Auftragsverarbeitungsvertrag (AV-Vertrag)

Auftragsverarbeitungsvertrag (AV-Vertrag)

Zwischen:

[Kundenname] , eingetragen unter den Gesetzen von [Land], mit Sitz in [Kundenadresse] (nachfolgend "Verantwortlicher" );

und

AACsearch , eingetragen unter den Gesetzen von [Land], mit Sitz in [AACsearch Adresse] (nachfolgend "Auftragsverarbeiter" ).

Jeweils eine "Partei" , gemeinsam die "Parteien" .

1. Begriffsbestimmungen

1.1 "Anwendbares Datenschutzrecht" bezeichnet (i) die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ("DSGVO" ); (ii) das Bundesdatenschutzgesetz (BDSG) und andere nationale Durchführungsvorschriften; sowie (iii) alle sonstigen anwendbaren Datenschutzgesetze oder -vorschriften.

1.2 "Verantwortlicher" bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

1.3 "Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person.

1.4 "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.

1.5 "Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.

1.6 "Verarbeitung" bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Änderung, Auslesen, Abfragen, Verwendung, Offenlegung, Verbreitung oder Löschung.

1.7 "Auftragsverarbeiter" bezeichnet eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1.8 "Unterauftragsverarbeiter" bezeichnet einen vom Auftragsverarbeiter beauftragten weiteren Verarbeiter.

1.9 "Aufsichtsbehörde" bezeichnet eine gemäß Artikel 51 DSGVO von einem EWR-Mitgliedstaat eingerichtete unabhängige Behörde.

1.10 "Standardvertragsklauseln (SCC)" bezeichnet die von der Europäischen Kommission erlassenen Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021.

2. Gegenstand und Dauer

2.1 Dieser Auftragsverarbeitungsvertrag ("AV-Vertrag" ) regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Zusammenhang mit der Such-as-a-Service-Plattform von AACsearch.

2.2 Dieser AV-Vertrag gilt für die Dauer des zugrunde liegenden Dienstleistungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter (der "Hauptvertrag" ), sofern er nicht gemäß Ziffer 13 vorzeitig beendet wird.

3. Verarbeitungsdetails

3.1 Art und Zweck der Verarbeitung: Der Auftragsverarbeiter stellt eine Search-as-a-Service-Plattform bereit, die vom Verantwortlichen übermittelte Daten indexiert, speichert und abrufbar macht, um Volltextsuche, facettierte Suche und verwandte Suchfunktionen in der Anwendung, Website oder den digitalen Angeboten des Verantwortlichen zu ermöglichen.

3.2 Kategorien personenbezogener Daten: Je nach Art der Nutzung des Dienstes durch den Verantwortlichen können verarbeitete personenbezogene Daten umfassen:

  • Namen

  • E-Mail-Adressen

  • IP-Adressen

  • Benutzer-IDs und Kontokennungen

  • Pseudonymisierte Benutzerprofile

  • Suchanfragen und Surfverhaltensdaten

  • Sonstige personenbezogene Daten, die der Verantwortliche zur Indexierung übermittelt

    3.3 Kategorien betroffener Personen: Betroffene Personen können sein:

  • Endnutzer der Anwendung oder Website des Verantwortlichen

  • Kunden, Klienten oder Besucher des Verantwortlichen

  • Mitarbeiter oder Auftragnehmer des Verantwortlichen

  • Sonstige Personen, deren personenbezogene Daten der Verantwortliche an den Dienst übermittelt

    3.4 Dauer der Verarbeitung: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Beendigung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten gemäß Ziffer 12 zurück.

4. Pflichten des Verantwortlichen

4.1 Der Verantwortliche versichert und garantiert, dass: (a) Er alle erforderlichen Einwilligungen eingeholt hat und über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach anwendbarem Datenschutzrecht verfügt; (b) Er alle erforderlichen Datenschutzerklärungen gegenüber betroffenen Personen abgegeben hat; (c) Er bei der Nutzung des Dienstes alle anwendbaren Datenschutzbestimmungen eingehalten hat und einhalten wird; (d) Er allein für die Richtigkeit, Qualität und Rechtmäßigkeit der an den Auftragsverarbeiter übermittelten personenbezogenen Daten verantwortlich ist.

4.2 Der Verantwortliche ist für die Beantwortung von Anfragen betroffener Personen verantwortlich, es sei denn, der Auftragsverarbeiter ist gesetzlich zur direkten Beantwortung verpflichtet.

5. Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine Rechtsvorschrift der Europäischen Union oder der Mitgliedstaaten etwas anderes vorschreibt.

5.2 Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

5.3 Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen gemäß Ziffer 7.

5.4 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung des Verantwortlichen gegen anwendbares Datenschutzrecht verstößt.

