Auftragsverarbeitungsvertrag
Vertrag über die Auftragsverarbeitung
personenbezogener Daten
| zwischen Idea Forge UG (Haftungsbeschränkt) i. Gr Hinter der Ahrend 2a 27580 Bremerhaven | und Dem jeweiligen registrierten Nutzer der Plattform (sofern dieser die Dienste zu gewerblichen, geschäftlichen oder beruflichen Zwecken nutzt), der den Hauptvertrag zur Nutzung der Software-as-a-Service-Leistungen abschließt |
|---|---|
| vertreten durch Joshua Fink-Mühlenbekc | |
| im Folgenden: Auftraggeber | im Folgenden: Auftragnehmer |
- Einleitung, Geltungsbereich, Definitionen
1.1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag im Sinne des Art. 28 der EU-Datenschutzgrundverordnung (im Folgenden „DSGVO“)
1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, seine Mitarbeiter oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
- Gegenstand und Dauer der Verarbeitung
2.1. Der Auftragnehmer übernimmt folgende Verarbeitungen:
Die Erhebung/Erfassung, Speicherung, Verwendung etc. von Personenstammdaten (Name, Anschrift), Kontaktdaten (E-Mail-Adresse, Telefonnummer), Vertrags- und Abrechnungsdaten sowie gesellschaftsrechtliche Informationen (z. B. Gesellschaftsanteile, Stimmrechte, VSOP-Zuteilungen). von Gründer, Gesellschafter, Investoren, Mitarbeiter und Geschäftspartner des Auftraggebers zum Zwecke der Bereitstellung der Software-as-a-Service-Plattform zur Strukturierung von Unternehmensgründungen, Verwaltung von Cap Tables, Abwicklung von Mitarbeiterbeteiligungen (VSOP) und Durchführung digitaler Gesellschafterbeschlüsse.
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag XYZ Allgemeine Geschäftsbedingungen für Software-as-a-Service vom Zeitpunkt der elektronischen Zustimmung bei Registrierung (im Folgenden „Hauptvertrag“).
2.2. Die Verarbeitung beginnt am Zeitpunkt der Registrierung und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.
- Art und Zweck der Datenverarbeitung
3.1. Der Auftraggeber ist Nutzer der Gründerplattform Idea Forge . Der Auftragnehmer ist Betreiber dieser Plattform .
3.2. Die Verarbeitung erfolgt in der Art der Erfassung, Organisation, Speicherung, Anpassung, Veränderung, des Auslesens, der Abfrage sowie der Löschung von Daten auf den Server- und Datenbanksystemen des Auftragnehmers.
Gegenstand der Verarbeitung sind die unter Ziffer 2.1 genannten personenbezogenen Daten (insbesondere Personenstammdaten, Kontaktdaten und gesellschaftsrechtliche Informationen) der dort benannten Betroffenen (Gründer, Gesellschafter, Investoren, Mitarbeiter).
Diese Daten werden nicht vom Auftragnehmer originär erhoben, sondern durch den Auftraggeber eigenständig in die elektronischen Eingabemasken der Software-as-a-Service-Plattform eingegeben, dort verwaltet oder in Form von Dokumenten auf die Infrastruktur des Auftragnehmers übermittelt.
3.3. Die Verarbeitung dient dem Zweck der Bereitstellung einer digitalen Infrastruktur zur Strukturierung und Verwaltung von Unternehmensgründungen, der digitalen Cap-Table-Führung sowie der Administration von Beteiligungsprogrammen (z. B. VSOP) und Gesellschafterbeschlüssen für den Auftraggeber.
Die Verarbeitung erfolgt aufgrund dessen Interesses an der Digitalisierung und Vereinfachung gesellschaftsrechtlicher Verwaltungsprozesse, der Vermeidung von Fehlern durch eine zentrale Datenorganisation (Single Source of Truth) sowie der massiven Entschlackung und
3.4. Es werden folgende Kategorien personenbezogener Daten verarbeitet:
-
Allgemeine Personendaten (Name, Geburtsdatum, Familienstand, Staatsangehörigkeit)
-
Kommunikationsdaten (Anschrift, E-Mail-Adresse, Telefonnummer)
-
Gesellschaftsrechtliche Daten (z. B. Beteiligungsquoten, Stammeinlagen, Stimmrechte, VSOP-Zuteilungen)
-
Vertrags- und Nachweisdaten (z. B. Ausweisdaten für Notartermine, digitale Signaturdaten und Zeitstempel von Beschlüssen)
-
Zahlungs- und Bankdaten (z. B. Kontoverbindungen für die Einzahlung des Stammkapitals)
-
Technische Daten (IP-Adresse, Logfiles)
3.5. Von der Verarbeitung betroffen sind:
-
Gründer, Mitgründer und Geschäftsführer des Auftraggebers
-
(Zukünftige) Gesellschafter und Investoren
-
Mitarbeiter und Berater (insbesondere im Rahmen von virtuellen Beteiligungsprogrammen / VSOP)
-
Ggf. externe Dritte, die zur Vertragsabwicklung eingebunden werden (z. B. Notare, Rechtsanwälte, Treuhänder)
- Pflichten des Auftragnehmers
4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
4.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
4.3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
4.4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
4.5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
4.6. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
4.7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
4.8. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
4.9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
4.10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der DSGVO enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
- Technische und organisatorische Maßnahmen
5.1. Die in Anlage 1 beschriebenen Datensicherheitsmaßnahmen (technische und organisatorische Maßnahmen) werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
5.2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
5.3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
5.4. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
5.5. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
5.6. Die Verarbeitung von Daten im Auftrag in Privatwohnungen (Home-Office) ist gestattet, sofern sichergestellt ist, dass die Datensicherheit durch angemessene technische und organisatorische Maßnahmen (z. B. verschlüsselte Festplatten, Zwei-Faktor-Authentifizierung, sichere Netzwerkverbindungen) stets gewährleistet bleibt. .
