Vereinbarung zur Datenverarbeitung
Für die Zwecke von Art. 28 Abs. 3 der Verordnung 2016/679 (DSGVO).
Diese Auftragsverarbeitungsvereinbarung (die „AVV“) legt die Datenverarbeitungspflichten von Gluu (dem „Auftragsverarbeiter“) und dem Kunden (dem „Verantwortlichen“) fest – jeweils eine „Partei“ und zusammen „die Parteien“ – und ist Bestandteil der Vereinbarung.
Der Kunde / Verantwortliche ist gemäß den Allgemeinen Geschäftsbedingungen Sie als Kontoinhaber, der den Service von Gluu nutzt.
Die Parteien haben die folgenden Vertragsklauseln (die „Klauseln“) vereinbart, um die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Person zu gewährleisten.
1. Inhaltsverzeichnis
- 2. Präambel
- 3. Rechte und Pflichten des für die Verarbeitung Verantwortlichen
- 4. Der Datenverarbeiter handelt weisungsgebunden
- 5. Vertraulichkeit
- 6. Sicherheit der Verarbeitung
- 7. Einsatz von Unterauftragsverarbeitern
- 8. Übermittlung von Daten an Drittländer oder internationale Organisationen
- 9. Unterstützung des für die Datenverarbeitung Verantwortlichen
- 10. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten
- 11. Löschung und Rückgabe von Daten
- 12. Audit und Inspektion
- 13. Vereinbarung der Parteien über andere Bedingungen
- 14. Beginn und Beendigung
- 15. Kontakte / Kontaktstellen
- Anhang A – Informationen über die Verarbeitung
- Anhang B – Autorisierte Unterauftragsverarbeiter
- Anhang C – Anweisungen zur Verwendung personenbezogener Daten
2. Präambel
Diese Klauseln legen die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen fest.
Die Klauseln sollen sicherstellen, dass die Parteien Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) einhalten.
Im Rahmen der Bereitstellung eines Online-Tools für Business Process Management verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Klauseln.
Die Klauseln haben Vorrang vor ähnlichen Bestimmungen, die in anderen Vereinbarungen zwischen den Parteien enthalten sind.
Den Klauseln sind drei Anhänge beigefügt, die integraler Bestandteil sind:
- Anhang A enthält Einzelheiten über die Verarbeitung, einschließlich ihres Zwecks und ihrer Art, der Art der personenbezogenen Daten, der Kategorien betroffener Personen und der Dauer der Verarbeitung.
- Anhang B enthält die Bedingungen des Verantwortlichen für die Nutzung von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der autorisierten Unterauftragsverarbeiter.
- Anhang C enthält die Anweisungen des Verantwortlichen zur Verarbeitung, die vom Auftragsverarbeiter umzusetzenden Mindestsicherheitsmaßnahmen sowie die Durchführung von Audits.
Die Klauseln und ihre Anhänge sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.
Die Klauseln entbinden den Auftragsverarbeiter nicht von Verpflichtungen, denen er nach der DSGVO oder anderen Rechtsvorschriften unterliegt.
3. Rechte und Pflichten des für die Verarbeitung Verantwortlichen
Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und den Klauseln erfolgt.
Der für die Verarbeitung Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.
Der Verantwortliche ist unter anderem dafür verantwortlich, dass die Verarbeitung, zu der der Auftragsverarbeiter angewiesen wird, eine Rechtsgrundlage hat.
4. Der Datenverarbeiter handelt weisungsgebunden
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen, es sei denn, dies ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich. Solche Anweisungen sind in den Anhängen A und C festgelegt. Weitere Anweisungen können vom Verantwortlichen während der gesamten Dauer der Verarbeitung erteilt werden, müssen jedoch stets dokumentiert und schriftlich, auch elektronisch, im Zusammenhang mit den Klauseln aufbewahrt werden.
Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich mit, wenn eine Anweisung nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt.
5. Vertraulichkeit
Der Auftragsverarbeiter gewährt Zugang zu den im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nur Personen, die seiner Weisungsbefugnis unterstehen, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen, und nur nach dem Need-to-know-Prinzip. Die Liste der Personen mit Zugang wird regelmäßig überprüft, und der Zugang wird entzogen, wenn er nicht mehr erforderlich ist.
Auf Anfrage des Verantwortlichen weist der Auftragsverarbeiter nach, dass die betreffenden Personen der oben beschriebenen Vertraulichkeitsverpflichtung unterliegen.
