Vereinbarung zur Datenverarbeitung

Erfahren Sie mehr über unsere Rollen bei der Datenverarbeitung, Sicherheitsmaßnahmen und die Einhaltung der DSGVO für alle Plattformbenutzer.

VEREINBARUNG ZUR DATENVERARBEITUNG

ABSCHNITT I

Klausel 1

Zweck und Umfang

(a) Zweck dieser Datenverarbeitungsvereinbarung („DPA“) ist es, die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen.

(b) Die in Anlage I aufgeführten für die Verarbeitung Verantwortlichen und Auftragsverarbeiter haben der Datenschutzvereinbarung zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 sicherzustellen.

(d) Die Anlagen I bis IV sind integraler Bestandteil des DPA.

(e) Die Datenschutzvereinbarung gilt unbeschadet der Verpflichtungen, denen der für die Verarbeitung Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt.

(f) Die Datenschutzbehörde allein gewährleistet nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679.

Klausel 2

Interpretation

(a) Wenn die Datenschutzbehörde die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Das DPA ist im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Das DPA darf nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigt.

Klausel 3

Hierarchie

Im Falle eines Widerspruchs zwischen dem DPA und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses des DPA bestanden, hat das DPA Vorrang.

Klausel 4

Docking-Klausel

(a) Jedes Unternehmen, das nicht Vertragspartei des DPA ist, kann mit Zustimmung aller Parteien dem DPA jederzeit als für die Verarbeitung Verantwortlicher oder Verarbeiter beitreten, indem es die Anlagen ausfüllt und Anlage I unterzeichnet.

(b) Sobald die Anlagen unter (a) ausgefüllt und unterzeichnet sind, gilt das beitretende Unternehmen als Vertragspartei des DPA und hat gemäß seiner Bezeichnung in Anlage I die Rechte und Pflichten eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters.

(c) Das beitretende Unternehmen hat keine Rechte oder Pflichten, die sich aus dem DPA aus der Zeit vor dem Beitritt zur Vertragspartei ergeben.

ABSCHNITT II — PFLICHTEN DER PARTEIEN

Klausel 5

Beschreibung der Verarbeitung (en)

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Verarbeitungszwecke, für die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sind in Anlage II aufgeführt.

Klausel 6

Pflichten der Parteien

6.1. Anweisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Während der gesamten Dauer der Verarbeitung personenbezogener Daten kann der für die Verarbeitung Verantwortliche auch nachfolgende Anweisungen erteilen. Diese Anweisungen müssen stets dokumentiert werden.

(b) Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn seiner Ansicht nach die Anweisungen des für die Verarbeitung Verantwortlichen gegen die Verordnung (EU) 2016/679 oder die geltenden Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

6.2. Beschränkung des Zwecks

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Verarbeitung gemäß Anlage II, sofern er keine weiteren Anweisungen vom für die Verarbeitung Verantwortlichen erhält.

6.3. Dauer der Verarbeitung personenbezogener Daten

Die Verarbeitung durch den Verarbeiter darf nur für die in Anlage II angegebene Dauer erfolgen.

6.4. Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter trifft mindestens die in Anlage III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört auch der Schutz der Daten vor einer Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die Daten führt (Verletzung des Schutzes personenbezogener Daten). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, dem Kontext und dem Zweck der Verarbeitung sowie den damit verbundenen Risiken für die betroffenen Personen gebührend Rechnung.

(b) Der Auftragsverarbeiter gewährt Mitgliedern seines Personals Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, nur insoweit, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.5. Sensible Daten

Umfasst die Verarbeitung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten („sensible Daten“), wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Schutzmaßnahmen an.

6.6 Dokumentation und Einhaltung

(a) Die Parteien müssen in der Lage sein, die Einhaltung des DPA nachzuweisen.

(b) Der Auftragsverarbeiter bearbeitet Anfragen des für die Verarbeitung Verantwortlichen zur Datenverarbeitung gemäß dem DPA umgehend und angemessen.

