Bedingungen zur Auftragsverarbeitung
Letzte Änderung am 06.08.2025.
1. Allgemeines
(a) Gegenstand dieser ergänzenden Bedingungen zur Auftragsverarbeitung ist die Regelung der datenschutzrechtlichen Rechte und Pflichten des Kunden (im Weiteren auch „Verantwortlicher“ genannt) und der DeutschlandGPT GmbH, Gabriele-Münter-Straße 3, 82110 Germering (im Folgenden „Auftragsverarbeiter“ genannt), die sich aus der zwischen den Parteien vereinbarten Leistungserbringung des Auftragnehmers (gemäß den Nutzungsbedingungen des Auftragnehmers und mitgeltender, die Leistungserbringung regelnder, Dokumente des Auftragnehmers) (im Weiteren: der „Hauptvertrag“) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die sich aus den im Hauptvertrag und seinen Bestandteilen im Einzelnen beschriebenen Leistungen ergeben, bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten im Sinne von Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) (im Weiteren auch: „Daten“) des Auftraggebers gemäß Art. 28 DSGVO verarbeiten („Auftragsverarbeitung“).
(b) Die Parteien vereinbaren zu diesem Zweck die Geltung der nachfolgend wiedergegebenen gemäß Art. 28 Absatz 7 DSGVO veröffentlichten Standardvertragsklauseln der EU als Grundlage für die Auftragsverarbeitung gemäß Art. 28 Abs. 3 und 4 (DSGVO), soweit im Rahmen der Vertragsverhältnisse personenbezogene Daten direkt oder indirekt verarbeitet werden. Diese Klauseln sind in Ziffer 2 mit der jeweils ausgewählten Option im Originaltext aufgeführt.
(c) Weitere Regelungen im Sinne von Klausel 2 Buchstabe b vereinbaren die Parteien in den Ziffern 3 und 4 dieser AV. Die Regelungen tragen insbesondere dem Umstand Rechnung, dass es sich bei der Leistung des Auftragsverarbeiters um ein standardisiertes AGB-Produkt handelt. Die Parteien sind sich einig, dass diese Regelungen nicht im Widerspruch zu den Klauseln stehen.
2. EU-Standardvertragsklauseln zur Auftragsverarbeitung
Abschnitt 1
Klausel 1: Zweck und Anwendungsbereich
(a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG DSGVO sichergestellt werden.
(b) Der Verantwortliche und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
(c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang I.
(d) Die Anhänge I und II sind Bestandteil der Klauseln.
(e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
(f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2: Unabänderbarkeit der Klauseln
Der Hauptteil dieses Vertrages darf gemäß dem Durchführungsbeschluss nicht verändert werden; die relevanten Inhalte sind in die Anhänge aufzunehmen.
(a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
(b) Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3: Auslegung
(a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4: Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5: Kopplungsklausel
(a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
(b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung.
(c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.
Abschnitt 2 – Pflichten der Parteien
Klausel 6: Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang I aufgeführt.
Klausel 7: Pflichten der Parteien
7.1 Weisungen
(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
(b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/ die in Anhang I genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4 Sicherheit der Verarbeitung
(a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
(b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/ oder zusätzlichen Garantien an.
7.6 Dokumentation und Einhaltung der Klauseln
(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
(b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
(c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/ oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
(d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
(e) Die Parteien stellen der/ den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7 Einsatz von Unterauftragsverarbeitern
(a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vierzehn (14) Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/ der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
(c) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
(d) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübermittlungen
(a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
(b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8: Unterstützung des Verantwortlichen
(a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
(b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
(c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
(1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
(2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
(3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
(4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
(d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9: Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
(a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
(b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
(1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswir kungen. Wenn und so weit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
(c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
(a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
(b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
(c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und so weit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschlie�ßend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
Abschnitt 3 – Schlussbestimmungen
Klausel 10: Verstöße gegen die Klauseln und Beendigung des Vertrags
(a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
(1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
(2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
(3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/ oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
(d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
3. Weitere Klauseln gemäß Klausel 2 b
3.1 Begriffliche Klarstellung
Soweit in den Klauseln die Begriffe „stellt sicher“ und „sicherstellen“ verwendet werden, stellen diese keine Zusicherung oder Garantie im Rechtssinne dar.
Soweit in den Klauseln die Begriffe „Schriftliche Form“, „schriftlich“ oder „unterzeichnet“ verwendet werden, ist Textform nach § 126b BGB bzw. ein elektronisches Format i.S.v. Art. 28 Abs. 9 DSGVO ausreichend.
