Auftragsverarbeitungsvertrag (AVV) | Data Processing Agreement

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) wird zwischen dem Kunden ("Verantwortlicher") und dem folgenden Auftragsverarbeiter geschlossen:

Auftragsverarbeiter:

[COMPANY_NAME] UG (haftungsbeschränkt)
[STREET_ADDRESS]
[POSTAL_CODE] [CITY]
Germany

Der Verantwortliche ist die Einheit, die einen Dienstleistungsvertrag mit dem Auftragsverarbeiter für die Nutzung der The Compliant Company-Plattform abgeschlossen hat.

§ 1 Gegenstand und Dauer

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Compliance-Management-Plattformdienste ("Dienste").

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptdienstleistungsvertrags. Dieser AVV endet automatisch mit Beendigung des Hauptvertrags.

Zweck der Verarbeitung ist es, dem Verantwortlichen die Nutzung der Plattform für das Compliance-Management zu ermöglichen, einschließlich Datenspeicherung, Analyse, Berichterstattung und Zusammenarbeitsfunktionen.

§ 2 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten können verarbeitet werden:

Benutzerkontodaten: Name, E-Mail-Adresse, Berufsbezeichnung, Profilbild
Authentifizierungsdaten: Anmeldedaten, Sitzungsinformationen, IP-Adressen
Organisationsdaten: Firmenname, Adresse, Branche, Größe
Aktivitätsdaten: Audit-Protokolle, Benutzeraktionen, Zeitstempel
Compliance-Daten: Alle personenbezogenen Daten in Dokumenten oder Datenpunkten, die vom Verantwortlichen hochgeladen werden

Hinweis: Der Verantwortliche bestimmt, welche personenbezogenen Daten auf die Plattform hochgeladen werden. Der Auftragsverarbeiter verarbeitet Daten nur nach Weisung des Verantwortlichen.

§ 3 Kategorien betroffener Personen

Folgende Kategorien betroffener Personen können betroffen sein:

Mitarbeiter des Kunden und autorisierte Benutzer der Plattform
Personen, deren Daten in vom Verantwortlichen hochgeladenen Compliance-Dokumenten enthalten sind

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird gemäß Art. 28 Abs. 3 DSGVO:

Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen (in Schrift- oder elektronischer Form) verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen Datenschutzrecht verstößt
Sicherstellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
Angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO implementieren
Unterauftragsverarbeiter nur mit vorheriger Genehmigung und auf Grundlage eines schriftlichen Vertrags mit gleichwertigen Datenschutzpflichten beauftragen
Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) innerhalb der gesetzlichen Fristen unterstützen
Den Verantwortlichen bei der Einhaltung der Pflichten bezüglich Sicherheit (Art. 32 DSGVO), Meldung von Verletzungen (Art. 33-34 DSGVO) und Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) unterstützen
Nach Beendigung alle personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine Aufbewahrungspflicht nach Unionsrecht oder dem Recht der Mitgliedstaaten besteht
Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen, und Überprüfungen einschließlich Inspektionen ermöglichen und dazu beitragen
Den Verantwortlichen unverzüglich informieren, falls nach Ansicht des Auftragsverarbeiters eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt

§ 5 Pflichten des Verantwortlichen

Der Verantwortliche wird:

Sicherstellen, dass die Verarbeitungsanweisungen rechtmäßig sind und nicht gegen geltende Datenschutzgesetze verstoßen
Den Auftragsverarbeiter über relevante Datenschutz-Folgenabschätzungen informieren
Sicherstellen, dass betroffene Personen angemessen über die Verarbeitung informiert wurden

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Erbringung der Dienste gemäß Art. 28 Abs. 2 DSGVO.

Eine aktuelle Liste der Unterauftragsverarbeiter wird geführt und dem Verantwortlichen auf der Unterauftragsverarbeiter-Seite zur Verfügung gestellt.

Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch einen schriftlichen Vertrag mit gleichwertigen Datenschutzpflichten wie in diesem AVV gebunden ist, insbesondere mit hinreichenden Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen.

Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen vollumfänglich für die Erfüllung der Pflichten des Unterauftragsverarbeiters (Art. 28 Abs. 4 DSGVO).

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern (Hinzufügungen oder Ersetzungen) mit mindestens 30 Tagen Vorlaufzeit per E-Mail an den Kontoadministrator. Der Verantwortliche kann innerhalb von 14 Tagen nach Benachrichtigung aus berechtigten datenschutzrechtlichen Gründen widersprechen.

