Auftragsverarbeitungsvertrag (AVV)

I. Gegenstand der Verarbeitung

Verarbeitungsgegenstand und Zwecke

Die Vertragsgegenständlichen Leistungen sind die folgenden:

Hinweis zu der Verwendung von Daten bei KI-Systemen

Der Auftragsverarbeiter sichert zu, dass alle im Rahmen dieses Vertragsverhältnisses verarbeiteten Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen für den Verantwortlichen genutzt werden. Insbesondere ist ausgeschlossen, dass die im Zusammenhang mit diesem Vertrag erhobenen, übermittelten oder generierten Daten – gleich in welcher Form – zur (Weiter‑)Entwicklung, Optimierung oder zum Training von KI‑gestützten Systemen oder Produkten außerhalb dieses konkreten Vertragsverhältnisses verwendet werden.

Eine Verwendung der Daten oder daraus abgeleiteter Erkenntnisse zur Verbesserung anderer Produkte, Dienstleistungen oder Modelle des Auftragsverarbeiters oder Dritter – einschließlich des Einsatzes zu Zwecken des Machine Learnings, Fine‑Tunings, Cross‑Domain-Learnings oder anderen Formen der Systemoptimierung – ist ausdrücklich ausgeschlossen.

Der Auftragsverarbeiter gewährleistet durch technische und organisatorische Maßnahmen, dass sämtliche Daten des Verantwortlichen isoliert verarbeitet werden und zu keinem Zeitpunkt in gemeinsame oder zentralisierte Trainingsdatenpools, Modellarchitekturen oder Datenbanken einfließen.

Diese Verpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.

Änderungen

Änderungen des Verarbeitungsgegenstandes sind gemeinsam zwischen Verantwortlicher und Auftragsverarbeiterarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

II. Verarbeitungsort

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung (schriftlich oder per E-Mail) des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln und ggf. zusätzliche Garantien, genehmigte Verhaltensregeln).

III. Dauer der Verarbeitung

Allgemein

Die Dauer dieses Vertrags entspricht der Laufzeit des jeweiligen Hauptvertrags.

Sonderregelung

Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet (einschließlich Backups).

Sonderkündigungsrecht

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert.

Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

IV. Art der Verarbeitung

Die Art der Verarbeitung kann sowohl eine als auch alle der folgenden Verarbeitungen umfassen:

• das Erheben und das Erfassen
• die Organisation und das Ordnen
• die Speicherung, die Anpassung oder Veränderung
• das Auslesen, Abfragen
• Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung
• den Abgleich oder Verknüpfung
• die Einschränkung, das Löschen oder die Vernichtung

V. Kategorien betroffener Personen

Es werden personenbezogene Daten der folgenden Kategorien der betroffenen Personen verarbeitet:

VI. Art der personenbezogenen Daten

Es werden die folgenden personenbezogenen Daten verarbeitet:

VII. Pflichten und Rechte des Verantwortlichen

Allgemein

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO, sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Verantwortliche verantwortlich.

Mitteilungspflichten

Der Verantwortliche hat die Pflicht den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn im Hinblick auf die Verarbeitung, bezüglich datenschutzrechtlicher Bestimmungen, Fehler, Störungen oder sonstige Unregelmäßigkeiten festgestellt werden.

VIII. Weisungsrecht des Verantwortlichen

Allgemein

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Verantwortliche entscheidet allein und ausschließlich über die Zwecke und Mittel der Verarbeitung der Auftragsdaten. Der Auftragsverarbeiter darf die Auftragsdaten nur nach dokumentierter Weisung des Verantwortlichen verarbeiten, es sei denn, der Auftragsverarbeiter ist gesetzlich zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre nach Ablauf des Kalenderjahres aufzubewahren.

Weisungsberechtigte und Weisungsempfänger

Die Weisungsberechtigten des Verantwortlichen und die Weisungsempfänger des Auftragsverarbeiters sind in einer separten Tabbelle aufgeführt.

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

Bestimmtheit und Form der Weisung

Weisungen sind bestimmt zu erteilen (Gebot der Weisungsklarheit). Weisungen können schriftlich, in Textform oder in Eilfällen auch mündlich erteilt werden.

Mündliche Weisungen muss der Verantwortliche unverzüglich schriftlich oder in Textform bestätigen.

Benachrichtigung bei Rechtswidrigkeit

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung sei rechtswidrig. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

Auftragsfremde Weisungen

Über die Ausführung von Weisungen des Verantwortlichen, die über die in dieser Vereinbarung geregelten Vertragsgegenstand hinausgehen, entscheidet der Auftragsverarbeiter. Der Auftragsverarbeiter kann in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

Regress

Sollte der Auftragsverarbeiter infolge der Umsetzung einer rechtswidrigen Weisung einem begründeten Haftungsanspruch ausgesetzt sein, kann er sich insoweit beim Verantwortlichen schadlos halten.

