Skip to content
Close
SEARCH
de
en
Jetzt loslegen!
de
en
Jetzt loslegen!
Branchen
Use cases
KI macht Training
zu einem personalisierten Coaching-Erlebnis
Mehr erfahren
Retorio - KI-Coaching-Plattform - personalisierten Coaching-Erlebnis
Retorio press and news

Standard AVV

TABLE OF CONTENTS
loading...

Inhalt

Rahmen ────────────────────────────────────────────────────────

§ 1 Gegenstand und Dauer der Verarbeitung

§ 2 Konkretisierung des Auftragsinhalts

Sicherheit und Pflichten ────────────────────────────────────────────────────────

§ 3 Technische und organisatorische Maßnahmen

§ 4 Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Unterauftragsverarbeitung ────────────────────────────────────────────────────────

§ 5 Unterbeauftragung gemäß Art. 28 Abs. 3 S. 2 lit. d DSGVO

Kontrolle, Unterstützung und Weisungen ────────────────────────────────────────────────────────

§ 6 Kontrollrechte des Verantwortlichen

§ 7 Unterstützungs- und Mitteilungspflichten des Auftragnehmers

§ 8 Weisungsbefugnis des Verantwortlichen

Abschluss ────────────────────────────────────────────────────────

§ 9 Löschung und Rückgabe personenbezogener Daten

§ 10 Sonstige Bestimmungen

Unterzeichnung

 

 


Vertragsparteien


Vertrag über die Verarbeitung personenbezogener Daten im Sinne von Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO).


Im Namen des KUNDEN:

„KUNDE“ bezeichnet die juristische oder natürliche Person, die Lizenzen für Nutzer und Endnutzer oder externe Nutzer im Sinne des Bestellformulars, dem dieses Dokument beigefügt ist, bezieht, erwirbt oder in irgendeiner Weise kontrolliert.

– Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO –

– nachfolgend „Verantwortlicher“ genannt –


durch den ANBIETER

Retorio GmbH, Landwehrstraße 63, 80336 München, Deutschland

– Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO –

– nachfolgend „Auftragsverarbeiter“ genannt –

– nachfolgend einzeln als „Partei“ oder gemeinsam als „Parteien“ bezeichnet –

 

§ 1 | Gegenstand und Dauer der Verarbeitung

1Einzelheiten zum Gegenstand und zur Dauer der Verarbeitung ergeben sich jeweils aus der näheren Bezeichnung des Hauptvertrags, dem dieser AVV beigefügt ist (nachfolgend Hauptvertrag oder Hauptvereinbarung genannt) und der zwischen den Parteien geschlossen wurde und dem dieser Vertrag zugrunde liegt. 2Dieser Vertrag ist rechtlich abhängig und teilt das rechtliche Schicksal des Hauptvertrags; die Beendigung des Hauptvertrags führt automatisch zur Beendigung dieses Vertrags. 3Den Parteien ist bewusst, dass ohne das Bestehen eines wirksamen Auftragsverarbeitungsvertrags keine (weitere) Auftragsverarbeitung durchgeführt werden darf. 4Eine isolierte ordentliche Kündigung dieses Vertrags ist ausgeschlossen.

 

§ 2 | Konkretisierung des Auftragsinhalts

 

(1) Art der Verarbeitung

1Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragsverarbeiter im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet. 2Im Wesentlichen handelt es sich um das Erheben, das Anpassen oder Verändern sowie das Auslesen.

 

(2) Zweck der Verarbeitung

1Die Daten werden zu folgendem Zweck verarbeitet: 2Biometrische Daten sind erforderlich, um das von der Person gezeigte Verhalten zu bestimmen und zu bewerten. 3Die Identifizierung der Person als solche (Identität) wird nicht gespeichert. 4Vielmehr extrahiert der Algorithmus Bilddaten (z. B. Gesicht, Arme usw.) und analysiert diese automatisiert. 5Das Ergebnis ist keine biometrische Information. 6Nur der Algorithmus verarbeitet sie. 7Der Auftragsverarbeiter speichert die verarbeiteten Daten ebenfalls nicht.