6. Sicherheit der Verarbeitung
Artikel 32 DSGVO sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Je nach Relevanz können diese Maßnahmen Folgendes umfassen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste dauerhaft zu gewährleisten;
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Der Auftragsverarbeiter unterhält ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem. Gemäß Artikel 32 DSGVO bewertet der Auftragsverarbeiter – unabhängig vom Verantwortlichen – die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minderung dieser Risiken. Zu diesem Zweck stellt der Verantwortliche dem Auftragsverarbeiter alle erforderlichen Informationen zur Verfügung, um solche Risiken zu identifizieren und zu bewerten.
Der Auftragsverarbeiter unterstützt den Verantwortlichen auch bei der Erfüllung seiner Pflichten gemäß Artikel 32 DSGVO, unter anderem durch Bereitstellung von Informationen über die bereits umgesetzten technischen und organisatorischen Maßnahmen. Wenn nach Einschätzung des Verantwortlichen die Minderung der identifizierten Risiken Maßnahmen erfordert, die über die bereits umgesetzten hinausgehen, legt der Verantwortliche die zusätzlichen Maßnahmen in Anhang C fest.
7. Einsatz von Unterauftragsverarbeitern
Der Auftragsverarbeiter muss die in Art. 28 Abs. 2 und 4 DSGVO genannten Voraussetzungen erfüllen, um einen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) zu beauftragen.
Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung in Bezug auf die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters mindestens 20 Tage im Voraus und gibt dem Verantwortlichen die Möglichkeit, Einspruch zu erheben, bevor der Unterauftragsverarbeiter beauftragt wird. Die Liste der bereits vom Verantwortlichen autorisierten Unterauftragsverarbeiter ist in Anhang B aufgeführt.
Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, werden diesem Unterauftragsverarbeiter durch einen Vertrag oder eine andere Rechtshandlung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, die in den Klauseln festgelegt sind – insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den Anforderungen der Klauseln und der DSGVO entspricht. Der Auftragsverarbeiter bleibt dafür verantwortlich, dass der Unterauftragsverarbeiter mindestens die Pflichten erfüllt, denen der Auftragsverarbeiter nach den Klauseln und der DSGVO unterliegt.
Auf Anfrage des Verantwortlichen wird eine Kopie einer solchen Unterauftragsverarbeitervereinbarung – und etwaiger späterer Änderungen – dem Verantwortlichen vorgelegt, damit dieser überprüfen kann, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden. Bestimmungen zu geschäftsbezogenen Fragen, die den Datenschutzinhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen nicht vorgelegt werden.
Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach – im Falle der Insolvenz des Auftragsverarbeiters – der Verantwortliche Drittbegünstigter wird und die Vereinbarung gegenüber dem Unterauftragsverarbeiter durchsetzen kann, beispielsweise um den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters haftbar. Dies berührt nicht die Rechte der betroffenen Personen nach der DSGVO – insbesondere die Rechte nach den Artikeln 79 und 82 DSGVO – gegenüber dem Verantwortlichen, dem Auftragsverarbeiter und dem Unterauftragsverarbeiter.
8. Übermittlung von Daten an Drittländer oder internationale Organisationen
Kundendaten auf der Gluu-Plattform werden innerhalb der EU gehostet (Nordeuropa – z. B. Dublin und Amsterdam). Backup, Speicherung und Redundanz werden in den nordeuropäischen Rechenzentren von Microsoft abgewickelt.
Wenn eine optionale Funktion auf einem Unterauftragsverarbeiter basiert, der Daten außerhalb der EU/des EWR verarbeitet (siehe Anhang B), erfolgt eine solche Übermittlung nur in Übereinstimmung mit Kapitel V DSGVO unter Verwendung eines geeigneten Übermittlungsinstruments – eines Angemessenheitsbeschlusses, des EU-U.S. Data Privacy Framework oder von Standardvertragsklauseln. Jede andere Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur auf dokumentierte Anweisung des Verantwortlichen.
Wenn eine Übermittlung in ein Drittland oder an eine internationale Organisation, die der Verantwortliche nicht angewiesen hat, nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich ist, informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
Ohne dokumentierte Anweisung des Verantwortlichen kann der Auftragsverarbeiter im Rahmen der Klauseln nicht:
- personenbezogene Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder an eine internationale Organisation übermitteln;
- die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland übertragen; oder
- die personenbezogenen Daten vom Auftragsverarbeiter in einem Drittland verarbeiten lassen.