Verfahrensänderungen

Verfahrensänderungen sind gemeinsam zwischen Verantwortlichen und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

IX. Gewährleistung der Verpflichtung zur Vertraulichkeit

Daten- und Fernmeldegeheimnis
Jede bei dem Auftragsverarbeiter unterstellte Person, die Zugang zu Auftragsdaten hat, ist zur Vertraulichkeit verpflichtet, insbesondere gemäß den Bestimmungen der Art. 5 Abs. 1 f), Art. 28 Abs. 3 b), Art. 29 und Art. 32 Abs. 4 DSGVO sowie des § 3 TDDDG.

Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung dieser Vereinbarung fort.

Unterweisung
Der Auftragsverarbeiter stellt durch geeignete Maßnahmen, wie insbesondere regelmäßige Schulungen zum Datenschutz, sicher, dass die ihm unterstellten und zur Verarbeitung von Auftragsdaten befugten Personen mit den einschlägigen Bestimmungen zum Datengeheimnis und Fernmeldegeheimnis vertraut sind.

X. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die vereinbarten technischen und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragsverarbeiter zu dokumentieren sind, ist der Verantwortlicher unverzüglich in Kenntnis zu setzen.

Die Übersicht über die wesentlichen technischen und organisatorischen Maßnahmen werden separat geführt.

XI. Bedingungen für die Inanspruchnahme von weiteren Auftragsverarbeitern

Begriff des Unterauftragsverarbeiters
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter in Anspruch nimmt, sofern und soweit ein Zugriff auf vertragsgegenständliche personenbezogenen Daten ausgeschlossen ist. Ebenso wenig stellen grundsätzliche Telekommunikationsleistungen, Post- und Transportdienstleistungen eine Auftrags- bzw. Unterauftragsverarbeitung dar. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Sicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Voraussetzungen der Zulässigkeit der Beauftragung
Der Verantwortliche erteilt hiermit dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter ist verpflichtet den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter mit einer Ankündigungsfrist von einem (1) Monat zu informieren. Der Verantwortliche hat seinen Einspruch gegen die Änderung innerhalb eines (1) Monats nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung des Auftragsverarbeiters nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Verantwortlichen innerhalb von einem (1) Monat nach Zugang des Einspruchs kündigen.

Datenschutzniveau des Unterauftragsverarbeiters
Jeder Unterauftragsverarbeiter ist verpflichtet, sich vor Beginn der Verarbeitungstätigkeiten dazu zu verpflichten, dieselben Datenschutzverpflichtungen einzuhalten, wie in dieser Vereinbarung vereinbart, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Der Unterauftragsverarbeitungsvertrag muss zumindest das nach diesem Vertrag erforderliche Datenschutzniveau gewährleisten. Jeder Unterauftragsverarbeiter muss sich insbesondere dazu verpflichten, die vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DS-GVO einzuhalten und dem Auftragsverarbeiter eine Liste der umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung zu stellen, die dem Verantwortlichen auf Verlangen zur Verfügung gestellt wird. Die Maßnahmen des Unterauftragsverarbeiters können von dem zwischen Verantwortlichen und Auftragsverarbeiter Vereinbarten abweichen, dürfen jedoch nicht unter das Datenschutzniveau fallen, welches durch die Maßnahmen vom Auftragsverarbeiter gewährleistet wird. Weigert sich ein Unterauftragsverarbeiter, sich denselben datenschutzrechtlichen Pflichten zu unterwerfen, wie sie in dieser Vereinbarung niedergelegt sind, so bedarf der Einsatz dieses Unterauftragsverarbeiters der Zustimmung des Verantwortlichen, wobei diese Zustimmung nicht unbilligerweise verweigert werden darf. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters gemäß Art. 28. Abs. 4 DSGVO. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen der Verantwortlichen die Beschäftigung des Unterauftragsverarbeiters ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Unterauftragsverarbeiter zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

Datenschutzniveau des Unterauftragsverarbeiters
Für den Fall, dass ein Unterauftragsverarbeiter in keinem Drittstaat ansässig ist, welcher gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau bietet, wird der Auftragsverarbeiter diesem Umstand ausreichend Rechnung tragen. Der Auftragsverarbeiter wird mit diesem Unterauftragsverarbeiter entsprechende Standarddatenschutzklauseln für den Drittlandstransfer abschließen (DURCHFÜHRUNGS-BESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates). In diesem Zusammenhang ist den Auswirkungen des Urteils Schrems-II des EuGH Rechnung zu tragen und gegebenenfalls zusätzliche Garantien zur Sicherung der Daten durch den Auftragsverarbeiter vorzunehmen oder mit dem Unterauftragnehmer zu vereinbaren.

