Trust Center

I. Gegenstand der Verarbeitung

Verarbeitungsgegenstand und Zwecke

Der Auftragsverarbeiter betreibt für den Verantwortlichen eine KI-basierte SaaS-Plattform (nachfolgend „Plattform") und entwickelt diese kontinuierlich weiter. Die vertragsgegenständlichen Leistungen umfassen:

Hinweis zu der Verwendung von Daten bei KI-Systemen

Der Auftragsverarbeiter sichert zu, dass alle im Rahmen dieses Vertragsverhältnisses verarbeiteten personenbezogenen Daten sowie Inhalte des Verantwortlichen ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen genutzt werden. Insbesondere ist ausgeschlossen, dass diese Daten und Inhalte zur (Weiter‑)Entwicklung, Optimierung oder zum Training von KI‑gestützten Systemen oder Produkten außerhalb dieses konkreten Vertragsverhältnisses verwendet werden.

Eine Verwendung personenbezogener Daten oder Kundeninhalte zum Zweck des Machine Learnings, Fine‑Tunings, Cross‑Domain-Learnings oder anderen Formen des KI-Trainings zugunsten des Auftragsverarbeiters oder Dritter ist ausdrücklich ausgeschlossen. Der Auftragsverarbeiter gewährleistet durch technische und organisatorische Maßnahmen, dass personenbezogene Daten und Inhalte des Verantwortlichen zu keinem Zeitpunkt in gemeinsame oder zentralisierte Trainingsdatenpools, Modellarchitekturen oder Datenbanken einfließen.

Zulässige Nutzung technischer Metadaten
Unberührt von den vorstehenden Regelungen bleibt die Nutzung von vollständig anonymisierten und aggregierten technischen Metadaten, die keinen Personenbezug aufweisen und keine Rückschlüsse auf Inhalte oder einzelne betroffene Personen zulassen. Diese dürfen ausschließlich für folgende Zwecke verwendet werden:

• Erstellung anonymisierter, aggregierter Statistiken zur Systemnutzung
• Erkennung und Abwehr von Sicherheitsbedrohungen, Betrug und Missbrauch (Security & Fraud Prevention)
• Analyse und Behebung von Fehlern zur Gewährleistung der Systemstabilität
• Allgemeine Performance-Optimierung und Kapazitätsplanung der Infrastruktur

Der Auftragsverarbeiter stellt sicher, dass bei der Erstellung solcher Metadaten keine personenbezogenen Daten oder inhaltliche Informationen des Verantwortlichen verarbeitet werden und eine Re-Identifizierung ausgeschlossen ist.

Die Verpflichtungen dieses Abschnitts gelten auch nach Beendigung des Vertragsverhältnisses fort.

Änderungen

Änderungen des Verarbeitungsgegenstandes sind gemeinsam zwischen Verantwortlichem und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

II. Verarbeitungsort

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung (schriftlich oder per E-Mail) des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln und ggf. zusätzliche Garantien, genehmigte Verhaltensregeln).

III. Dauer der Verarbeitung

Allgemein

Die Dauer dieses Vertrags entspricht der Laufzeit des jeweiligen Hauptvertrags.

Sonderregelung

Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet (einschließlich Backups).

Sonderkündigungsrecht

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert.

Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

IV. Art der Verarbeitung

Die Art der Verarbeitung kann sowohl eine als auch alle der folgenden Verarbeitungen umfassen:

• das Erheben und das Erfassen
• die Organisation und das Ordnen
• die Speicherung, die Anpassung oder Veränderung
• das Auslesen, Abfragen
• Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung
• den Abgleich oder die Verknüpfung
• die Einschränkung, das Löschen oder die Vernichtung

V. Kategorien betroffener Personen

Es werden personenbezogene Daten der folgenden Kategorien der betroffenen Personen verarbeitet:

• Beschäftigte des Verantwortlichen

VI. Art der personenbezogenen Daten

Es werden die folgenden personenbezogenen Daten verarbeitet:

VII. Pflichten und Rechte des Verantwortlichen

Allgemein

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO, sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Verantwortliche verantwortlich.