Die Anweisungen des Verantwortlichen zur Übermittlung personenbezogener Daten in ein Drittland, einschließlich des anwendbaren Übermittlungsinstruments nach Kapitel V DSGVO, sind in Anhang C.6 aufgeführt.
Die Klauseln dürfen nicht mit Standarddatenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO verwechselt werden, und die Parteien können sich nicht auf die Klauseln als Übermittlungsinstrument gemäß Kapitel V DSGVO berufen.
9. Unterstützung des für die Datenverarbeitung Verantwortlichen
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflicht des Verantwortlichen, auf Anfragen betroffener Personen zu reagieren, die ihre Rechte nach Kapitel III DSGVO ausüben. Dies bedeutet, dass der Auftragsverarbeiter den Verantwortlichen, soweit möglich, bei der Einhaltung folgender Rechte unterstützt:
- das Recht auf Information, wenn personenbezogene Daten bei der betroffenen Person erhoben werden;
- das Recht auf Information, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden;
- das Auskunftsrecht der betroffenen Person;
- das Recht auf Berichtigung;
- das Recht auf Löschung („Recht auf Vergessenwerden“);
- das Recht auf Einschränkung der Verarbeitung;
- die Mitteilungspflicht bei Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung;
- das Recht auf Datenübertragbarkeit; und
- das Widerspruchsrecht.
Darüber hinaus unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung:
- der Pflicht des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde (der dänischen Datenschutzbehörde) zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen;
- der Pflicht des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich der betroffenen Person mitzuteilen, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
- der Pflicht des Verantwortlichen, eine Datenschutz-Folgenabschätzung durchzuführen; und
- der Pflicht des Verantwortlichen, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ohne Abhilfemaßnahmen ein hohes Risiko zur Folge hätte.
Die Parteien legen in Anhang C die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den Verantwortlichen unterstützt, sowie den Umfang und das Ausmaß dieser Unterstützung.
10. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, nachdem er davon Kenntnis erlangt hat, und wenn möglich innerhalb von 72 Stunden, damit der Verantwortliche seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Artikel 33 DSGVO nachkommen kann.
Gemäß Klausel 9 unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Meldung der Verletzung an die zuständige Aufsichtsbehörde, was bedeutet, dass der Auftragsverarbeiter verpflichtet ist, bei der Beschaffung der folgenden nach Artikel 33 Absatz 3 DSGVO erforderlichen Informationen zu helfen:
- die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen personenbezogenen Datensätze;
- die wahrscheinlichen Folgen der Verletzung; und
- die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Die Parteien legen in Anhang C alle Elemente fest, die der Auftragsverarbeiter bei der Unterstützung des Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten bereitzustellen hat.
11. Löschung und Rückgabe von Daten
Nach Beendigung der Datenverarbeitungsdienstleistungen löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bestätigt dem Verantwortlichen, dass er dies getan hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten erfordert die Speicherung der personenbezogenen Daten. Die geltende Speicherfrist und das Löschverfahren sind in Anhang C.4 aufgeführt.
12. Audit und Inspektion
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 DSGVO und der Klauseln erforderlich sind, und ermöglicht Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Die Verfahren für solche Audits sind in Anhang C.7 aufgeführt.
Der Auftragsverarbeiter gewährt Aufsichtsbehörden, die nach geltendem Recht Zugang haben – oder deren Vertretern – nach Vorlage eines entsprechenden Ausweises Zugang zu den physischen Einrichtungen des Auftragsverarbeiters.
13. Vereinbarung der Parteien über andere Bedingungen
Die Parteien können weitere Klauseln zum Datenverarbeitungsdienst vereinbaren – beispielsweise zur Haftung –, sofern diese nicht direkt oder indirekt den Klauseln widersprechen oder die Grundrechte und Grundfreiheiten der betroffenen Person oder den durch die DSGVO gewährten Schutz beeinträchtigen.
14. Beginn und Beendigung
Die Klauseln treten an dem Datum in Kraft, an dem der Kunde / Verantwortliche sein Konto erstellt.
Jede Partei ist berechtigt, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzesänderungen oder die Unzweckmäßigkeit der Klauseln eine solche Neuverhandlung erforderlich machen.
Die Klauseln gelten für die Dauer der Datenverarbeitungsdienstleistungen. Während dieser Zeit können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Klauseln zur Erbringung der Dienstleistungen vereinbart.