 

(3) Ort der Verarbeitung

1Die vertraglich vereinbarte Datenverarbeitung findet grundsätzlich und standardmäßig in einem Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. 2Der Auftragsverarbeiter priorisiert die Verarbeitung in der EU/im EWR für sämtliche Daten des KUNDEN, einschließlich der in § 5 beschriebenen KI-Unterauftragsverarbeitungsdienste.

3Ausnahmsweise dürfen, soweit dies zur Aufrechterhaltung der Verfügbarkeit, Kontinuität und Leistungsfähigkeit des Dienstes unbedingt erforderlich ist — insbesondere bei einem Kapazitätsengpass, einer Leistungsverschlechterung, einem Ausfall oder einem Disaster-Recovery-Ereignis, das die EU/EWR-Regionen der KI-Infrastruktur-Unterauftragsverarbeiter des Auftragsverarbeiters betrifft (derzeit Microsoft Azure OpenAI Service und Google Cloud Vertex AI) — begrenzte Kategorien personenbezogener Daten ausschließlich für die Dauer des Ereignisses vorübergehend in der globalen Infrastruktur dieser Anbieter verarbeitet werden, die auch Standorte außerhalb der EU/des EWR (einschließlich der Vereinigten Staaten) umfassen kann. 4Jede derartige vorübergehende Verarbeitung unterliegt den folgenden Garantien: (a) sie ist auf das beschränkt, was zur Bereitstellung der angeforderten Dienstfunktion erforderlich ist, und dauert nicht länger als das Kapazitäts- oder Verfügbarkeitsereignis es erfordert; (b) die Daten werden ohne Speicherung (Zero-Retention) verarbeitet, nicht über die Dauer der Interaktion hinaus gespeichert und vom betreffenden Anbieter nicht verwendet, um ein Modell zu trainieren, neu zu trainieren oder anderweitig zu verbessern; und (c) die Übermittlung ist durch den in § 5 für den betreffenden Unterauftragsverarbeiter festgelegten geeigneten Übermittlungsmechanismus gemäß Kapitel V DSGVO abgedeckt.

5Eine Verlagerung der regulären (nicht vorübergehenden) Speicherung von Daten des KUNDEN in ein Drittland darf nur unter Einhaltung der Bestimmungen dieses Vertrags erfolgen, wenn der Auftragsverarbeiter den KUNDEN vorab über den Ort der Datenverarbeitung informiert und die besonderen Anforderungen der Art. 44 ff. DSGVO erfüllt sind.

 

(4) Art der Daten

Folgende Arten/Kategorien personenbezogener Daten werden verarbeitet:

  • Kontakt-/Kommunikationsdaten (z. B. Telefon, E-Mail, sofern vom Bewerber oder Mitarbeiter aktiv angegeben; nicht verpflichtend).
  • Leistungsdaten (sofern vom Kunden bereitgestellt), falls zutreffend.
  • Biometrische Daten (Art. 4 Nr. 14 DSGVO).
  • Mitarbeiter
  • Einhaltung der genehmigten Verhaltensregeln gemäß Art. 40 DSGVO;
  • Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
  • aktuelle Zertifikate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); und/oder
  • geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach dem BSI-Grundschutz).

 

(5) Kategorien betroffener Personen

Zu den Kategorien betroffener Personen gehören:

 

§ 3 | Technische und organisatorische Maßnahmen

(1) 1Vor Beginn der Verarbeitung, insbesondere im Hinblick auf die Ausführung des konkreten Auftrags, dokumentiert der Auftragnehmer die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen, die vor der Auftragsvergabe festgelegt wurden, und legt diese dem Verantwortlichen zur Prüfung vor. 2Mit der Abnahme durch den Verantwortlichen werden die dokumentierten Maßnahmen zur Grundlage des Auftrags. 3Sind nach der Prüfung oder einer Kontrolle durch den Verantwortlichen Änderungen erforderlich, werden diese einvernehmlich umgesetzt.