Widerspricht der Verantwortliche und wird keine Lösung gefunden, kann der Verantwortliche die betroffenen Dienste innerhalb von 30 Tagen nach dem Widerspruch ohne Vertragsstrafe kündigen.

Aktuelle Unterauftragsverarbeiterliste ansehen →

§ 7 Internationale Datenübermittlungen

Daten dürfen nur mit angemessenen Garantien gemäß Kapitel V DSGVO in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden.

Für Übermittlungen in die Vereinigten Staaten und andere Drittländer ohne Angemessenheitsbeschluss stützt sich der Auftragsverarbeiter auf die EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, Modul 2 (Verantwortlicher an Auftragsverarbeiter).

Wenn Unterauftragsverarbeiter außerhalb des EWR ansässig sind, stellt der Auftragsverarbeiter sicher, dass die SCCs 2021 oder andere gültige Übermittlungsmechanismen (Angemessenheitsbeschlüsse, verbindliche interne Datenschutzvorschriften) vorhanden sind.

Transfer Impact Assessment (TIA)

Gemäß Klausel 14 der SCCs 2021 und EDPB-Empfehlungen 01/2020 hat der Auftragsverarbeiter für jede Drittlandübermittlung ein Transfer Impact Assessment (TIA) durchgeführt. Diese Bewertung evaluiert die Gesetze und Praktiken des Ziellandes, die spezifischen Umstände der Übermittlung und alle implementierten ergänzenden Maßnahmen, um ein im Wesentlichen gleichwertiges Datenschutzniveau zu gewährleisten.

Eine Zusammenfassung der TIA-Ergebnisse ist auf Anfrage erhältlich. Die Bewertung wird regelmäßig überprüft und bei wesentlichen Änderungen des rechtlichen Rahmens des Ziellandes oder der Umstände der Übermittlung aktualisiert.

Wenn das TIA Risiken identifiziert, implementiert der Auftragsverarbeiter ergänzende Maßnahmen gemäß EDPB-Empfehlungen, die zusätzliche Verschlüsselung, Pseudonymisierung oder vertragliche Zusagen des Datenimporteurs umfassen können.

§ 8 Rechte betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.

Erhält der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person, wird er den Verantwortlichen unverzüglich informieren und nicht ohne Genehmigung direkt antworten.

§ 9 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter implementiert folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zur Gewährleistung der Sicherheit der Verarbeitung. Diese Maßnahmen folgen der traditionellen deutschen TOM-Struktur:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1. Zutrittskontrolle

Maßnahmen zur Verwehrung des Zutritts Unbefugter zu Datenverarbeitungsanlagen: Die gesamte Infrastruktur wird bei zertifizierten Cloud-Anbietern (Vercel, Turso) gehostet, die SOC 2 Typ II-zertifizierte Rechenzentren mit 24/7-Sicherheitspersonal, biometrischen Zugangskontrollen, Videoüberwachung und Schleusen betreiben.

2. Zugangskontrolle

Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen: Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten erforderlich, sichere Passwortrichtlinien über Clerk durchgesetzt, automatischer Sitzungs-Timeout, Sperrung nach fehlgeschlagenen Anmeldeversuchen und verschlüsselte Speicherung von Anmeldedaten.

3. Zugriffskontrolle

Maßnahmen zur Gewährleistung, dass Berechtigte nur auf Daten innerhalb ihrer Berechtigung zugreifen können: Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Berechtigung, mandantenspezifische Datenisolierung, Audit-Protokollierung aller Datenzugriffe und regelmäßige Zugriffsüberprüfungen.

4. Trennungskontrolle

Maßnahmen zur Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden: Logische Mandantentrennung durch organisationsbezogene Datenbankabfragen, separate Datenbankschemas pro Kunde und strikte API-seitige Mandantengrenzen.

5. Pseudonymisierung

Soweit angemessen werden personenbezogene Daten pseudonymisiert: Benutzer-IDs werden anstelle von Namen in Aktivitätsprotokollen verwendet, Analytics-Daten werden vor der Verarbeitung anonymisiert, und Compliance-Dokumente können beim Export pseudonymisiert werden.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

6. Weitergabekontrolle

Maßnahmen zur Gewährleistung, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: TLS 1.3-Verschlüsselung für alle Daten während der Übertragung, AES-256-Verschlüsselung für gespeicherte Daten, verschlüsselte Backups und sichere API-Authentifizierung über signierte Token.