3.2 Weisungen
Die Parteien sind sich einig, dass als Weisungen im Sinne der Klauseln 7.1 Buchst. a und 7.2 zunächst die Nutzungsbedingungen des Auftragsverarbeiters, sonstige mitgeltenden Dokumente sowie diese AV verstehen zu sind. Im Rahmen der produktspezifischen Parameter des jeweiligen Dienstes kann der Verantwortliche darüber hinaus Art und Umfang der Datenverarbeitung durch die Art der Nutzung des Dienstes und durch Auswahl etwaig ermöglichter zusätzlicher Anwendungen in den Einstellungen seines Nutzerkontos bestimmen. Weisungen des Verantwortlichen können im vereinbarten Rahmen der Dienste als Standardprodukt erfolgen.
3.3 Genehmigte Unterauftragsverarbeiter
Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter (Allgemeine Schriftliche Genehmigung gem. Klausel 7.7 Buchstabe a) findet sich in Anhang IV.
3.4 Ergänzung zu Klausel 7.7. Buchst. e
Die Parteien stimmen überein, dass die Vereinbarung einer Drittbegünstigtenklausel in tatsächlicher Hinsicht, insbesondere bei bestehenden Vertragsverhältnissen und Standardleistungen schwer oder nicht durchführbar ist und im Insolvenzfall gegen geltendes deutsches Insolvenzrecht verstößt (§ 103 InsO). Der Auftragsverarbeiter verpflichtet sich stattdessen, (a) den Verantwortlichen unverzüglich zu informieren, sollten Gegenstände, die Daten des Verantwortlichen enthalten, durch Maßnahmen Dritter (etwa Pfändungen oder Beschlagnahmungen) oder von Rechten Dritter (Sicherungsübereignung) betroffen sein. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DSGVO liegen sowie (b) den Verantwortlichen auf eine drohende Zahlungsunfähigkeit oder auf eine drohende Auflösung oder Löschung des Auftragsverarbeiters aufgrund eines Gesellschafterbeschlusses oder gesetzlicher Bestimmungen hinzuweisen und den Verantwortlichen auf Anforderung dabei zu unterstützen, die Rückgabe oder Löschung personenbezogener Daten des Verantwortlichen bei Unterauftragsverarbeitern zu erreichen.
3.5 Unterauftragsverarbeiter in Drittstaaten und Drittstaatentransfer
Ein angemessenes Datenschutzniveau wird gem. Art. 45 DSGVO hergestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO) oder durch nach Art. 46 DSGVO zugelassene geeignete Garantien, insbesondere Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO).
3.6 Ergänzung zu Klausel 10 d) und Art. 28 Abs. 3 Buchst. g DSGVO
Die Parteien sind sich einig, dass Klausel 10 Buchstabe d und Art. 28 Abs. 3 g) DSGVO so auszulegen sind, dass ein Wahlrecht auf Löschung oder Rückgabe nur besteht, wenn der vereinbarte Dienst beide Optionen ermöglicht.
4. Sonstiges
4.1 Vorrangregelung
Bei Widersprüchen zwischen den Bestimmungen dieser AV und Bestimmungen sonstiger Vereinbarungen, insbesondere der Nutzungsbedingungen und den mitgeltenden Dokumenten, sind die Bestimmungen dieser AV maßgebend für die Auftragsverarbeitung. Im Übrigen bleiben die Bestimmungen der Nutzungsbedingungen und den mitgeltenden Dokumenten unberührt und gelten für diese AV entsprechend.
4.2 Gerichtsstand
Für Streitigkeiten im Zusammenhang mit dieser AV ist Gerichtsstand, der in den Nutzungsbedingungen vereinbarte. Zwingende gesetzliche Gerichtsstände bleiben unberührt.
4.3 Klauselunwirksamkeit
Sollte eine Bestimmung dieser Nutzungsbedingungen unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
4.4 Änderungen der AV
Sämtliche Änderungen dieser AV sowie Nebenabreden hierzu bedürfen der Textform (einschließlich der elektronischen Form). Dies gilt auch für das Abbedingen dieses Formerfordernisses selbst. Klausel 2 bleibt unberührt. Beabsichtigt der Auftragsverarbeiter die vereinbarten Leistungen oder die Bedingungen der Auftragsverarbeitung zu ändern (z.B. auf Grund von Behördenentscheidungen, Änderungen in Lieferantenbeziehungen, Änderungen der Dienste, veränderten technologischen Standards und Rahmenbedingungen oder Gesetzesänderungen) gilt Ziff. 12.1 der Nutzungsbedingungen.
Anhang I
Parteien der Vereinbarung sind die Vertragspartner der AV.