Werden die Datenverarbeitungsdienstleistungen beendet und die personenbezogenen Daten gemäß Klausel 11 und Anhang C.4 gelöscht oder an den Verantwortlichen zurückgegeben, können die Klauseln durch schriftliche Mitteilung einer der Parteien gekündigt werden.
15. Kontakte / Kontaktstellen
Im Auftrag des Auftragsverarbeiters:
| Name | Søren Pommer |
| Position | CEO |
| Phone | +45 7230 2070 |
| spommer@gluu.biz |
Die Parteien können sich über die oben genannten Kontaktstellen erreichen. Jede Partei informiert die andere fortlaufend über Änderungen ihrer Kontaktstellen.
Anhang A – Informationen über die Verarbeitung
A.1. Zweck der Verarbeitung
Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:
- Berichterstattung über die Mitarbeiter des Verantwortlichen und deren Nutzung des Gluu-Systems; und
- Erfassung und Speicherung personenbezogener Daten im Zusammenhang mit dem Hosting.
A.2. Art der Verarbeitung
Die Verarbeitung umfasst hauptsächlich die Auflistung von Nutzungsmustern, die mit namentlich genannten Nutzern verbunden sind.
A.3. Arten personenbezogener Daten
Die Verarbeitung umfasst folgende Arten personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer, Adresse und Zahlungsdaten (Karte).
A.4. Kategorien betroffener Personen
Die Verarbeitung umfasst folgende Kategorien betroffener Personen: Mitarbeiter des Verantwortlichen und externe Berater, die für den Verantwortlichen tätig sind.
A.5. Dauer der Verarbeitung
Die Verarbeitung kann ab dem Datum des Inkrafttretens der Klauseln durchgeführt werden und dauert so lange, wie der Verantwortliche ein Konto im Gluu-System hat. Nach Beendigung werden personenbezogene Daten wie in Anhang C.4 dargelegt aufbewahrt und gelöscht.
Anhang B – Autorisierte Unterauftragsverarbeiter
B.1. Zugelassene Unterauftragsverarbeiter
Mit Inkrafttreten der Klauseln genehmigt der für die Datenverarbeitung Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:
| Name | Reg.-Nr. | Anschrift | Beschreibung der Verarbeitung |
|---|---|---|---|
| Microsoft (Rechenzentrum – South County Business Park) | IE8256796U | One Microsoft Place, Carmanhall und Leopardstown, Dublin, D18 P521, Irland | Hosting der eigenen Daten des Verantwortlichen und der internen Daten des Auftragsverarbeiters. |
| Stripe Payments Europe Ltd | IE3208141BH | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland | Rechnungsstellungssystem. Interne Daten des Auftragsverarbeiters. |
| Pipedrive OÜ | IE3626566WH | Riverside One, Sir John Rogerson’s Quay, Dublin 2, D02 X576, Irland | CRM-System. Interne Daten des Auftragsverarbeiters. |
| OpenAI Ireland Ltd | 737350 (CRO) | 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland | Optionale KI-Assistenzfunktionen zur Prozessverbesserung und Inhaltserstellung. Jede KI-gestützte Operation kann von einem Kontoadministrator einzeln aktiviert oder deaktiviert werden. Wenn aktiviert, wird klar angezeigt, welche Prozessdaten an die API von OpenAI gesendet werden; nur die mit der ausgewählten Operation verbundenen Inhalte werden übermittelt. Personenbezogene Daten werden nicht gesendet, es sei denn, sie wurden von Ihren Nutzern ausdrücklich in Arbeitsanweisungen oder zugehörigen Prozessinhalten hinzugefügt. Die Daten werden gemäß den Enterprise Privacy-Bedingungen von OpenAI verarbeitet. |
Alle anderen Unterauftragsverarbeiter werden für die interne Datenverarbeitung des Auftragsverarbeiters eingesetzt. Der Auftragsverarbeiter darf – ohne ausdrückliche schriftliche Genehmigung des Verantwortlichen – keinen Unterauftragsverarbeiter für eine andere als die vereinbarte Verarbeitung beauftragen oder einen anderen Unterauftragsverarbeiter die beschriebene Verarbeitung durchführen lassen.