(c) Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der im DPA festgelegten Verpflichtungen nachzuweisen, die sich unmittelbar aus der Verordnung (EU) 2016/679 ergeben. Auf Anfrage des für die Verarbeitung Verantwortlichen gestattet der Auftragsverarbeiter in angemessenen Abständen oder wenn es Anzeichen für eine Nichteinhaltung der Vorschriften gibt, Audits der vom Datenschutzbeauftragten erfassten Verarbeitungstätigkeiten und trägt dazu bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der für die Verarbeitung Verantwortliche die entsprechenden Zertifizierungen berücksichtigen, über die der Auftragsverarbeiter verfügt.

(d) Der für die Verarbeitung Verantwortliche kann wählen, ob er die Prüfung selbst durchführt oder einen unabhängigen Prüfer beauftragt. Audits können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Verarbeiters umfassen und müssen gegebenenfalls mit einer angemessenen Frist durchgeführt werden.

e) Die Vertragsparteien stellen den zuständigen Aufsichtsbehörden die im DPA genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

6.7. Einsatz von Subprozessoren

(a) Der für die Verarbeitung Verantwortliche stimmt der Beauftragung von Unterauftragsverarbeitern durch den Auftragsverarbeiter zu und genehmigt diese generell. Die aktuelle Liste der Unterauftragsverarbeiter finden Sie in Anlage IV und der Verantwortliche kann vom Auftragsverarbeiter jederzeit eine aktualisierte Liste anfordern. Der Prozessor muss dem für die Verarbeitung Verantwortlichen einen Mechanismus zur Verfügung stellen, mit dem Aktualisierungen der Unterauftragsverarbeiter abonniert werden können. Wenn der für die Verarbeitung Verantwortliche Updates abonniert, muss der Prozessor dem für die Verarbeitung Verantwortlichen eine Frist von mindestens 14 Tagen einräumen, um der Ernennung eines neuen Unterauftragsverarbeiters zu widersprechen. Widerspricht der für die Verarbeitung Verantwortliche, muss der Auftragsverarbeiter angemessene Anstrengungen unternehmen, um Änderungen an den Diensten vorzunehmen, um die Verarbeitung personenbezogener Daten durch diesen Unterauftragsverarbeiter zu verhindern. Wenn der für die Verarbeitung Verantwortliche nach 30 Tagen mit den ergriffenen Maßnahmen nicht einverstanden ist, kann der für die Verarbeitung Verantwortliche den entsprechenden Teil der Dienste, die nur von diesem Unterauftragsverarbeiter erbracht werden können, durch schriftliche Mitteilung an den Auftragsverarbeiter beenden.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen), erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt wie die, die dem Datenverarbeiter gemäß dem DPA auferlegt werden. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln und der Verordnung (EU) 2016/679 unterliegt.

(c) Auf Anfrage des für die Verarbeitung Verantwortlichen stellt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterauftragsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Vertragstext vor der Weitergabe der Kopie redigieren.

(d) Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über jede Nichterfüllung seiner vertraglichen Verpflichtungen durch den Unterauftragsverarbeiter.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Klausel über Drittbegünstigte, wonach — falls der Auftragsverarbeiter tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist — der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

6.8. Internationale Überweisungen

(a) Jede Übermittlung von Daten an ein Drittland oder eine internationale Organisation durch den Auftragsverarbeiter erfolgt nur: auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen; zur Erfüllung einer spezifischen Anforderung nach dem Recht der Union oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt, und erfolgt gemäß Kapitel V der Verordnung (EU) 2016/679; gemäß einem Angemessenheitsbeschluss; oder gemäß den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Dritte Länder gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und der Rat genehmigte den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, wie derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj (Modul 2: Transfer Controller to Processor) (EU SCCs) dargelegt und bei Bedarf für Übermittlungen aus der Schweiz und dem Vereinigten Königreich angepasst (in Form des ICO UK Addendums). Diese EU-SCCs gelten in ihrer Gesamtheit als in dieses DPA aufgenommen. In Bezug auf Klausel 9 (a) der EU-SCCs erteilt der für die Verarbeitung Verantwortliche Unterauftragsverarbeiter eine allgemeine Genehmigung zu den in diesem DPA festgelegten Bedingungen und außerdem, sofern der Auftragsverarbeiter zusammen mit etwaigen Unterauftragsverarbeitern den EU-SCCs beitritt, eine allgemeine Genehmigung für weitere Unterauftragsverarbeiter der Unterauftragsverarbeiter.