5.7. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
5.8. Der Auftraggeber ist berechtigt, die Erfüllung der Pflichten durch den Auftragnehmer zu überprüfen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Nachweisführung erforderlichen Auskünfte zu erteilen. Vor-Ort-Kontrollen in den Geschäftsräumen des Auftragnehmers durch den Auftraggeber (oder einen beauftragten Dritten) sind nur nach rechtzeitiger vorheriger Ankündigung (mindestens 14 Tage) und zu den üblichen Geschäftszeiten gestattet, sofern Auskünfte und das Bereitstellen von Zertifikaten nicht zur Überprüfung ausreichen. Die Kontrollen dürfen den Betriebsablauf des Auftragnehmers nicht unverhältnismäßig stören.
- Regelungen zur Berichtigung, Löschung und Sperrung von Daten
6.1.Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
6.2 Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
- Unterauftragsverhältnisse
7.1. Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Subunternehmer (Unterauftragsverarbeiter) hinzuzuziehen oder bestehende zu ersetzen. Der Auftragnehmer wird den Auftraggeber rechtzeitig (z.B. per E-Mail oder über die Plattform) vor der Hinzuziehung oder dem Ersatz eines Subunternehmers informieren, sodass der Auftraggeber die Möglichkeit hat, der Änderung aus wichtigem datenschutzrechtlichen Grund zu widersprechen.
7.2. Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.
7.3. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
7.4. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.
7.5. Eine weitere Subbeauftragung durch den Subunternehmer ist zulässig, sofern der Subunternehmer seinem weiteren Unterauftragnehmer vertraglich mindestens dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag festgelegt sind.
7.6. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
7.7. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation auf Verlangen des Auftraggebers vorzulegen.
7.8. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Ziffer 4.10. dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
7.9. Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber auf Verlangen vorzulegen.
7.10. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
7.11. Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.
7.12. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
- Rechte und Pflichten des Auftraggebers
8.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
8.2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
8.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
8.4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen, insbesondere die vollständige Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen im Sinne der Ziffer 5 sowie ihre Wirksamkeit, beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen, wobei für Vor-Ort-Kontrollen die Einschränkungen gemäß Ziffer 5.8 dieses Vertrages gelten. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
8.5. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.
- Mitteilungspflichten
9.1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat ohne unbillige Verzögerung, in der Regel spätestens innerhalb von 48 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
-
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
-
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
-
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
-
eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
9.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
9.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
9.4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.
- Weisungen
10.1. Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
10.2. Die Weisungen des Auftraggebers werden in der Regel durch die Nutzung und Interaktion mit der Software-as-a-Service-Plattform (z. B. durch Eingabe, Änderung oder Löschung von Daten im Frontend) auf elektronischem Weg erteilt.
10.3. Weisungsbefugt sind grundsätzlich alle Nutzer, die vom Auftraggeber mit entsprechenden Zugangsrechten (Admin-Rechten) für den jeweiligen Account auf der Plattform ausgestattet wurden.
10.4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
10.5. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
- Beendigung des Auftrags
11.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu löschen oder an den Auftraggeber zu übergeben (z. B. als Datenexport). Ebenfalls zu löschen sind sämtliche vorhandene Kopien der Daten, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. Da die Verarbeitung ausschließlich digital in Cloud-Systemen erfolgt, entfällt eine physische Vernichtung von Datenträgern. Die digitale Löschung erfolgt nach gängigen Branchenstandards, sodass eine Wiederherstellung nicht mehr möglich ist.
11.2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
11.3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Löschung zu führen und dem Auftraggeber auf Verlangen vorzulegen. Ein systemseitig generiertes Löschprotokoll oder eine Bestätigung per E-Mail ist hierfür ausreichend.
11.4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.
- Vergütung
Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.
- Haftung
13.1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
13.2. Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
13.3. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen. Ergänzend gelten die Haftungsbeschränkungen des Hauptvertrages (AGB).
13.4. Die Ziffern 13.2. und 13.3 gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.
- Sonderkündigungsrecht
14.1. Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
14.2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
14.3. Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.