Die aktuell Auflistung eingesetzter Unterauftragsverarbeiter wird separat geführt.

XII. Unterstützung bei Betroffenenanfragen

Allgemeines
Der Auftragsverarbeiter unterstützt den Verantwortlichen in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technischer und organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte.

Dokumentation
Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken.

Informationspflicht
Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

Bearbeitung der Betroffenenrechte durch den Auftragsverarbeiter
Die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität können nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sichergestellt werden. Sofern die damit verbundenen Maßnahmen die zumutbare Unterstützung des Auftragsverarbeiters übersteigen, kann der Auftragsverarbeiter in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

XIII. Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO

Einhaltung der Pflichten aus Art.32 DSGVO (TOM)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und insbesondere den Schutz vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung oder unbefugter Offenlegung von oder unbefugtem Zugang zu den übertragenen, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten gewährleisten.

Einhaltung der Pflichten aus Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde. Der Auftragsverarbeiter meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 24 Stunden, nachdem ihm die Verletzung bekannt wurde, dem Verantwortlichen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Einhaltung der Pflichten aus Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten, wenn diese Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Einhaltung der Pflichten aus Art. 35 DSGVO (Datenschutz-Folgenabschätzung)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde, sofern eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte.

Einhaltung der Pflichten aus Art. 36 DSGVO (Vorherige Konsultation)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der vorherigen Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

XIV. Löschung und Rückgabe der Daten

Löschung nach Vertragsende
Der Auftragsverarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten und vorhandenen Kopien, es sei denn, nach dem Unionsrecht oder dem Recht der Mitgliedstaaten ist eine Speicherung der personenbezogenen Daten erforderlich.

Rückgabe auf Weisung
Auf dokumentierte Weisung des Verantwortlichen gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück oder löscht sie und vernichtet vorhandene Kopien, es sei denn, nach dem Unionsrecht oder dem Recht der Mitgliedstaaten ist eine Speicherung erforderlich.

Nachweis der Löschung
Der Auftragsverarbeiter stellt dem Verantwortlichen einen Nachweis über die ordnungsgemäße Löschung oder Rückgabe zur Verfügung.

XV. Kontrollrechte des Verantwortlichen

Allgemeines Kontrollrecht
Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen beim Auftragsverarbeiter durch geeignete Maßnahmen zu kontrollieren. Dazu gehören insbesondere die Einholung von Auskünften und Nachweisen, die Besichtigung der eingesetzten Datenverarbeitungsanlagen sowie sonstige örtliche Kontrollen.

Auskunftsrecht
Der Auftragsverarbeiter erteilt dem Verantwortlichen auf Anfrage alle erforderlichen Auskünfte und weist insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nach.

Inspektionen und Audits
Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Inspektionen - einschließlich Audits - und trägt zu diesen bei. Dies umfasst auch Inspektionen durch einen anderen vom Verantwortlichen beauftragten Prüfer.

XVI. Mitteilungspflichten

Störungen und Datenschutzverletzungen
Der Auftragsverarbeiter teilt Störungen unverzüglich mit, die erhebliche Auswirkungen auf die Verarbeitung der personenbezogenen Daten des Verantwortlichen haben können. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten.

Behördliche Maßnahmen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen der Aufsichtsbehörde oder anderer Dritter, soweit sie sich auf den Auftrag beziehen.

Verdacht auf Datenschutzverstöße
Bei Verdacht auf Verstöße gegen datenschutzrechtliche Bestimmungen im Zusammenhang mit den Auftragsdaten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich.

XVII. Haftung und Schadensersatz

Haftung nach DSGVO
Jede Partei, die durch eine Verarbeitung einen Schaden erlitten hat, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter für den erlittenen Schaden gemäß Art. 82 DSGVO.

Gesamtschuldnerische Haftung
Sind sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 4 des Art. 82 DSGVO für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder von ihnen für den gesamten Schaden, um einen wirksamen Schadensersatz für die betroffene Person sicherzustellen.

Regress
Hat ein Verantwortlicher oder ein Auftragsverarbeiter gemäß Absatz 5 des Art. 82 DSGVO vollständigen Schadensersatz für den erlittenen Schaden gezahlt, so ist diese Partei berechtigt, von den übrigen an derselben Verarbeitung beteiligten Verantwortlichen oder Auftragsverarbeiter den Teil des Schadensersatzes zurückzufordern, der entsprechend den in Absatz 2 des Art. 82 DSGVO festgelegten Bedingungen ihrer Verantwortung für den Schaden entspricht.