Klausel 7

Unterstützung des Controllers

(a) Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von der betroffenen Person erhalten hat. Er beantwortet die Anfrage nicht selbst, es sei denn, der für die Verarbeitung Verantwortliche hat ihn dazu ermächtigt.

(b) Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a und b hat der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen

(c) Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Klausel 7 (b) zu unterstützen, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen außerdem dabei, die Einhaltung der folgenden Verpflichtungen sicherzustellen, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden:

(1) die Verpflichtung, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchzuführen (eine „Datenschutz-Folgenabschätzung“), wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;

(2) die Verpflichtung, vor der Verarbeitung die zuständige (n) Aufsichtsbehörde (n) zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift;

(3) die Verpflichtung, sicherzustellen, dass personenbezogene Daten richtig und aktuell sind, indem der für die Verarbeitung Verantwortliche unverzüglich informiert wird, wenn der Auftragsverarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(4) die Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679/.

(d) Die Vertragsparteien legen in Anlage III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Anwendung dieser Klausel unterstützen muss, sowie den Umfang und den Umfang der erforderlichen Unterstützung.

Klausel 8

Meldung einer Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn, damit der für die Verarbeitung Verantwortliche gegebenenfalls seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommt, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

8.1 Datenschutzverletzung in Bezug auf die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen:

(a) bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige (n) Aufsichtsbehörde (n), gegebenenfalls ohne unangemessene Verzögerung, nachdem der für die Verarbeitung Verantwortliche davon Kenntnis erlangt hat/ (es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt);

b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679/ in der Mitteilung des für die Verarbeitung Verantwortlichen anzugeben sind und mindestens Folgendes enthalten müssen:

(1) die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betreffenden personenbezogenen Datensätze;

(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(3) die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen beabsichtigt, um der Verletzung des Schutzes personenbezogener Daten zu begegnen, einschließlich gegebenenfalls Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die ursprüngliche Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; weitere Informationen sind, sobald sie verfügbar sind, anschließend unverzüglich bereitzustellen.

(c) gemäß Artikel 34 der Verordnung (EU) 2016/679 der Verpflichtung nachzukommen, die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

8.2 Datenschutzverletzung in Bezug auf vom Auftragsverarbeiter verarbeitete Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem der Auftragsverarbeiter von der Verletzung Kenntnis erlangt hat. Diese Mitteilung muss mindestens Folgendes enthalten:

(a) eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze);

(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(c) ihre wahrscheinlichen Folgen und die Maßnahmen, die ergriffen wurden oder zu ergreifen sind, um den Verstoß zu beheben, einschließlich der Abschwächung seiner möglichen nachteiligen Auswirkungen.

Die Vertragsparteien legen in Anlage III alle anderen Angaben fest, die der Auftragsverarbeiter bereitzustellen hat, wenn er den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 unterstützt.

ABSCHNITT III — SCHLUSSBESTIMMUNGEN

Klausel 9

Nichteinhaltung der Klauseln und Kündigung

(a) Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 kann der für die Verarbeitung Verantwortliche den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser die DPA einhält oder der Vertrag gekündigt wird. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, falls er aus welchem Grund auch immer nicht in der Lage ist, die DPA einzuhalten.

