigen, wenn (i) nuwacom wesentlich gegen anwendbare Gesetze, Vorschriften oder diese Zusatzvereinbarung verstößt, (ii) im Rahmen der Überwachung des IKT-Drittparteienrisikos Umstände festgestellt werden, die die ordnungsgemäße Erbringung der IKT-Leistungen durch nuwacom erheblich beeinträchtigen, (iii) nuwacom nachweisliche wesentliche Schwächen im IKT-Risikomanagement aufweist, die die Verfügbarkeit, Authentizität, Sicherheit oder Vertraulichkeit der IKT-Leistungen erheblich gefährden, oder (iv) eine zuständige Aufsichtsbehörde verbindlich anordnet, dass der Kunde die betroffenen IKT-Leistungen beenden muss.

2. In den Fällen nach Absatz 1(i) bis 1(iii) ist eine Kündigung nur zulässig, wenn der Kunde nuwacom den relevanten Umstand zuvor in Textform mitgeteilt hat und nuwacom den Umstand nicht innerhalb einer angemessenen Frist beseitigt hat, soweit eine Beseitigung möglich und zumutbar ist.

3. Sonstige Kündigungsrechte aus den Vertragsunterlagen bleiben unberührt.

18. Laufzeit und Beendigung

1. Diese Zusatzvereinbarung gilt für die Dauer der Nutzung der nuwacom-Dienste durch den Kunden, solange und soweit der Kunde in den Anwendungsbereich von DORA fällt.

2. Mit Beendigung der betroffenen IKT-Leistungen endet auch diese Zusatzvereinbarung, soweit sie sich auf diese IKT-Leistungen bezieht, ohne dass es einer gesonderten Kündigung bedarf. Regelungen, die ihrer Natur nach über die Beendigung hinaus gelten sollen, bleiben unberührt.

19. Sonstige Bestimmungen

1. Diese Zusatzvereinbarung ist Bestandteil der Vertragsunterlagen. Soweit in dieser Zusatzvereinbarung nicht ausdrücklich etwas anderes geregelt ist, gelten die Bestimmungen der Nutzungsbedingungen, einschließlich der Regelungen zu anwendbarem Recht und Gerichtsstand.

2. Änderungen und Ergänzungen dieser Zusatzvereinbarung bedürfen der Textform, sofern gesetzlich keine strengere Form vorgeschrieben ist.

3. Sollten einzelne Bestimmungen dieser Zusatzvereinbarung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Regelung ersetzen, die dem wirtschaftlichen und regulatorischen Zweck der ursprünglichen Regelung möglichst nahekommt und den Anforderungen von DORA Rechnung trägt.

4. Diese deutsche Fassung ist maßgeblich, sofern die Parteien nicht ausdrücklich eine andere Sprachfassung als verbindlich vereinbaren.