Mitteilungspflichten

Der Verantwortliche hat die Pflicht, den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn im Hinblick auf die Verarbeitung oder bezüglich datenschutzrechtlicher Bestimmungen, Fehler, Störungen oder sonstige Unregelmäßigkeiten festgestellt werden.

VIII. Weisungsrecht des Verantwortlichen

Allgemein

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Verantwortliche entscheidet allein und ausschließlich über die Zwecke und Mittel der Verarbeitung der Auftragsdaten. Der Auftragsverarbeiter darf die Auftragsdaten nur nach dokumentierter Weisung des Verantwortlichen verarbeiten, es sei denn, der Auftragsverarbeiter ist gesetzlich zur Verarbeitung dieser Daten verpflichtet.

Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre nach Ablauf des Kalenderjahres aufzubewahren.

Weisungsberechtigte und Weisungsempfänger

Die Weisungsberechtigten des Verantwortlichen und die Weisungsempfänger des Auftragsverarbeiters sind in einer separaten Tabelle aufgeführt.

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

Bestimmtheit und Form der Weisung

Weisungen sind bestimmt zu erteilen (Gebot der Weisungsklarheit). Weisungen können schriftlich, in Textform oder in Eilfällen auch mündlich erteilt werden.

Mündliche Weisungen muss der Verantwortliche unverzüglich schriftlich oder in Textform bestätigen.

Benachrichtigung bei Rechtswidrigkeit

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung sei rechtswidrig. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

Auftragsfremde Weisungen

Über die Ausführung von Weisungen des Verantwortlichen, die über den in dieser Vereinbarung geregelten Vertragsgegenstand hinausgehen, entscheidet der Auftragsverarbeiter. Der Auftragsverarbeiter kann in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

Regress

Sollte der Auftragsverarbeiter infolge der Umsetzung einer rechtswidrigen Weisung einem begründeten Haftungsanspruch ausgesetzt sein, kann er sich insoweit beim Verantwortlichen schadlos halten.

Verfahrensänderungen

Verfahrensänderungen sind gemeinsam zwischen Verantwortlichen und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

IX. Gewährleistung der Verpflichtung zur Vertraulichkeit

Daten- und Fernmeldegeheimnis
Jede bei dem Auftragsverarbeiter unterstellte Person, die Zugang zu Auftragsdaten hat, ist zur Vertraulichkeit verpflichtet, insbesondere gemäß den Bestimmungen der Art. 5 Abs. 1 f), Art. 28 Abs. 3 b), Art. 29 und Art. 32 Abs. 4 DSGVO sowie des § 3 TDDDG.

Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung dieser Vereinbarung fort.

Unterweisung
Der Auftragsverarbeiter stellt durch geeignete Maßnahmen, wie insbesondere regelmäßige Schulungen zum Datenschutz, sicher, dass die ihm unterstellten und zur Verarbeitung von Auftragsdaten befugten Personen mit den einschlägigen Bestimmungen zum Datengeheimnis und Fernmeldegeheimnis vertraut sind.

X. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragsverarbeiter zu dokumentieren sind, ist der Verantwortliche unverzüglich in Kenntnis zu setzen.

Die Übersicht über die wesentlichen technischen und organisatorischen Maßnahmen ist separat geführt.

XI. Bedingungen für die Inanspruchnahme von weiteren Auftragsverarbeitern

Begriff des Unterauftragsverarbeiters
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter in Anspruch nimmt, sofern und soweit ein Zugriff auf vertragsgegenständliche personenbezogene Daten ausgeschlossen ist. Ebenso wenig stellen grundsätzliche Telekommunikationsleistungen, Post- und Transportdienstleistungen eine Auftrags- bzw. Unterauftragsverarbeitung dar. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Sicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Voraussetzungen der Zulässigkeit der Beauftragung
Der Verantwortliche erteilt hiermit dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter mit einer Ankündigungsfrist von einem (1) Monat zu informieren. Der Verantwortliche hat seinen Einspruch gegen die Änderung innerhalb eines (1) Monats nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung des Auftragsverarbeiters nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Verantwortlichen innerhalb von einem (1) Monat nach Zugang des Einspruchs kündigen.