(2) 1Der Auftragnehmer gewährleistet die Sicherheit gemäß Art. 28 Abs. 3 lit. c und e Hs. 1, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1 und 2 DSGVO. 2Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen zur Sicherung der Daten und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. 3Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 5].

(3) 1Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. 2Insoweit ist es dem Auftragnehmer gestattet, alternative angemessene Maßnahmen umzusetzen. 3Das Sicherheitsniveau der festgelegten Maßnahmen darf dabei nicht unterschritten werden. 4Wesentliche Änderungen sind zu dokumentieren.

 

§ 4 | Qualitätssicherung und sonstige Pflichten des Auftragnehmers

gemäß Art. 28 Abs. 3 S. 1 DSGVO:

Neben der Einhaltung der Regelungen dieses Auftrags hat der Auftragnehmer als Auftragsverarbeiter auch gesetzliche Pflichten; daher gewährleistet der Auftragnehmer die Einhaltung der folgenden Anforderungen:

(1) 1Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person zum Datenschutzbeauftragten, der die Aufgaben gemäß Art. 38 und 39 DSGVO wahrnimmt. 2Die Kontaktdaten des bestellten Datenschutzbeauftragten werden dem Verantwortlichen zur Herstellung eines direkten Kontakts mitgeteilt. 3Ist der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, wird eine Ansprechperson für Datenschutzangelegenheiten benannt, deren Kontaktdaten dem Verantwortlichen zur Herstellung eines direkten Kontakts mitgeteilt werden. 4Jeder Wechsel des Datenschutzbeauftragten oder der Ansprechperson ist dem Verantwortlichen unverzüglich mitzuteilen.

(2) Gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO stellt der Auftragnehmer sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor über die für sie maßgeblichen Datenschutzbestimmungen unterrichtet wurden.

(3) Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung (Art. 29, 32 Abs. 4 DSGVO) des Verantwortlichen verarbeiten, einschließlich der nach diesem Vertrag erteilten Befugnisse, es sei denn, sie sind gesetzlich dazu verpflichtet.

(4) Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO [Einzelheiten in Anlage 5].

(5) Der Verantwortliche und der Auftragnehmer (und gegebenenfalls ihre Vertreter) arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).

(6) 1Der Auftragnehmer verpflichtet sich, den Verantwortlichen unverzüglich über aufsichtsbehördliche Kontrollen und Maßnahmen zu informieren, soweit diese sich auf diesen Auftrag beziehen. 2Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Ordnungswidrigkeiten- oder Strafverfahrens hinsichtlich der Verarbeitung personenbezogener Daten beim Auftragnehmer ermittelt.

(7) Ist der Verantwortliche einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeiten- oder Strafverfahren, einem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Verarbeitung durch den Auftragnehmer ausgesetzt, unterstützt der Auftragnehmer den Verantwortlichen nach besten Kräften.

(8) Der Auftragnehmer überwacht regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die in seinem Verantwortungsbereich liegenden Daten im Einklang mit den Anforderungen des geltenden Datenschutzrechts verarbeitet und die Rechte der betroffenen Person geschützt werden.

(9) Der Auftragnehmer stellt sicher, dass er dem Verantwortlichen die vereinbarten technischen und organisatorischen Maßnahmen im Rahmen seiner Kontrollrechte gemäß § 6 dieses Vertrags nachweisen kann.

 

§ 5 | Unterbeauftragung gemäß Art. 28 Abs. 3 S. 2 lit. d DSGVO

in Verbindung mit Art. 28 Abs. 2 und 4 DSGVO:

1Unterbeauftragungsleistungen sind Leistungen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. 2Leistungen, die der Auftragnehmer als reine Nebenleistungen von Dritten in Anspruch nimmt, um seine Geschäftstätigkeit auszuüben, gelten nicht als Unterbeauftragung. 3Dazu zählen beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu den vom Auftragnehmer für den Verantwortlichen erbrachten Leistungen, Post- und Kurierdienste, Transportleistungen oder Sicherheitsdienste. 4Der Auftragnehmer ist auch bei zusätzlichen Leistungen Dritter verpflichtet sicherzustellen, dass angemessene Vorkehrungen sowie technische und organisatorische Maßnahmen vereinbart wurden, um den Schutz personenbezogener Daten zu gewährleisten. 5Die Wartung und Pflege von IT-Systemen oder Anwendungen gilt als genehmigungspflichtige Unterbeauftragung und Verarbeitung im Sinne von Art. 28 DSGVO, wenn sich die Wartung und Prüfung auf Systeme bezieht, die im Zusammenhang mit der Erbringung von Leistungen für den Verantwortlichen genutzt werden, und während der Wartung auf personenbezogene Daten zugegriffen werden kann, die im Auftrag des Verantwortlichen verarbeitet werden.

Im Einklang mit der Regelung des Art. 28 Abs. 2 S. 1 DSGVO setzt der Auftragnehmer keine weiteren Auftragsverarbeiter (Unterauftragnehmer, Unter-Unterauftragnehmer) ohne die vorherige gesonderte oder allgemeine schriftliche Zustimmung des Verantwortlichen ein; die Regelungen zur Unterbeauftragung gelten (entsprechend) sowohl für den Unterauftragnehmer als auch für alle weiteren eingesetzten (Unter-)Unterauftragnehmer.

 

§ 5.1 | Zugelassene Unterauftragsverarbeiter und die Unterauftragsverarbeiterliste

1Der Verantwortliche erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO, die zur Erbringung des Dienstes erforderlichen Unterauftragsverarbeiter einzusetzen. 2Die aktuelle, maßgebliche Liste der vom Auftragnehmer eingesetzten Unterauftragsverarbeiter — einschließlich des Namens jedes Unterauftragsverarbeiters, der Verarbeitungstätigkeit, der Datenkategorien, des Verarbeitungsorts und des anwendbaren Drittlandübermittlungsmechanismus — wird vom Auftragnehmer geführt und aktuell gehalten unter:

https://retorio.com/legal/subprocessors (die „Unterauftragsverarbeiterliste“).

3Die zum Datum des Inkrafttretens veröffentlichte Unterauftragsverarbeiterliste ist zu Referenzzwecken in der nachstehenden Tabelle wiedergegeben. 4Im Falle von Abweichungen zwischen der nachstehenden Tabelle und der Online-Unterauftragsverarbeiterliste ist die Online-Unterauftragsverarbeiterliste, wie sie dem Verantwortlichen gemäß § 5.2 mitgeteilt wird, für den jeweils aktuellen Bestand der zugelassenen Unterauftragsverarbeiter maßgeblich. 5Dies entspricht der gängigen Praxis unter Enterprise-SaaS-Anbietern und soll diesen AVV stabil halten und es zugleich ermöglichen, die zugrunde liegende Anbieterliste aktuell zu halten, ohne den Vertrag neu abzuschließen.

Unterauftragsverarbeiterliste — zum Datum des Inkrafttretens

Unterauftragsverarbeiter

Beschreibung

Zweck

Betroffene Personen

Standort & Übermittlungsmechanismus

Intercom

Kommunikationsschnittstelle / Chatbot für Supportanfragen.

Kundenservice

Nutzer & KUNDE

55 2nd Street, 4th Floor, San Francisco, CA 94105, USA. Standardvertragsklauseln (SCCs) vorhanden (intercom.com/legal/data-processing-agreement). EU-Migration geplant.

Google (Google Ireland Ltd.)

Cloud-Hosting der Anwendung; flexible Skalierung und weltweite Verfügbarkeit.

Datenspeicherung & -verwaltung

KUNDE & Nutzer

Google Ireland Ltd., Gordon House, Barrow Street, D04 E5W5, Dublin, Irland (EU-Region).

MongoDB

Cloud-gehostete Datenbanken für schnellere Datenverarbeitung und schnelleren Zugriff.

Managed Database-as-a-Service

KUNDE & Nutzer

MongoDB Inc., Building Two, Number One Ballsbridge, Dublin 4, Irland (EU-Region).