(b) Der für die Verarbeitung Verantwortliche ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten gemäß dem DPA betrifft, zu kündigen, wenn:

(1) Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter wurde vom für die Verarbeitung Verantwortlichen gemäß Buchstabe a ausgesetzt und wenn die Einhaltung der Datenschutzvereinbarung nicht innerhalb einer angemessenen Frist, in jedem Fall innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(2) der Auftragsverarbeiter verstößt erheblich oder anhaltend gegen das DPA oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679;

(3) Der Auftragsverarbeiter kommt einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde (n) in Bezug auf seine Verpflichtungen gemäß dem DPA oder der Verordnung (EU) 2016/679 nicht nach.

(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten im Rahmen des DPA betrifft, wenn der Verantwortliche, nachdem er den für die Verarbeitung Verantwortlichen gemäß Klausel 6.1 (b) darüber informiert hat, dass seine Anweisungen gemäß Klausel 6.1 (b) gegen geltende gesetzliche Anforderungen verstoßen, auf der Einhaltung der Anweisungen besteht.

(d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten, die im Namen des für die Verarbeitung Verantwortlichen verarbeitet wurden, und bestätigt dem für die Verarbeitung Verantwortlichen, dass er dies getan hat, oder gibt alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurück und löscht vorhandene Kopien, sofern das Unionsrecht oder das Recht der Mitgliedstaaten die Aufbewahrung der personenbezogenen Daten nicht vorschreibt. Bis die Daten gelöscht oder zurückgegeben werden, stellt der Auftragsverarbeiter weiterhin sicher, dass die DPA eingehalten wird.

ANLAGE I: LISTE DER PARTEIEN

Steuerung: Kunde wie in der Vereinbarung und dem Angebot mit dem Verarbeiter angegeben

Prozessor:

Nome: Knowlix GmbH
Adresse: Lazarettstraße 4, 80636, München, Deutschland
Name, Position und Kontaktdaten der Kontaktperson: Peter Meier, data@knowlix.ai

ANLAGE II: BESCHREIBUNG DER VERARBEITUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden
Kunden des für die Verarbeitung Verantwortlichen, Mitarbeiter des für die Verarbeitung Verantwortlichen und andere Personen, deren Daten in die Knowlix-Software eingegeben oder verarbeitet werden (z. B. Lieferanten, Geschäftspartner oder Interessenten).

Kategorien der verarbeiteten personenbezogenen Daten
Vor- und Nachname, Adresse, E-Mail-Adresse, Telefonnummer, Firmenname, Berufsbezeichnung, Anmeldedaten, Benutzeraktivitätsdaten, Kommunikationsinhalte (z. B. E-Mails, Nachrichten, Anrufnotizen), Rechnungs- und Zahlungsdetails und andere Daten, die der für die Verarbeitung Verantwortliche im Rahmen der Nutzung der Knowlix-Software eingegeben hat.

Art der Verarbeitung
Erfassung, Speicherung, Organisation, Strukturierung, Änderung, Abruf, Verwendung, Übertragung und Löschung personenbezogener Daten innerhalb der Knowlix-Software zum Zwecke der Bereitstellung, Wartung und Verbesserung der Knowlix-Plattform und der damit verbundenen Dienste.

Zweck (e), für den/die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden
Verarbeitung für die Bereitstellung und den Betrieb der Knowlix-Software als SaaS-Lösung zur Automatisierung von Geschäftsprozessen, einschließlich Verwaltung von Kundenbeziehungen, Kommunikationsabwicklung (E-Mails, Anrufe, Nachrichten), Aufgaben- und Workflow-Automatisierung, Rechnungsstellung, Projekt- und Dokumentenmanagement sowie Unterstützung der internen administrativen und betrieblichen Prozesse des für die Verarbeitung Verantwortlichen.

Dauer der Verarbeitung
Die Dauer der Datenverarbeitung entspricht der jeweiligen Vereinbarung zwischen den Parteien.

