Ailio|Trust Center

I. Gegenstand der Verarbeitung

Verarbeitungsgegenstand und Zwecke

Verarbeitungsort

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung (schriftlich oder per E-Mail) des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln und ggf. zusätzliche Garantien, genehmigte Verhaltensregeln).

Änderungen

Änderungen des Verarbeitungsgegenstandes sind gemeinsam zwischen Verantwortlicher und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

II. Dauer der Verarbeitung

Allgemein

Die Dauer dieses Vertrags entspricht der Laufzeit des jeweiligen Hauptvertrags.

Sonderregelung

Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet (einschließlich Backups).

Sonderkündigungsrecht

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert.

Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

III. Art der Verarbeitung

Die Art der Verarbeitung kann sowohl eine als auch alle der folgenden Verarbeitungen umfassen:

• das Erheben und das Erfassen
• die Organisation und das Ordnen
• die Speicherung, die Anpassung oder Veränderung
• das Auslesen, Abfragen
• Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung
• den Abgleich oder Verknüpfung
• die Einschränkung, das Löschen oder die Vernichtung

IV. Art der personenbezogenen Daten

Es werden die folgenden personenbezogenen Daten verarbeitet:

V. Kategorien betroffener Personen

Es werden personenbezogene Daten der folgenden Kategorien der betroffenen Personen verarbeitet:

• Kunden des Verantwortlichen
• Beschäftigte des Verantwortlichen

VI. Pflichten und Rechte des Verantwortlichen

Allgemein

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO, sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Verantwortliche verantwortlich.

Mitteilungspflichten

Der Verantwortliche hat die Pflicht den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn im Hinblick auf die Verarbeitung, bezüglich datenschutzrechtlicher Bestimmungen, auf die Verarbeitung, bezüglich datenschutzrechtlicher Bestimmungen, Fehler, Störungen oder sonstige Unregelmäßigkeiten festgestellt werden.

VII. Weisungsrecht des Verantwortlichen

Dokumentierte Weisung

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Verantwortliche entscheidet allein und ausschließlich über die Zwecke und Mittel der Verarbeitung der Auftragsdaten. Der Auftragsverarbeiter darf die Auftragsdaten nur nach dokumentierter Weisung des Verantwortlichen verarbeiten, es sei denn, der Auftragsverarbeiter ist gesetzlich zur Verarbeitung dieser Daten verpflichtet.

Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre nach Ablauf des Kalenderjahres aufzubewahren.

Weisungsberechtigte und Weisungsempfänger

Die Weisungsberechtigten des Verantwortlichen und die Weisungsempfänger des Auftragsverarbeiters sind in der Anlage 3 aufgeführt.

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

Bestimmtheit und Form der Weisung

Weisungen sind bestimmt zu erteilen (Gebot der Weisungsklarheit). Weisungen können schriftlich, in Textform oder in Eilfällen auch mündlich erteilt werden.

Mündliche Weisungen muss der Verantwortliche unverzüglich schriftlich oder in Textform bestätigen.

Benachrichtigung bei Rechtswidrigkeit

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung sei rechtswidrig. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

Auftragsfremde Weisungen

Über die Ausführung von Weisungen des Verantwortlichen, die über die in dieser Vereinbarung geregelten Vertragsgegenstand hinausgehen, entscheidet der Auftragsverarbeiter. Der Auftragsverarbeiter kann in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

Regress

Sollte der Auftragsverarbeiter infolge der Umsetzung einer rechtswidrigen Weisung einem begründeten Haftungsanspruch ausgesetzt sein, kann er sich insoweit beim Verantwortlichen schadlos halten.

Verfahrensänderungen

Verfahrensänderungen sind gemeinsam zwischen Verantwortlichen und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

VIII. Gewährleistung der Verpflichtung zur Vertraulichkeit

Daten- und Fernmeldegeheimnis

Jede bei dem Auftragsverarbeiter unterstellte Person, die Zugang zu Auftragsdaten hat, ist zur Vertraulichkeit verpflichtet, insbesondere gemäß den Bestimmungen der Art. 5 Abs. 1 f), Art. 28 Abs. 3 b), Art. 29 und Art. 32 Abs. 4 DSGVO sowie des § 3 TDDDG.

Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung dieser Vereinbarung fort.

Unterweisung

Der Auftragsverarbeiter stellt durch geeignete Maßnahmen, wie insbesondere regelmäßige Schulungen zum Datenschutz, sicher, dass die ihm unterstellten und zur Verarbeitung von Auftragsdaten befugten Personen mit den einschlägigen Bestimmungen zum Datengeheimnis und Fernmeldegeheimnis vertraut sind.

IX. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter ergreift in seinem Verantwortungsbereich alle erforderlichen technischen und organisatorische Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten.

Zutrittskontrolle zu Räumlichkeiten und Einrichtungen

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. Hierfür setzt der Auftragsverarbeiter folgende Maßnahmen ein:

• Dokumentation der Vergabe von Schlüsseln
• Rückgabe von Schüsseln nach Austritt von Mitarbeitern
• Verwendung sicherer Türen und Fenster

Zugangs- und Zugriffskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungssysteme (IT-Systeme) ist zu verhindern. Ebenso sind Tätigkeiten in Datenverarbeitungssystemen (IT-Systemen) außerhalb eingeräumter Berechtigungen sowie unerlaubte Zugriffe auf das System von außen zu verhindern. Hierfür setzt der Auftragsverarbeiter folgende Maßnahmen ein:

• Anwendung von Maßnahmen zur Verschlüsselung von lokalen Daten (z. B. Festplatten, Server)
• Verwendung personalisierter Logins im Unternehmensnetzwerk
• Verwendung sicherer und individueller Passwörter
• Zwei-Faktor-Authentifizierung
• Benutzer- und Rollenkonzepten für interne Systeme
• Sperrung von Zugängen nach Austritt von Mitarbeitern

Eingabekontrolle

Die nachträgliche Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) werden, ist zu gewährleisten. Diesbezüglich setzt der Auftragsverarbeiter folgende Maßnahmen ein:

• Individuelle Zugänge für interne Systeme
• Protokollierung von Zugriffen im Firmennetzwerk
• Verwendung personalisierter Logins im Unternehmensnetzwerk

Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt. Diesbezüglich setzt der Auftragsverarbeiter folgende Maßnahmen ein:

• Abschluss von AV-Verträgen mit Dienstleistern, Partnern und Kunden
• Auswahl geeigneter Dienstleister und Partner unter Datenschutzaspekten
• Benennung eines Datenschutzbeauftragten
• Beratung/Aufklärung der Kunden zum Thema Datenschutz
• Kommunikation von Verhaltensrichtlinien zum Thema Datenschutz an alle Mitarbeiter

Getrennte Verarbeitung von Daten/Trennungskontrolle

Die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten Verarbeitung der Daten unterschiedlicher Auftraggeber sind zu gewährleisten. Diesbezüglich trifft der Auftragsverarbeiter folgende Maßnahmen:

• Zugriffsberechtigungen für interne Systeme
• Trennung von internem WLAN und Gäste-WLAN
• Trennung von Live- und Entwicklungssystemen
• Verbot der Nutzung von privaten Endgeräten im Firmennetzwerk
• Trennung von Kontaktdaten und weiteren nutzerbezogenen Daten
• Trennung von Kundenstammdaten und Auftragsdaten

Weitergabekontrolle

Aspekte der Weitergabe personenbezogener Daten sind zu regeln (elektronische Übertragung, Datentransport, Übermittlungskontrolle usw.), um einen Verlust, eine Veränderung oder eine unbefugte Veröffentlichung zu verhindern. Maßnahmen zu Transport, Übertragung, Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie zur nachträglichen Überprüfung sind zu treffen. Diesbezüglich trifft der Auftragsverarbeiter folgende Maßnahmen:

• Sicherung von Dokumenten beim Versand auf dem Postweg (z. B. undurchsichtige Versandhüllen)
• Verschlüsselter Versand von E-Mails
• Verwendung von VPN-Systemen zum Login in das Firmennetzwerk