Google & Microsoft

Modernste Sprachmodelle für zahlreiche Sprachen.

Speech-to-Text

Nutzer

Google Ireland Ltd., Dublin; Microsoft Ireland, One Microsoft Place, Dublin D18 P521, Irland (EU-Regionen).

Microsoft

Fasst gesprochene Inhalte zusammen und ordnet sie für das Feedback Antwortkategorien zu.

Textanalyse

KUNDE & Nutzer

Microsoft Ireland, One Microsoft Place, Dublin D18 P521, Irland (EU-Region).

Microsoft Corporation (US)

KI-Infrastruktur (Azure OpenAI Service). Nur vorübergehende Failover-Verarbeitung, wenn EU/EWR-Regionen nicht verfügbar oder ausgelastet sind (siehe § 2 Abs. 3, § 5.4).

Speech-to-Text / Textanalyse (Failover)

Nutzer / KUNDE

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA. Übermittlungsmechanismus: EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914), Modul Auftragsverarbeiter-zu-Auftragsverarbeiter, gemäß dem Microsoft Products and Services DPA. Die Microsoft EU Data Boundary gilt standardmäßig.

Google LLC (US)

KI-Infrastruktur (Google Cloud Vertex AI). Nur vorübergehende Failover-Verarbeitung, wenn EU/EWR-Regionen nicht verfügbar oder ausgelastet sind (siehe § 2 Abs. 3, § 5.4).

Speech-to-Text / Textanalyse (Failover)

Nutzer / KUNDE

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Übermittlungsmechanismus: EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) und/oder EU–U.S. Data Privacy Framework, gemäß dem Google Cloud Data Processing Addendum (CDPA).

Sendgrid (Twilio)

Automatisierte E-Mails (Registrierung, Einladungen, Passwort-Zurücksetzung / Double-Opt-in).

E-Mail-Registrierung / Passwort

Nutzer & KUNDE

1801 California Street, Suite 500, Boulder, CO 80202, USA. AVV mit Twilio einschließlich Standardvertragsklauseln (SCCs). EU-Migration geplant.

Sentry

Erfasst Systemausfälle und Ausnahmefehler.

Fehlererkennung & Fehlerbehebung

Nutzer & KUNDE

132 Hawthorne St, San Francisco, USA. AVV vorhanden, der Standardvertragsklauseln (SCCs) abdeckt (sentry.io/legal/dpa). EU-Migration geplant.

Hotjar

Einblick in Software-Hindernisse zur Verbesserung des Nutzungserlebnisses.

Nutzungserlebnis & Verhalten

Nutzer & Kunden

Hotjar Ltd, Dragonara Business Centre, St Julian's STJ 3141, Malta (EU).

Anam

Bereitstellung virtueller Avatare.

Virtuelle Avatare

Nutzer & Kunden

ANAM.AI LTD (Nr. 15214363), Fora, White Collar Factory, Old Street Yard, London EC1Y 8AF, UK. UK-Angemessenheitsbeschluss anwendbar.

Xirsys

Persistente Verbindung zur Ermöglichung dynamischer Gespräche.

Latenz dynamischer Gespräche

Nutzer & Kunden

25350 Magic Mountain Parkway, Suite 300, Santa Clarita, CA 91355, USA. Standardvertragsklauseln (SCCs) vorhanden.

Grafana Labs

Erkennt Fehler im laufenden Betrieb.

Kundenservice

Nutzer & Kunden

Grafana Labs, Potsdamer Platz 10, Haus 2, 10785 Berlin, Deutschland (EU).

 

 

§ 5.2 | Änderungen bei Unterauftragsverarbeitern (Mitteilung und Widerspruch)

1Der Auftragnehmer teilt dem Verantwortlichen jede beabsichtigte Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters mit, bevor dieser Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Verantwortlichen beginnt. 2Die Mitteilung erfolgt durch Aktualisierung der Online-Unterauftragsverarbeiterliste und durch Übersendung einer Mitteilung in Textform (einschließlich per E-Mail) an die vom Verantwortlichen hierfür benannte Kontaktstelle oder, mangels einer benannten Kontaktstelle, an die hinterlegte Verwaltungs- oder Rechnungskontaktstelle des Verantwortlichen. 3Der Verantwortliche kann Änderungen der Unterauftragsverarbeiterliste abonnieren, um derartige Mitteilungen automatisch zu erhalten.