ANLAGE III: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Der Auftragsverarbeiter verpflichtet sich, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen und aufrechtzuerhalten, um ein dem Risiko für personenbezogene Daten angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen gehören insbesondere:

Zutrittskontrolle (physischer Zugang)

Sicherstellung, dass Unbefugte daran gehindert werden, Zugang zu Datenverarbeitungsanlagen zu erhalten, in denen personenbezogene Daten verarbeitet werden.

Maßnahmen: Zugangskontrolle zu Geschäftsräumen und Authentifizierungssystemen (z. B. Schlüssel).

Systemzugriffskontrolle (Login-Zugang)

Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen.

Maßnahmen: Benutzer-IDs, sichere Passwortrichtlinien, Zwei-Faktor-Authentifizierung, zeitlich begrenzte Berechtigungen.

Datenzugriffskontrolle (Berechtigungen)

Sicherstellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können.

Maßnahmen: Rollenbasierte Zugriffskontrolle, Berechtigungsmanagement, regelmäßige Überprüfung der Benutzerrechte, Protokollierung der Zugriffe.

Kontrolle der Datenübertragung

Verhinderung der unbefugten Offenlegung, Änderung oder Löschung personenbezogener Daten während der Übertragung.

Maßnahmen: Verschlüsselung von Datenübertragungen (z. B. TLS), sichere APIs, Datenklassifizierung.

Eingabesteuerung

Sicherstellung der Rückverfolgbarkeit, ob und von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden.

Maßnahmen: Protokollierung von Eingaben, Änderungen und Löschungen, Auditprotokolle, Überwachung.

Kontrolle der Vertragsabwicklung

Sicherstellung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden.

Maßnahmen: Schulung, Unterweisung und Eskalationsverfahren des Personals.

Verfügbarkeitskontrolle

Schutz personenbezogener Daten vor versehentlicher Zerstörung oder Verlust.

Maßnahmen: Redundante Systeme, regelmäßige Backups, Notfallpläne, Zugang zu Rechenzentren mit hochverfügbarer Infrastruktur.

Kontrolle der Trennung

Sicherstellung der getrennten Verarbeitung von Daten, die für verschiedene Zwecke gesammelt wurden.

Maßnahmen: Mehrmandantensysteme, logische Trennung von Daten durch Autorisierungskonzepte und Datenbanktrennung.

Datenschutz durch Technikgestaltung und standardmäßige Voreinstellungen

Implementierung datenschutzfreundlicher Standards und Standardeinstellungen (Privacy by Design/Default), z. B. minimale Datenerfassung, standardmäßig aktivierte Verschlüsselung, loggfreie Standardkonfigurationen.

Kontrolle von Subprozessoren

Vertragliche Zusicherung, dass Unterauftragsverarbeiter auch ein angemessenes Datenschutzniveau gewährleisten.

Maßnahmen: Vorherige Überprüfung und regelmäßige Überwachung, Dokumentation der Unterauftragsverarbeiter.

APPENDIX IV: LIST OF SUB-PROCESSORS

The controller has authorised the use of the following sub-processors:

Name of Sub-processor	Address	Location of processing	Work to be performed
Anthropic PBC	548 Market St, PMB 72233, San Francisco, CA 94104, USA	Germany	Large Language Model inference (AI processing)
Amazon Web Services (AWS)	410 Terry Ave N, Seattle, WA 98109, USA	Germany	Temporary processing and hosting of personal data via AWS infrastructure
Eleven Labs Poland sp. z o.o.	Lipska 27/22 Street, 03-908 Warsaw, Poland	Poland	Temporary speech synthesis, recording, and transcription (AI-based voice processing)
Microsoft Ireland Operations Limited	One Microsoft Place, Dublin 18, D18 P521, Ireland	Europe	Communications and productivity
OpenAI, L.L.C.	1455 3rd Street, San Francisco, CA 94158, USA	Europe, United States	Internal productivity and research
Perplexity AI Inc.	115 Sansome St, Suite 900, San Francisco, CA 94104, USA	Europe, United States	Internal productivity and research

Vereinbarung zur Datenverarbeitung