Kontaktdaten des Datenschutzbeauftragten der Auftragsverarbeiters:
Richard Metz (Rechtsanwalt und externer Datenschutzbeauftragter)
LLP Data Protect GmbH
Würmtalstraße 20a, 81375 München (Postanschrift)
E-Mail: office@llp-data-protect.de
Tel: +49 89 55275500
Anhang II
Beschreibung der Verarbeitung für die DeutschlandGPT-Anwendung
Kategorien personenbezogener Daten, betroffener Personen sowie die Art, Zweck und Kategorien der personenbezogenen Daten die im Rahmen der Auftragsverarbeitung verarbeitet werden:
| Art der Daten | Art und Zweck der Datenverarbeitung | Kategorien betroffener Personen |
|---|---|---|
| Name | Identifizierung | Nutzer der DeutschlandGPT Anwendung |
| Profilbild (optional) | Identifizierung | Nutzer der DeutschlandGPT Anwendung, die dieses selbst hochgeladen haben |
| E-Mail-Adresse | Authentifizierung | Nutzer der DeutschlandGPT Anwendung |
| Telefonnummer (optional) | Authentifizierung | Nutzer der DeutschlandGPT Anwendung |
| Konversationsverläufe und sonstige Eingaben (z.B Kommunikationspräferenzen) | Speicherung und Verwaltung von Kommunikationsdaten | Nutzer der DeutschlandGPT Anwendung, die aktiv mit der KI interagieren |
| Dateien und sonstige Kontextinhalte (z.B. Daten aus Integrationen) | Speicherung, Verwaltung und Analyse von in der Anwendung hochgeladener Daten | Nutzer der DeutschlandGPT Anwendung, die der KI diese Inhalte zur Verfügung gestellt haben |
Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden:
| Art der Daten | Art und Zweck der Datenverarbeitung |
|---|---|
| Name | Einrichtung und Verwaltung des Nutzerkontos, Identifizierung des Nutzers in der Anwendung, Support-Kommunikation |
| Profilbild (optional) | Visuelle Identifikation und Personalisierung des Nutzerkontos |
| E-Mail-Adresse | Authentifizierung beim Login, Zustellung transaktionaler Nachrichten (z. B. Passwort-Reset), Support-Kommunikation |
| Telefonnummer (optional) | Alternative oder zusätzliche Authentifizierung beim Login, Support- und Kontaktmöglichkeit |
| Konversationsverläufe und sonstige Eingaben | Anzeige der Konversationsverläufe für den Nutzer, Abrechnungs- und Nachweiszwecke |
| Dateien und sonstige Kontextinhalte (z.B. Daten aus Integrationen) | Speicherung und Analyse hochgeladener Dateien zur Bereitstellung der vom Nutzer angeforderten Funktionen (z. B. Dokumenten- und Bildanalyse) |
Dauer der Verarbeitung:
| Art der Daten | Art und Zweck der Datenverarbeitung |
|---|---|
| Name, Profilbild, E-Mail-Adresse, Telefonnummer | Für die Dauer der Vertragsbeziehung bzw. bis zur aktiven Löschung durch den Nutzer |
| Konversationsverläufe und sonstige Eingaben | Vom Verantwortlichen konfigurierbar; standardmäßig bis zur aktiven Löschung durch den Nutzer |
| Dateien und sonstige Kontextinhalte (z.B. Daten aus Integrationen) |
Im Dialog bereitgestellte Dateien: Vom Verantwortlichen konfigurierbar; standardmäßig bis zur aktiven Löschung durch den Nutzer.
In Dokumentenordnern/ Spezialanwendungen bereitgestellte Dateien: Für die Dauer der Vertragsbeziehung bzw. bis zur aktiven Löschung durch den Nutzer |
Anhang III
Technische und organisatorische Maßnamen zur Gewährleistung der Sicherheit der Daten
Die nachstehend beschriebenen technischen und organisatorischen Maßnahmen beziehen sich sowohl auf die primäre Datenverarbeitung beim Auftragnehmer wie auch auf die sekundäre Datenverarbeitung z.B. in Rechenzentren und ähnlichen Verarbeitungsorten.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
(a) Zutrittskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Schließanlage für das Büro, Zutrittskontrollsystem mit elektronischen Türöffnern und Chipkarten.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Physische Sicherheitsmaßnahmen bei allen Hostinganbietern, einschließlich strenger Zugangskontrollen zu Rechenzentren.
(b) Zugangskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Strenge Passwort-Richtlinien, Zwei-Faktor-Authentifizierung, Clean Desk Policy.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Implementierung sicherer rollenbasierter Authentifizierungsmechanismen und Verschlüsselungstechnologien.