4Der Verantwortliche ist berechtigt, dem Einsatz eines neuen oder ersetzenden Unterauftragsverarbeiters in schriftlicher oder Textform aus wichtigem, datenschutzbezogenem Grund zu widersprechen, der gegenüber dem Auftragnehmer zu begründen ist. 5Erhebt der Verantwortliche nicht innerhalb von vierzehn (14) Tagen nach Erhalt der Mitteilung Widerspruch, erlischt das Widerspruchsrecht des Verantwortlichen hinsichtlich dieser Änderung und die Änderung gilt als genehmigt. 6Widerspricht der Verantwortliche aus wichtigem Grund, arbeiten die Parteien nach Treu und Glauben zusammen, um eine wirtschaftlich angemessene Lösung zu finden, die dem Anliegen des Verantwortlichen Rechnung trägt. 7Kann innerhalb einer angemessenen Frist keine solche Lösung gefunden werden, kann jede Partei den betroffenen Teil des Dienstes kündigen, und der Verantwortliche kann den Hauptvertrag in Bezug auf die Leistungen kündigen, die ohne den betreffenden Unterauftragsverarbeiter nicht erbracht werden können; der Auftragnehmer kann in diesem Fall den betroffenen Teil des Dienstes zu dem Zeitpunkt kündigen, zu dem der Unterauftragsverarbeiter eingesetzt werden sollte. 8Verweigert der Verantwortliche die Zustimmung durch seinen Widerspruch aus anderen als datenschutzbezogenen wichtigen Gründen, kann der Auftragnehmer diesen Vertrag sowie gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des Unterauftragsverarbeiters kündigen.

 

§ 5.3 | Weitergabe von Pflichten und weitergehende Unterauftragsverarbeitung

1Die personenbezogenen Daten des Verantwortlichen dürfen erst dann an den Unterauftragsverarbeiter übermittelt und dieser Unterauftragsverarbeiter erstmals eingesetzt werden, wenn alle Voraussetzungen für die Unterbeauftragung erfüllt sind. 2Insbesondere ist der Auftragnehmer dafür verantwortlich, dem weiteren Auftragsverarbeiter seine datenschutzrechtlichen Pflichten aus diesem Vertrag gemäß Art. 28 Abs. 4 S. 1 DSGVO aufzuerlegen. 3Der Auftragnehmer genehmigt hiermit allgemein die weitergehende Unterauftragsverarbeitung, wie sie in der Unterauftragsverarbeiterliste abgebildet ist; jede weitere Auslagerung durch einen Unterauftragsverarbeiter an einen Unter-Unterauftragsverarbeiter, die nicht in der Unterauftragsverarbeiterliste abgebildet ist, erfordert eine Mitteilung gemäß § 5.2, für die dasselbe Widerspruchsrecht gilt.

 

§ 5.4 | Drittlandverarbeitung, EU-Priorisierung und vorübergehendes Failover

1Erbringt ein Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, ergreift der Auftragnehmer geeignete Maßnahmen, um die datenschutzrechtliche Zulässigkeit gemäß Art. 44 ff. DSGVO sicherzustellen, insbesondere durch Anwendung des für diesen Unterauftragsverarbeiter in der Unterauftragsverarbeiterliste festgelegten Übermittlungsmechanismus.