Datenschutzniveau des Unterauftragsverarbeiters
Jeder Unterauftragsverarbeiter ist verpflichtet, sich vor Beginn der Verarbeitungstätigkeiten dazu zu verpflichten, dieselben Datenschutzverpflichtungen einzuhalten, wie in dieser Vereinbarung vereinbart, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Der Unterauftragsverarbeitungsvertrag muss zumindest das nach diesem Vertrag erforderliche Datenschutzniveau gewährleisten. Jeder Unterauftragsverarbeiter muss sich insbesondere dazu verpflichten, die vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DS-GVO einzuhalten und dem Auftragsverarbeiter eine Liste der umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung zu stellen, die dem Verantwortlichen auf Verlangen zur Verfügung gestellt wird. Die Maßnahmen des Unterauftragsverarbeiters können von dem zwischen Verantwortlichen und Auftragsverarbeiter Vereinbarten abweichen, dürfen jedoch nicht unter das Datenschutzniveau fallen, welches durch die Maßnahmen vom Auftragsverarbeiter gewährleistet wird. Weigert sich ein Unterauftragsverarbeiter, sich denselben datenschutzrechtlichen Pflichten zu unterwerfen, wie sie in dieser Vereinbarung niedergelegt sind, so bedarf der Einsatz dieses Unterauftragsverarbeiters der Zustimmung des Verantwortlichen, wobei diese Zustimmung nicht unbilligerweise verweigert werden darf. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters gemäß Art. 28 Abs. 4 DSGVO. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des Verantwortlichen, die Beschäftigung des Unterauftragsverarbeiters ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Unterauftragsverarbeiter zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

Datenschutzniveau des Unterauftragsverarbeiters im Drittstaat
Für den Fall, dass ein Unterauftragsverarbeiter in einem Drittstaat ansässig ist, welcher gemäß Art. 45 DSGVO kein angemessenes Datenschutzniveau bietet, wird der Auftragsverarbeiter diesem Umstand ausreichend Rechnung tragen. Der Auftragsverarbeiter wird mit diesem Unterauftragsverarbeiter entsprechende Standarddatenschutzklauseln für den Drittlandstransfer abschließen (DURCHFÜHRUNGS-BESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates). In diesem Zusammenhang ist den Auswirkungen des Urteils Schrems-II des EuGH Rechnung zu tragen und gegebenenfalls zusätzliche Garantien zur Sicherung der Daten durch den Auftragsverarbeiter vorzunehmen oder mit dem Unterauftragsverarbeiter zu vereinbaren.

Die aktuelle Auflistung eingesetzter Unterauftragsverarbeiter wird in einer separaten Tabelle geführt.

XII. Unterstützung bei Betroffenenanfragen

Allgemeines
Der Auftragsverarbeiter unterstützt den Verantwortlichen in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technischer und organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte.

Dokumentation
Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken.

Informationspflicht
Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

Bearbeitung der Betroffenenrechte durch den Auftragsverarbeiter
Die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität können nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sichergestellt werden. Sofern die damit verbundenen Maßnahmen die zumutbare Unterstützung des Auftragsverarbeiters übersteigen, kann der Auftragsverarbeiter in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

XIII. Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO

Einhaltung der Pflichten aus Art. 32 DSGVO (TOM)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und insbesondere den Schutz vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung oder unbefugter Offenlegung von oder unbefugtem Zugang zu den übertragenen, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten gewährleisten.

Einhaltung der Pflichten aus Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 24 Stunden, nachdem ihm die Verletzung bekannt wurde. Die Risikoabwägung gemäß Art. 33 Abs. 1 DSGVO, ob eine Meldung an die Aufsichtsbehörde erforderlich ist, obliegt ausschließlich dem Verantwortlichen.

Einhaltung der Pflichten aus Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten, wenn diese Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Einhaltung der Pflichten aus Art. 35 DSGVO (Datenschutz-Folgenabschätzung)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde, sofern eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte.

Einhaltung der Pflichten aus Art. 36 DSGVO (Vorherige Konsultation)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der vorherigen Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

XIV. Löschung und Rückgabe der Daten

Löschung nach Vertragsende
Der Auftragsverarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten und vorhandenen Kopien, es sei denn, nach dem Unionsrecht oder dem Recht der Mitgliedstaaten ist eine Speicherung der personenbezogenen Daten erforderlich.