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Die Daten sind gegen zufällige Zerstörung und Verlust zu schützen. Diesbezüglich trifft der Auftragsverarbeiter folgende Maßnahmen:

• Erstellung von Code-Dokumentationen in der Entwicklung
• Klimatisierung von Räumen mit kritischer IT-Infrastruktur
• Nutzung von Testverfahren (z. B. Unittests) in der Entwicklung
• Nutzung einer Versionskontrolle (z. B. Gitlab) in der Entwicklung
• Regelmäßige Durchführung von Datensicherungen
• Regelmäßige Durchführung von Updates
• Regelmäßige Überprüfung der erstellten Datensicherungen
• Verwendung einer Firewall
• Verwendung eines Virenscanners
• Verwendung von RAID-Systemen (z. B. für lokale File- und Entwicklungsserver)
• Sichere Entsorgung defekter/nicht mehr benötigter Hardware
• Sichere Entsorgung von Dokumenten (z. B. Aktenvernichter)
• Zuteilung von datenschutzrelevanten Verantwortungsbereichen

Wirksamkeitskontrolle

Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen funktionieren. Diesbezüglich trifft der Auftragsverarbeiter folgende Maßnahmen:

• Dokumentation von datenschutzrelevanten Zwischenfällen
• Durchführung von Penetrationstests
• Durchführung von Security-Audits durch externe Sachverständige

X. Bedingungen für die Inanspruchnahmen von weiteren Auftragsverarbeitern

Begriff des Unterauftragsverarbeiters

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter in Anspruch nimmt, sofern und soweit ein Zugriff auf vertragsgegenständliche personenbezogenen Daten ausgeschlossen ist. Ebenso wenig stellen grundsätzliche Telekommunikationsleistungen, Post- und Transportdienstleistungen eine Auftrags- bzw. Unterauftragsverarbeitung dar.

Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Sicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Voraussetzungen der Zulässigkeit der Beauftragung

Allgemein

Der Verantwortliche erteilt hiermit dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.

Der Auftragsverarbeiter ist verpflichtet den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter mit einer Ankündigungsfrist von einem (1) Monat zu informieren.

Der Verantwortliche hat seinen Einspruch gegen die Änderung innerhalb eines (1) Monats nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung des Auftragsverarbeiters nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Verantwortlichen innerhalb von einem (1) Monat nach Zugang des Einspruchs kündigen.

Datenschutzniveau des Unterauftragsverarbeiters

Jeder Unterauftragsverarbeiter ist verpflichtet, sich vor Beginn der Verarbeitungstätigkeiten dazu zu verpflichten, dieselben Datenschutzverpflichtungen einzuhalten, wie in dieser Vereinbarung vereinbart, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Der Unterauftragsverarbeitungsvertrag muss zumindest das nach diesem Vertrag erforderliche Datenschutzniveau gewährleisten. Jeder Unterauftragsverarbeiter muss sich insbesondere dazu verpflichten, die vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DS-GVO einzuhalten und dem Auftragsverarbeiter eine Liste der umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung zu stellen, die dem Verantwortlichen auf Verlangen zur Verfügung gestellt wird. Die Maßnahmen des Unterauftragsverarbeiters können von dem zwischen Verantwortlichen und Auftragsverarbeiter Vereinbarten abweichen, dürfen jedoch nicht unter das Datenschutzniveau fallen, welches durch die Maßnahmen vom Auftragsverarbeiter gewährleistet wird. Weigert sich ein Unterauftragsverarbeiter, sich denselben datenschutzrechtlichen Pflichten zu unterwerfen, wie sie in dieser Vereinbarung niedergelegt sind, kann der Verantwortliche dem zustimmen, wobei diese Zustimmung nicht unbilliger Weise verweigert werden darf.

Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters gemäß Art. 28. Abs. 4 DSGVO.

Der Auftragsverarbeiter hat in diesem Falle auf Verlangen der Verantwortlichen die Beschäftigung des Unterauftragsverarbeiters ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Unterauftragsverarbeiter zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

Unterauftragsverarbeiter in Drittstaaten

Für den Fall, dass ein Unterauftragsverarbeiter in keinem Drittstaat ansässig ist, welcher gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau bietet, wird der Auftragsverarbeiter diesem Umstand ausreichend Rechnung tragen. Der Auftragsverarbeiter wird mit diesem Unterauftragsverarbeiter entsprechende Standarddatenschutzklauseln für den Drittlandstransfer abschließen (DURCHFÜHRUNGS-BESCHLUSS (EU) 2021/914 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates).