2Der Auftragsverarbeiter priorisiert die Verarbeitung in der EU/im EWR. 3Für die über Microsoft Azure OpenAI Service und Google Cloud Vertex AI bereitgestellten KI-Infrastrukturdienste werden standardmäßig die EU/EWR-Regionen dieser Anbieter genutzt. 4In den in § 2 Abs. 3 beschriebenen begrenzten Failover-Fällen — namentlich einem Kapazitätsengpass, einer Leistungsverschlechterung, einem Ausfall oder einem Disaster-Recovery-Ereignis, das diese EU/EWR-Regionen betrifft — behält sich der Auftragnehmer das Recht vor, die betroffene Verarbeitung vorübergehend und befristet ausschließlich für die Dauer des Ereignisses an die globale Infrastruktur des betreffenden Anbieters, die auch die Vereinigten Staaten umfassen kann, weiterzuleiten, und zwar unter dem für Microsoft Corporation (US) und Google LLC (US) in der Unterauftragsverarbeiterliste festgelegten Übermittlungsmechanismus. 5Eine solche Failover-Verarbeitung erfolgt ohne Speicherung (Zero-Retention): Die Daten werden vorübergehend verarbeitet, um die angeforderte Dienstfunktion bereitzustellen, werden nicht über die Interaktion hinaus gespeichert und nicht verwendet, um ein Modell zu trainieren, neu zu trainieren oder zu verbessern. 6Dieser § 5.4 steht im Einklang mit der in den SaaS-Nutzungsbedingungen (Anlage 2, § 7) beschriebenen KI-Verarbeitung und geht nicht darüber hinaus.

 

§ 6 | Kontrollrechte des Verantwortlichen

gemäß Art. 28 Abs. 3 S. 2 lit. h DSGVO:

1In Abstimmung mit dem Auftragnehmer hat der Verantwortliche das Recht, Kontrollen durchzuführen oder durch jeweils zu benennende Prüfer durchführen zu lassen; diese Prüfer dürfen keine Wettbewerber des Auftragnehmers sein. 2Der Verantwortliche hat das Recht, sich durch Stichprobenkontrollen davon zu überzeugen, dass der Auftragnehmer die Bestimmungen dieses Vertrags in seinem Geschäftsbetrieb einhält; solche Kontrollen sind dem Auftragnehmer rechtzeitig anzukündigen.

1Der Auftragnehmer stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragnehmers gemäß Art. 28 DSGVO überzeugen kann. 2Der Auftragnehmer verpflichtet sich, dem Verantwortlichen auf Anfrage die erforderlichen Informationen zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Solche Maßnahmen, die sich nicht ausschließlich auf den konkreten Auftrag beziehen, können nachgewiesen werden durch:

 

§ 7 | Unterstützungs- und Mitteilungspflichten des Auftragnehmers

gemäß Art. 28 Abs. 3 S. 2 lit. e und f DSGVO – Pflicht zur Meldung von Datenschutzverletzungen:

1Der Verantwortliche ist für die Wahrung der Rechte der betroffenen Person verantwortlich. 2Unter Berücksichtigung der Art der Verarbeitung ist der Auftragnehmer verpflichtet, den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person zu unterstützen; dies bedeutet die Beantwortung von Anträgen betroffener Personen im Hinblick auf die Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen, ihr Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie die damit verbundenen Mitteilungspflichten des Verantwortlichen, das Widerspruchsrecht oder das Recht hinsichtlich einer automatisierten Entscheidungsfindung einschließlich Profiling, sofern die betroffene Person solche Rechte geltend macht. 3Wendet sich die betroffene Person zur Geltendmachung eines Rechts unmittelbar an den Auftragnehmer, leitet der Auftragnehmer die Anliegen der betroffenen Person unverzüglich an den Verantwortlichen weiter.

1Der Auftragnehmer unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen; dies bedeutet die Erfüllung der gesetzlichen Pflichten des Verantwortlichen zur Sicherung der Daten, zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörden und die betroffenen Personen, zur Durchführung von Datenschutz-Folgenabschätzungen sowie zur vorherigen Konsultation der zuständigen Aufsichtsbehörde, falls dies im Rahmen der Datenschutz-Folgenabschätzung erforderlich ist. 2Der Auftragnehmer und der Verantwortliche arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

§ 8 | Weisungsbefugnis des Verantwortlichen

1Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen der getroffenen Vereinbarungen und auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist hierzu nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragnehmer unterliegt, verpflichtet (Art. 28 Abs. 3 S. 3 lit. a DSGVO, Art. 29 DSGVO). 2In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen die rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