(c) Zugriffskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Zugriffsrechte nur für befugte Personen, Protokollierung von Zugriffen.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Zugangskontrollen stellen sicher, dass nur autorisierte Mitarbeiter Zugang zu den Daten haben.
(d) Trennungskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Logische Trennung der Daten zur Gewährleistung der getrennten Verarbeitung für unterschiedliche Kunden.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Logische Trennung der Daten zur Gewährleistung der getrennten Verarbeitung für unterschiedliche Kunden.
(e) Pseudonymisierung
Spezifische Maßnahmen primäre Datenverarbeitung: Anonymisierung von Nutzerdaten bei Analysen.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Unterstützung bei der Pseudonymisierung durch Verschlüsselung und andere Sicherheitsmechanismen.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
(a) Weitergabekontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Nutzung von verschlüsselten Kommunikationskanälen (z.B. SSL/TLS)
Spezifische Maßnahmen sekundäre Datenverarbeitung: Verschlüsselung der Datenübertragung und Nutzung sicherer Protokolle.
(b) Eingabekontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Protokollierung von Änderungen in Datenbanken
Spezifische Maßnahmen sekundäre Datenverarbeitung: Protokollierung von Zugriffen und Änderungen.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
(a) Verfügbarkeitskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Regelmäßige Backups, Einsatz einer unterbrechungsfreien Stromversorgung (USV), Virenschutzprogramme, Firewall, Incident Prozesse.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Redundante Systeme und Notfallwiederherstellungspläne.
(b) Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO):
Spezifische Maßnahmen primäre Datenverarbeitung: Disaster-Recovery-Pläne sowie regelmäßige Backups.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Sicherstellung der Datenwiederherstellung im Notfall und regelmäßige Tests der Wiederherstellungsprozesse.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
(a) Datenschutz-Management
Spezifische Maßnahmen primäre Datenverarbeitung: Regelmäßige Schulungen der Mitarbeiter, Implementierung von Datenschutz-Richtlinien.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Regelmäßige Überprüfung und Aktualisierung der Sicherheits- und Datenschutzmaßnahmen.
(b) Incident-Response-Management
Spezifische Maßnahmen primäre Datenverarbeitung: Einrichtung eines Notfallteams und Verteilung von Verantwortlichkeiten im Falle eines Notfalls, Meldewege und Eskalationsprozesse.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Verfahren zur Erkennung und Bewältigung von Datenschutzvorfällen.
(c) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Spezifische Maßnahmen primäre Datenverarbeitung: Implementierung von Privacy-by-Default-Prinzipien.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Standardmäßige Datenschutzeinstellungen für alle Dienste.
(d) Auftragskontrolle
Spezifische Maßnahmen primäre Datenverarbeitung: Vertragliche Vereinbarungen, regelmäßige Überprüfung der Einhaltung.
Spezifische Maßnahmen sekundäre Datenverarbeitung: Audits und Kontrollen zur Sicherstellung der Einhaltung der Datenschutzvereinbarungen.
Anhang IV
Unterauftragsverarbeiter
| Name | T-Systems International GmbH |
| Anschrift | Hahnstraße 43d, 60528 Frankfurt am Main, Deutschland |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen und Speicherung persistenter Daten. |
| Art der Verarbeitung | Speicherung, Verarbeitung und Analyse von Profilinformationen und -präferenzen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | Hetzner Online GmbH |
| Anschrift | Industriestr. 25, 91710 Gunzenhausen, Deutschland |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen und Speicherung persistenter Daten. |
| Art der Verarbeitung | Speicherung, Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | IONOS SE |
| Anschrift | Elgendorfer Straße 57, 56410 Montabaur, Deutschland |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen. |
| Art der Verarbeitung | Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | Microsoft Ireland Operations Limited |
| Anschrift | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen. |
| Art der Verarbeitung | Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | Amazon Web Services EMEA SARL |
| Anschrift | 38 Avenue John F. Kennedy, L-1855 Luxemburg, Luxemburg |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen. |
| Art der Verarbeitung | Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | Google Cloud EMEA Limited |
| Anschrift | 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen. |
| Art der Verarbeitung | Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
| Name | Mistral AI SAS |
| Anschrift | 15, rue des Halles, F-75001 Paris, France |
| Gegenstand der Verarbeitung | Betrieb von Sprach- und Embedding- und anderen KI-Modellen. |
| Art der Verarbeitung | Verarbeitung und Analyse von Profilinformationen, Konversationsverläufen und hochgeladenen Dokumenten und Tabellen zur Bereitstellung der Anwendung. |
| Dauer der Verarbeitung | Dauer der Vertragsbeziehung. |