B.2. Vorankündigung für die Befugnis von Unterauftragsverarbeitern
Der Verantwortliche kann einen neuen Unterauftragsverarbeiter innerhalb von 20 Tagen nach Erhalt der Mitteilung über die beabsichtigte Änderung akzeptieren oder ablehnen (siehe Klausel 7). Jede Ablehnung muss einen gültigen, geschäftsbezogenen Grund angeben.
Anhang C – Anweisungen zur Verwendung personenbezogener Daten
C.1. Gegenstand der Anweisung
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen besteht aus:
- Berichterstattung über die Mitarbeiter des Verantwortlichen und deren Nutzung des Gluu-Systems; und
- Erfassung und Speicherung personenbezogener Daten im Zusammenhang mit dem Hosting.
C.2. Sicherheit der Verarbeitung
Der Auftragsverarbeiter unterhält ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem und wendet die technischen und organisatorischen Maßnahmen an, die erforderlich sind, um ein dem Risiko angemessenes Schutzniveau gemäß Artikel 32 DSGVO und Klausel 6 zu gewährleisten. Diese Maßnahmen umfassen Zugangskontrollen nach dem Need-to-know-Prinzip, Verschlüsselung von Daten während der Übertragung, EU-basiertes Hosting mit Backup und Redundanz sowie regelmäßige Überprüfung und Bewertung der Sicherheitswirksamkeit.
Angesichts der Art der Verarbeitung – routinemäßige Berichterstattung und Hosting unter Einbeziehung allgemeiner (nicht sensibler) personenbezogener Daten – vereinbaren die Parteien, dass diese Maßnahmen angemessen sind. Sollte der Verantwortliche zusätzliche Maßnahmen wie eine weitere Verschlüsselung oder Pseudonymisierung verlangen, sind diese hier durch schriftliche Vereinbarung festzulegen.
C.3. Unterstützung des für die Datenverarbeitung Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit gemäß Klausel 9.
C.4. Speicherdauer und Löschverfahren
Personenbezogene Daten werden für die Dauer des Vertrages und für weitere 3 Jahre nach Beendigung gespeichert. Danach werden sie vom Auftragsverarbeiter automatisch gelöscht. Nach Beendigung der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung personenbezogener Daten löscht der Auftragsverarbeiter die personenbezogenen Daten entweder oder gibt sie gemäß Klausel 11 zurück, es sei denn, der Verantwortliche hat seine ursprüngliche Wahl nach Vertragsunterzeichnung geändert. Jede derartige Änderung ist zu dokumentieren und schriftlich, auch in elektronischer Form, im Zusammenhang mit den Klauseln festzuhalten.
C.5. Ort der Verarbeitung
Die Verarbeitung im Rahmen der Klauseln darf ohne vorherige schriftliche Genehmigung des Verantwortlichen nicht an anderen Orten als innerhalb der EU/des EWR durchgeführt werden.
C.6. Belehrung über die Übermittlung personenbezogener Daten in Drittländer
Der Auftragsverarbeiter darf personenbezogene Daten nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen in ein Drittland übermitteln, oder an eine nach dem EU-U.S. Data Privacy Framework zertifizierte Stelle, oder im Rahmen eines anderen gültigen Übermittlungsinstruments, das gemäß Kapitel V DSGVO zulässig ist.
C.7. Audit-Verfahren
Der Verantwortliche oder sein Vertreter kann die Orte, an denen der Auftragsverarbeiter die Verarbeitung durchführt – einschließlich der physischen Einrichtungen und der verwendeten Systeme – inspizieren, um die Einhaltung der DSGVO, der geltenden Datenschutzbestimmungen und der Klauseln durch den Auftragsverarbeiter zu überprüfen. Die ISO/IEC 27001-Zertifizierung des Auftragsverarbeiters und die dazugehörige Dokumentation können vorgelegt werden, um eine solche Inspektion ganz oder teilweise zu ersetzen.
Zusätzlich zu jeder geplanten Inspektion kann der Verantwortliche den Auftragsverarbeiter inspizieren, wenn er dies für erforderlich hält. Der Verantwortliche trägt seine eigenen Kosten im Zusammenhang mit einer Inspektion; der Auftragsverarbeiter stellt jedoch die für die Durchführung der Inspektion erforderlichen Ressourcen (hauptsächlich Zeit) zur Verfügung.
Verweise auf „Mitgliedstaaten“ in den Klauseln sind als Verweise auf „EWR-Mitgliedstaaten“ zu verstehen.
Aktualisiert am 1. Juli 2026.