1Der Auftragnehmer stellt sicher, dass die Daten gemäß den Weisungen des Verantwortlichen verarbeitet werden. 2Ist der Auftragnehmer der Auffassung, dass eine Weisung des Verantwortlichen gegen diesen Vertrag oder geltendes Datenschutzrecht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit; nach Unterrichtung des Verantwortlichen ist der Auftragnehmer berechtigt, die Ausführung der Weisung auszusetzen, bis die Weisung vom Verantwortlichen bestätigt oder geändert wurde. 3Die Parteien sind sich einig, dass der Verantwortliche allein für die gemäß der Weisung durchgeführte Verarbeitung verantwortlich ist.

1Die Weisungen des Verantwortlichen ergehen in schriftlicher oder Textform. 2Soweit erforderlich, kann der Verantwortliche Weisungen mündlich (telefonisch) erteilen. 3Mündlich oder telefonisch erteilte Weisungen bestätigt der Verantwortliche unverzüglich in schriftlicher oder Textform.

 

§ 9 | Löschung und Rückgabe personenbezogener Daten

gemäß Art. 28 Abs. 3 S. 2 lit. g DSGVO:

1Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. 2Hiervon ausgenommen sind Sicherungskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

1Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher auf Verlangen des Verantwortlichen, spätestens jedoch mit Beendigung des Dienstleistungsvertrags, gibt der Auftragnehmer dem Verantwortlichen alle in seinem Besitz befindlichen Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie auftragsbezogenen Datenbestände zurück oder vernichtet diese nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht. 2Dasselbe gilt für Test- und Ausschussmaterial. 3Der Nachweis der Löschung ist auf Anfrage vorzulegen.

1Unterlagen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung gemäß dem Auftrag dienen, werden vom Auftragnehmer über das Vertragsende hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufbewahrt. 2Sie können dem Verantwortlichen bei Vertragsende ausgehändigt werden.

 

§ 10 | Sonstige Bestimmungen

(1) 1Beide Parteien sind verpflichtet, alle während des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der anderen Partei vertraulich zu behandeln, auch über die Beendigung des Vertrags hinaus. 2Bestehen Zweifel, ob eine Information der Vertraulichkeit unterliegt, ist sie als vertraulich zu behandeln, bis sie von der anderen Partei schriftlich freigegeben wurde.

(2) Ist das Eigentum des Verantwortlichen beim Auftragnehmer durch Maßnahmen Dritter (etwa Pfändung oder Beschlagnahme), durch Insolvenz- oder ähnliche Verfahren oder durch sonstige Ereignisse gefährdet, unterrichtet der Auftragnehmer den Verantwortlichen unverzüglich.

(3) 1Für Nebenabreden ist die Schriftform erforderlich. 2Dies gilt gleichermaßen für den Verzicht auf dieses Schriftformerfordernis.

(4) Die Geltendmachung eines Zurückbehaltungsrechts ist, unabhängig vom Rechtsgrund, hinsichtlich der im Auftrag des Verantwortlichen verarbeiteten Daten und des verwendeten Datenträgers ausgeschlossen.

(5) Dieser Vertrag gilt auch, soweit Behörden oder Gerichte eine gemeinsame Verantwortlichkeit zwischen den Parteien gemäß Art. 26 DSGVO annehmen.

(6) 1Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam oder undurchführbar sein oder infolge von Gesetzesänderungen nach Vertragsschluss unwirksam oder undurchführbar werden, so berührt dies die übrigen Bestimmungen des Vertrags oder die Wirksamkeit des Vertrags insgesamt nicht. 2Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame und durchführbare Bestimmung zu ersetzen, die dem Sinn und Zweck der unwirksamen Bestimmung möglichst nahekommt. 3Enthält der Vertrag Lücken, gelten die Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und vereinbart worden wären, wenn die Parteien die Lücke bedacht hätten.

(7) Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner kollisionsrechtlichen Bestimmungen.

(8) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Verantwortlichen.