- Sonstiges
15.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
15.2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
15.3. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform (z. B. E-Mail). Dies gilt auch für den Verzicht auf dieses Formerfordernis.
15.4. Die Einrede des Zurückbehaltungsrechts im Sinne des § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
15.5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Anlage 1
Technische und organisatorische Maßnahmen
Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugangskontrolle (Schutz gegen unbefugte Systemnutzung): * Einsatz von starken Passwortrichtlinien für alle administrativen Zugänge.
- Zwingende Nutzung von Zwei-Faktor-Authentifizierung (2FA / MFA) für alle internen Administrations- und Datenbank-Zugriffe durch Mitarbeiter des Auftragnehmers.
- Verschlüsselte Übertragung von Anmeldedaten.
- Zugriffskontrolle (Kein unbefugtes Lesen, Kopieren oder Verändern):
- Strikte logische Mandantentrennung auf Datenbankebene (z. B. durch Row-Level Security / RLS), sodass Nutzer systemisch nur auf die Daten der eigenen Organisation zugreifen können.
- Berechtigungskonzept, das den internen Zugriff auf Produktionsdaten auf das absolut notwendige Minimum (z. B. zu Supportzwecken) beschränkt.
- Trennungskontrolle (Getrennte Verarbeitung von Daten):
- Daten, die für unterschiedliche Zwecke oder verschiedene Auftraggeber erhoben werden, werden logisch strikt getrennt in der Datenbank verwaltet.
- Trennung von Entwicklungs-, Test- und Live-Umgebungen.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle (Schutz bei Transport und Übertragung):
- Sämtliche Datenübertragungen zwischen dem Browser des Nutzers, der Anwendung und den Datenbanksystemen erfolgen ausnahmslos über verschlüsselte Transportwege (HTTPS / TLS nach aktuellem Stand der Technik).
- Eingabekontrolle (Nachvollziehbarkeit von Änderungen):
- Protokollierung von systemkritischen Ereignissen, Datenbankänderungen und administrativen Zugriffen zur nachträglichen Überprüfung.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Verfügbarkeitskontrolle (Schutz gegen zufällige Zerstörung oder Verlust):
- Einsatz von automatisierten, regelmäßigen Datenbank-Backups (Snapshots).
- Nutzung von geo-redundanten Cloud-Infrastrukturen innerhalb der Europäischen Union, um Ausfälle einzelner Server abzufangen.
- Einsatz von Content Delivery Networks (CDN) und Web Application Firewalls (WAF) zum Schutz vor DDoS-Angriffen und böswilliger Verkehrsüberlastung.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Sicherstellung der Datensicherheit durch die sorgfältige Auswahl von Cloud-Infrastruktur-Anbietern, die ihrerseits über anerkannte Sicherheitszertifizierungen (mindestens ISO 27001 und/oder SOC 2 Type II) verfügen.
- Regelmäßige Überprüfung des Quellcodes und der Datenbankkonfigurationen auf Sicherheitslücken.
Anlage 2
Zugelassene Subdienstleister
Der Auftraggeber genehmigt der Einsatz der folgenden Subdienstleister durch den Auftragnehmer:
1. Supabase, Inc.
- Anschrift: 970 Summer St, Stamford, CT 06905, USA
- Leistung: Bereitstellung der Cloud-Datenbank, Authentifizierungsdienste und Datei-Speicherung (Hosting-Standort: EU / Frankfurt am Main).
2. Vercel Inc.
- Anschrift: 340 S Lemon Ave #4133, Walnut, CA 91789, USA
- Leistung: Cloud-Hosting der Frontend-Anwendung und Bereitstellung der Serverless-API-Infrastruktur.
3. Upstash, Inc.
- Anschrift: 1900 Camden Ave, San Jose, CA 95124, USA
- Leistung: Bereitstellung von Serverless-Datenbank-Caching und automatisiertem Traffic-Management (Cron-Jobs).
4. Cloudflare, Inc.
- Anschrift: 101 Townsend St, San Francisco, CA 94107, USA
- Leistung: Content Delivery Network (CDN), DNS-Verwaltung, SSL-Verschlüsselung und IT-Sicherheitsdienste (WAF).
5. Google Ireland Limited (für Gemini AI)
- Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
- Leistung: Bereitstellung von KI-Modellen (API) zur Textgenerierung und automatisierten Datenverarbeitung.
6. PostHog, Inc.
- Anschrift: 2261 Market Street #4008, San Francisco, CA 94114, USA
- Leistung: Produkt- und Web-Analytics, Tracking von Nutzerinteraktionen und Fehlerauswertungen zur Plattformoptimierung (Hosting-Standort nach Möglichkeit: EU Cloud).
7. Sendinblue SAS (Brevo)
- Anschrift: 106 boulevard Richard Lenoir, 75011 Paris, Frankreich
- Leistung: E-Mail-Versanddienstleister für den Versand von System-Benachrichtigungen, Transaktions-Mails und Verifizierungs-Codes.