Rückgabe auf Weisung
Auf dokumentierte Weisung des Verantwortlichen gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück oder löscht sie und vernichtet vorhandene Kopien, es sei denn, nach dem Unionsrecht oder dem Recht der Mitgliedstaaten ist eine Speicherung erforderlich.

Nachweis der Löschung
Der Auftragsverarbeiter stellt dem Verantwortlichen einen Nachweis über die ordnungsgemäße Löschung oder Rückgabe zur Verfügung.

XV. Kontrollrechte des Verantwortlichen

Konkrete Durchführung
Der Verantwortliche kann sich grundsätzlich jederzeit im Wege einer Überprüfung bzw. Inspektion der Einhaltung der gesetzlichen und in diesem Vertrag übernommenen Verpflichtungen des Auftragsverarbeiters überzeugen.

Diese Überprüfungen bzw. Inspektionen finden im Geschäftsbetrieb des Auftragsverarbeiters zu den üblichen Geschäftszeiten statt.

Der Verantwortliche muss, um den regulären Geschäftsbetrieb des Auftragsverarbeiters nicht zu beeinträchtigen, dem Auftragsverarbeiter die Überprüfungen bzw. Inspektionen in schriftlicher oder elektronischer Form mit einer angemessenen Vorlaufzeit ankündigen. Die angemessene Vorlaufzeit beträgt i.d.R. einen (1) Monat.

Häufigkeit der Überprüfungen
Überprüfungen bzw. Inspektionen vor Ort dürfen grundsätzlich maximal einmal pro Kalenderjahr durchgeführt werden. Bei Vorliegen eines besonderen Anlasses, wie beispielsweise einem Sicherheitsvorfall oder einer Datenschutzverletzung, sind zusätzliche Überprüfungen zulässig.

Nachweis durch Zertifikate und Berichte
Der Verantwortliche erkennt an, dass aktuelle Zertifizierungen (z.B. ISO 27001) sowie unabhängige Prüfberichte (z.B. Penetrationstest-Reports, SOC-2-Berichte) geeignete Nachweise für die Einhaltung der technischen und organisatorischen Maßnahmen darstellen. Diese Nachweise sind einer persönlichen Vor-Ort-Kontrolle vorzuziehen, sofern sie die relevanten Prüfungsgegenstände abdecken.

Remote- und Desk-Audits
Sofern keine ausreichenden Zertifizierungen oder Prüfberichte vorliegen, kann der Verantwortliche die Überprüfung zunächst in Form eines Remote- oder Desk-Audits durchführen. Dabei erfolgt die Prüfung auf Basis von Dokumenteneinsicht, Interviews per Videokonferenz sowie der Bereitstellung von Screenshots oder Bildschirmfreigaben durch den Auftragsverarbeiter. Remote- und Desk-Audits sind einer Vor-Ort-Inspektion vorzuziehen, sofern die Prüfungsziele auf diese Weise erreicht werden können.

Durchführende Personen
Der Verantwortliche kann die Überprüfungen selbst durchführen oder durch von ihm zu benennende, auf Vertraulichkeit zu verpflichtende, Dritte auf seine Kosten durchführen lassen.

Der Verantwortliche muss die Legitimation der mit der Überprüfung betrauten Personen oder Dritte gewährleisten.

Dritte in diesem Sinne dürfen keine Vertreter von Wettbewerbern des Auftragsverarbeiters oder der mit dem Auftragsverarbeiter verbundenen Unternehmen sein. Der Auftragsverarbeiter kann der Überprüfung durch einen externen Prüfer widersprechen, wenn der vom Verantwortlichen ausgewählte Prüfer in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht.

Kostenregelung
Grundsätzlich trägt jede Partei die ihr im Zusammenhang mit Überprüfungen und Inspektionen entstehenden Kosten selbst. Soweit dem Auftragsverarbeiter durch Überprüfungen des Verantwortlichen jedoch ein unverhältnismäßiger oder über das übliche Maß hinausgehender Aufwand entsteht (z.B. durch besonders umfangreiche oder zeitintensive Prüfungen), ist der Verantwortliche verpflichtet, dem Auftragsverarbeiter diese zusätzlichen Kosten auf Nachweis zu erstatten. Der Auftragsverarbeiter wird den Verantwortlichen vorab auf einen zu erwartenden erhöhten Aufwand hinweisen.