7. Eingabekontrolle

Maßnahmen zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, wer personenbezogene Daten eingegeben, verändert oder entfernt hat: Umfassende Audit-Protokollierung aller Erstellungs-, Änderungs- und Löschvorgänge mit Benutzeridentifikation und Zeitstempeln, unveränderlicher Audit-Trail und Änderungshistorie für Compliance-Daten.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b-c DSGVO)

8. Verfügbarkeitskontrolle

Maßnahmen zur Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: Automatische tägliche Backups mit 30-tägiger Aufbewahrung, geografisch verteilte Infrastruktur, Disaster-Recovery-Verfahren mit definierten RTO/RPO, redundante Datenbankreplikation und DDoS-Schutz.

Zusätzliche Maßnahmen

9. Wiederherstellbarkeit

Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten: Dokumentierte Incident-Response-Verfahren, regelmäßige Backup-Wiederherstellungstests und Business-Continuity-Planung.

10. Regelmäßige Überprüfung

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs: Jährliche Sicherheitsbewertungen, Schwachstellenscans, Penetrationstests (geplant) und kontinuierliche Überwachung auf Sicherheitsbedrohungen.

Organisatorische Maßnahmen

11. Mitarbeitermaßnahmen

Vertraulichkeitsvereinbarungen für alle Mitarbeiter, regelmäßige Sicherheitsschulungen, Hintergrundüberprüfungen für Personal mit Zugang zu personenbezogenen Daten und klare Richtlinien zur akzeptablen Nutzung.

Diese Maßnahmen werden regelmäßig überprüft und verbessert. Der Verantwortliche kann auf angemessene Ankündigung detaillierte Dokumentation spezifischer Maßnahmen anfordern.

§ 10 Prüfungsrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu prüfen. Der Verantwortliche kann Prüfungen selbst durchführen oder einen unabhängigen Prüfer beauftragen.

Prüfungen werden während der normalen Geschäftszeiten mit angemessener Vorlaufzeit durchgeführt (mindestens 30 Tage für Vor-Ort-Prüfungen). Der Auftragsverarbeiter kann aktuelle Prüfberichte oder Zertifizierungen als Alternative zu Vor-Ort-Prüfungen bereitstellen.

Jede Partei trägt ihre eigenen Kosten für Prüfungen. Wenn eine Prüfung wesentliche Nichteinhaltung aufdeckt, trägt der Auftragsverarbeiter die Kosten der Behebung.

§ 11 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich (spätestens innerhalb von 48 Stunden), nachdem er von einer Verletzung personenbezogener Daten Kenntnis erlangt hat, die Daten des Verantwortlichen betrifft.

Der Auftragsverarbeiter stellt dem Verantwortlichen ausreichende Informationen zur Verfügung, um dessen Pflichten nach Art. 33 und 34 DSGVO zu erfüllen, und unterstützt bei der Untersuchung und Eindämmung von Verletzungen.

§ 12 Beendigung und Datenrückgabe

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter auf Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen.

Die Löschung erfolgt nach branchenüblichen Methoden zur sicheren Löschung. Der Auftragsverarbeiter stellt auf Anfrage eine schriftliche Bestätigung der Löschung aus.

Daten dürfen nur aufbewahrt werden, wenn dies nach geltendem Recht erforderlich ist, und nur für die gesetzlich vorgeschriebene Aufbewahrungsfrist.

§ 13 Haftung

Die Haftung für Verstöße gegen diesen AVV richtet sich nach den Haftungsbestimmungen des Hauptdienstleistungsvertrags (AGB).

Nichts in diesem AVV beschränkt die Haftung einer Partei nach Art. 82 DSGVO oder anderen zwingenden Bestimmungen des anwendbaren Datenschutzrechts.

§ 14 Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Änderungen dieses AVV bedürfen der Schriftform. Der Auftragsverarbeiter kann diesen AVV anpassen, um Änderungen im anwendbaren Recht widerzuspiegeln, mit angemessener Benachrichtigung des Verantwortlichen.

Sollte eine Bestimmung dieses AVV unwirksam oder nicht durchsetzbar sein, bleiben die übrigen Bestimmungen wirksam.

Kontakt

Bei Fragen zur Datenverarbeitung oder zu diesem Vertrag:

Datenschutzkontakt
[MANAGING_DIRECTOR]
[EMAIL]