In diesem Zusammenhang ist den Auswirkungen des Urteils Schrems-II des EuGH Rechnung zu tragen und gegebenenfalls zusätzliche Garantien zur Sicherung der Daten durch den Auftragsverarbeiter vorzunehmen oder mit dem Unterauftragnehmer zu vereinbaren.

Gegenwärtige Unterauftragsverarbeiter

Sämtliche zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 1 zu diesem Vertrag aufgeführt.

Die Zustimmung des Verantwortlichen zu den dort aufgeführten Unterauftragsverarbeitern gilt mit dem Abschluss dieses Vertrags als erteilt.

XI. Unterstützung bei Betroffenenanfragen

Allgemein

Der Auftragsverarbeiter unterstützt den Verantwortlichen in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technischer und organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte.

Dokumentation

Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken.

Informationspflicht

Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

Bearbeitung der Betroffenenrechte durch den Auftragsverarbeiter

Die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität können nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sichergestellt werden.

Sofern die damit verbundenen Maßnahmen die zumutbare Unterstützung des Auftragsverarbeiters übersteigen, kann der Auftragsverarbeiter in diesem Fall, nach vorheriger Absprache und vorheriger Zustimmung des Verantwortlichen, eine gesonderte Vergütung beanspruchen.

XII. Unterstützung des Verantwortlichen

Einhaltung der Pflichten aus Art.32 DSGVO (TOM)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.

XIII. Abschluss der Erbringung der Verarbeitungsleistungen

Allgemein

Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragsverarbeiter nach Wahl des Verantwortlichen entweder alle personenbezogenen Daten zu löschen oder dem Verantwortlichen zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Löschung

Die Löschung hat so zu erfolgen, dass die personenbezogenen Daten nicht wiederhergestellt werden können.

Dokumentation

Der Auftragsverarbeiter hat die Löschung zu dokumentieren und dem Verantwortlichen auf Verlangen nachzuweisen.

XIV. Zurverfügungstellung aller zum Nachweis erforderlicher Informationen

Allgemein

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der in diesem Vertrag festgelegten Pflichten zur Verfügung.

XV. Ermöglichung von Überprüfungen

Allgemein

Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses Vertrages durch den Auftragsverarbeiter jederzeit zu überprüfen.

Prüfungen vor Ort

Der Verantwortliche ist berechtigt, die Datenverarbeitung des Auftragsverarbeiters, die erforderlich sind, um die Einhaltung dieses Vertrages zu überprüfen, einschließlich der getroffenen technischen und organisatorischen Maßnahmen, nach vorheriger Anmeldung und während der üblichen Geschäftszeiten des Auftragsverarbeiters selbst oder durch einen von ihm beauftragten Dritten zu überprüfen.

Prüfung durch Dritte

Der Auftragsverarbeiter kann die Überprüfung durch den Verantwortlichen ablehnen, wenn der Auftragsverarbeiter die Überprüfung durch einen unabhängigen Dritten (z. B. Wirtschaftsprüfer, Rechtsanwalt, Datenschutzbeauftragter) ermöglicht, der zur Berufsverschwiegenheit verpflichtet ist und der dem Verantwortlichen ein Prüfergebnis vorlegt, das die Einhaltung der Bestimmungen dieses Vertrages nachweist.

Kosten

Die Kosten der Überprüfung trägt der Verantwortliche, es sei denn, die Überprüfung ergibt, dass der Auftragsverarbeiter gegen Bestimmungen dieses Vertrages verstoßen hat. In diesem Fall trägt der Auftragsverarbeiter die Kosten der Überprüfung.

XVI. Schlussbestimmungen

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Anstelle der unwirksamen Bestimmung tritt eine solche, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Anwendbares Recht

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

Gerichtsstand

Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Verantwortlichen.