Auftragsverarbeitungsvertrag (AVV).

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten, die die Bites GbR (nachfolgend „Auftragsverarbeiter") für den Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung der Reguly-Plattform durchführt. Er ist Anlage zu und Bestandteil des zwischen den Parteien geschlossenen Hauptvertrages (AGB) und gilt mit dessen Abschluss als vereinbart.

Der AVV setzt die Anforderungen des Art. 28 DSGVO um. In datenschutzrechtlichen Fragen gehen seine Regelungen etwaigen abweichenden Bestimmungen des Hauptvertrages vor.

Gegenstand der Verarbeitung ist die Bereitstellung der Reguly-Plattform gemäß Hauptvertrag. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der vertragsgemäßen Erbringung dieser Leistungen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages, soweit sich aus diesem AVV (insbesondere zu Löschung und Rückgabe) nichts anderes ergibt.

Je nach Nutzung durch den Verantwortlichen können verarbeitet werden: Stammdaten (z. B. Namen, Kontaktdaten), Kommunikations- und Inhaltsdaten sowie produkt- und compliancebezogene Daten, die der Verantwortliche in die Plattform einstellt. Kategorien betroffener Personen sind insbesondere Beschäftigte, Ansprechpartner und Geschäftspartner des Verantwortlichen sowie weitere Personen, deren Daten der Verantwortliche in der Plattform verarbeitet. Die konkrete Festlegung obliegt dem Verantwortlichen; die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand des Auftrags, soweit nicht ausdrücklich vereinbart.

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet; in einem solchen Fall teilt er dem Verantwortlichen die rechtlichen Anforderungen vor der Verarbeitung mit, soweit das Gesetz dies nicht verbietet. Die Nutzung der Plattform im Rahmen der vereinbarten Funktionen gilt als Weisung; ergänzende Weisungen erfolgen in Textform. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen und darf deren Umsetzung bis zur Bestätigung aussetzen.

Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO). Er trifft die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage A), unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO, stellt die zum Nachweis erforderlichen Informationen bereit und führt, soweit anwendbar, ein Verzeichnis aller Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO).

Der Auftragsverarbeiter trifft die in Anlage A beschriebenen technischen und organisatorischen Maßnahmen und entwickelt diese entsprechend dem Stand der Technik fort. Maßnahmen, die das vereinbarte Schutzniveau nicht unterschreiten, sind zulässig.

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage B aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Austausch) vorab und räumt ihm das Recht ein, hiergegen aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen zu widersprechen. Jeder Unterauftragsverarbeiter wird auf datenschutzrechtliche Pflichten verpflichtet, die denen dieses AVV entsprechen.

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DSGVO.

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, soweit keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann die von ihm eingestellten Daten während der Laufzeit sowie für 30 Tage nach Vertragsende über die bereitgestellten Funktionen exportieren.

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die der Verantwortliche oder ein von ihm beauftragter Prüfer durchführt. Überprüfungen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs; Nachweise können auch durch geeignete Zertifikate, Testate oder aktuelle Prüfberichte erbracht werden.

Eine Verarbeitung personenbezogener Daten in einem Drittland erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO. Soweit eingesetzte Unterauftragsverarbeiter Daten in die USA oder andere Drittländer übermitteln, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln (Art. 46 DSGVO), nebst erforderlicher ergänzender Maßnahmen.

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Rechte betroffener Personen verantwortlich. Er bestimmt Art, Umfang und Zweck der von ihm in die Plattform eingestellten Daten und stellt sicher, dass für deren Verarbeitung eine geeignete Rechtsgrundlage besteht.

Für die Haftung gelten die Regelungen des Hauptvertrages sowie Art. 82 DSGVO. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen um:

• →Durchgängige Verschlüsselung der Datenübertragung per TLS sowie Verschlüsselung gespeicherter Daten nach Stand der Technik;
• →Zugangs- und Zugriffskontrolle durch rollenbasierte Berechtigungen, individuelle Benutzerkonten und Authentifizierung;
• →Mandantentrennung — logische Trennung der Daten verschiedener Kunden;
• →Datenminimierung und Pseudonymisierung, wo möglich (z. B. gesalzene Hashes statt Roh-IP-Adressen);
• →regelmäßige Datensicherungen und geprüfte Wiederherstellungsverfahren (Verfügbarkeit und Belastbarkeit);
• →Protokollierung sicherheitsrelevanter Ereignisse;
• →Auswahl vertraglich auf Datenschutz verpflichteter Hosting-Dienstleister mit geeigneten Garantien;
• →Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

Zum Zeitpunkt des Vertragsschlusses sind folgende Unterauftragsverarbeiter eingesetzt:

• →Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA — Hosting der Web-Anwendung (EU-Standardvertragsklauseln).
• →Render Services, Inc., San Francisco, USA — Hosting des Anwendungs-Backends und der Datenbank (EU-Standardvertragsklauseln).