Gemeinsame Audits (Pooling)
Der Auftragsverarbeiter kann dem Verantwortlichen die Teilnahme an gemeinsamen Audits mit anderen Verantwortlichen anbieten, sofern dies organisatorisch möglich ist und die Vertraulichkeitsinteressen aller Beteiligten gewahrt bleiben. Die Teilnahme an einem solchen gemeinsamen Audit gilt als Erfüllung des jährlichen Kontrollrechts des Verantwortlichen.

Dokumentation
Die Überprüfungen / Inspektionen, sowie deren Ergebnisse sind zu dokumentieren.

Die Dokumentation der Überprüfungen / Inspektionen ist für die Geltungsdauer dieses Vertrages und anschließend noch für drei volle Kalenderjahre nach Ablauf des Kalenderjahres aufzubewahren.

Vertraulichkeit der Prüfungsergebnisse
Der Verantwortliche ist verpflichtet, sämtliche im Rahmen von Überprüfungen und Inspektionen erlangten Informationen über die technischen und organisatorischen Maßnahmen, Sicherheitskonzepte sowie sonstige Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters streng vertraulich zu behandeln. Eine Weitergabe an Dritte – mit Ausnahme der zuständigen Aufsichtsbehörden im Rahmen ihrer gesetzlichen Befugnisse – ist nur mit vorheriger schriftlicher Zustimmung des Auftragsverarbeiters zulässig. Diese Vertraulichkeitspflicht gilt auch nach Beendigung des Vertragsverhältnisses fort.

Anpassungen
Soweit die Überprüfung / Inspektion des Auftragsverarbeiters durch den Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

XVI. Mitteilungspflichten

Störungen und Datenschutzverletzungen
Der Auftragsverarbeiter teilt Störungen unverzüglich mit, die erhebliche Auswirkungen auf die Verarbeitung der personenbezogenen Daten des Verantwortlichen haben können. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten.

Behördliche Maßnahmen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen der Aufsichtsbehörde oder anderer Dritter, soweit sie sich auf den Auftrag beziehen.

Verdacht auf Datenschutzverstöße
Bei Verdacht auf Verstöße gegen datenschutzrechtliche Bestimmungen im Zusammenhang mit den Auftragsdaten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich.

XVII. Haftung und Schadensersatz

Haftung nach DSGVO
Jede Partei, die durch eine Verarbeitung einen Schaden erlitten hat, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter für den erlittenen Schaden gemäß Art. 82 DSGVO.

Gesamtschuldnerische Haftung
Sind sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 4 des Art. 82 DSGVO für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder von ihnen für den gesamten Schaden, um einen wirksamen Schadensersatz für die betroffene Person sicherzustellen.

Regress
Hat ein Verantwortlicher oder ein Auftragsverarbeiter gemäß Absatz 5 des Art. 82 DSGVO vollständigen Schadensersatz für den erlittenen Schaden gezahlt, so ist diese Partei berechtigt, von den übrigen an derselben Verarbeitung beteiligten Verantwortlichen oder Auftragsverarbeitern den Teil des Schadensersatzes zurückzufordern, der entsprechend den in Absatz 2 des Art. 82 DSGVO festgelegten Bedingungen ihrer Verantwortung für den Schaden entspricht.

XVIII. Schlussbestimmungen

Änderungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder einer dokumentierten elektronischen Form.

Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame und durchführbare Bestimmung zu ersetzen, die dem Zweck der unwirksamen oder undurchführbaren Bestimmung möglichst nahe kommt.

Anwendbares Recht und Gerichtsstand
Auf diese Vereinbarung findet deutsches Recht Anwendung. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Verantwortlicher:

Datum: _________________

_________________________

Max Mustermann

Auftragsverarbeiter:

Datum: 14.01.2026

Sebastian Gesellensetter

Visionary Data GmbH