6. Unterauftragsverarbeitung

6.1 Allgemeine Genehmigung: Der Verantwortliche erteilt eine allgemeine Genehmigung für die Einbeziehung von Unterauftragsverarbeitern. Der Auftragsverarbeiter führt eine aktuelle Liste der Unterauftragsverarbeiter, die unter https://aacsearch.com/sub-processors oder in Anlage 1 zu diesem AV-Vertrag abrufbar ist.

6.2 Benachrichtigung über Änderungen: Der Auftragsverarbeiter informiert den Verantwortlichen mindestens [30] Tage im Voraus über beabsichtigte Änderungen der Unterauftragsverarbeiter.

6.3 Widerspruchsrecht: Der Verantwortliche kann aus berechtigten datenschutzrechtlichen Gründen Widerspruch einlegen. Wird keine Einigung erzielt, kann die betroffene Partei den Dienst kündigen.

6.4 Verpflichtungen: Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten. Kommt ein Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der Auftragsverarbeiter dem Verantwortlichen gegenüber uneingeschränkt.

7. Technische und organisatorische Maßnahmen (TOM)

7.1 Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Maßnahmen, darunter:

(a) Zugangskontrolle: Rollenbasierte Zugriffssteuerung, Multi-Faktor-Authentifizierung und Prinzip der geringsten Rechte.

(b) Verschlüsselung: Verschlüsselung personenbezogener Daten im Ruhezustand mittels AES-256 oder gleichwertig, sowie während der Übertragung mittels TLS 1.2 oder höher.

(c) Netzwerksicherheit: Firewalls, Angriffserkennungs-/Verhinderungssysteme, regelmäßige Schwachstellenscans.

(d) Physische Sicherheit: Beschränkter Zugang zu Rechenzentren mit 24/7-Überwachung, biometrischer Zugangskontrolle und Videoüberwachung.

(e) Geschäftskontinuität: Regelmäßige Backups, Notfallwiederherstellungsverfahren, Redundanz über [geografische Zonen].

(f) Softwaresicherheit: Sicherer Softwareentwicklungslebenszyklus (SDLC), regelmäßige Penetrationstests, Code-Reviews.

(g) Personalsicherheit: Hintergrundüberprüfungen, Vertraulichkeitsvereinbarungen, regelmäßige Datenschutzschulungen.

(h) Protokollierung: Umfassende Audit-Logs aller Zugriffe und Vorgänge mit personenbezogenen Daten, Aufbewahrung für [12] Monate.

7.2 Der Auftragsverarbeiter überprüft und bewertet die Wirksamkeit dieser Maßnahmen regelmäßig.

8. Meldung von Datenschutzverletzungen

8.1 Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich (innerhalb von [24] Stunden nach Kenntniserlangung) jede Verletzung des Schutzes personenbezogener Daten.

8.2 Die Meldung enthält mindestens: (a) Eine Beschreibung der Art der Verletzung; (b) Die Kategorien und ungefähre Anzahl betroffener Personen und Datensätze; (c) Kontaktdaten des Datenschutzbeauftragten; (d) Beschreibung der wahrscheinlichen Folgen und ergriffenen/vorgeschlagenen Maßnahmen.

9. Rechte betroffener Personen

9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

10. Datenübermittlungen in Drittländer

10.1 Bei Übermittlungen personenbezogener Daten aus dem Europäischen Wirtschaftsraum ("EWR" ) in ein Drittland ohne Angemessenheitsbeschluss gemäß Art. 45 DSGVO gelten die Standardvertragsklauseln (EU 2021/914), Modul Zwei und Drei, als einbezogen.

10.2 Der Verantwortliche ist der "Datenexporteur" , der Auftragsverarbeiter ist der "Datenimporteur" .

10.3 Bei Widersprüchen zwischen diesem AV-Vertrag und den SCC gehen die SCC vor.

11. Rechtsordnung und Gerichtsstand

11.1 Dieser AV-Vertrag unterliegt dem Recht von [Rechtsordnung], unter Ausschluss seines Kollisionsrechts.

11.2 Ausschließlicher Gerichtsstand ist [Gerichtsort].

12. Rückgabe und Löschung personenbezogener Daten

12.1 Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie auf Verlangen des Verantwortlichen innerhalb von [90] Tagen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

12.2 Die Löschung erfolgt gemäß NIST SP 800-88 oder gleichwertigen Standards.

13. Laufzeit und Kündigung

13.1 Dieser AV-Vertrag gilt ab Wirksamwerden des Hauptvertrags bis zur Beendigung sämtlicher Verarbeitungstätigkeiten gemäß Ziffer 12.

14. Haftung

14.1 Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags, soweit dieser AV-Vertrag keine spezifischen Regelungen enthält.

14.2 Die Haftung für Verstöße gegen anwendbares Datenschutzrecht ist nicht beschränkbar.

15. Prüfrechte

15.1 Der Verantwortliche kann nach [30] Tagen schriftlicher Ankündigung eine Prüfung durchführen, höchstens einmal jährlich, es sei denn, ein Datenschutzvorfall oder eine behördliche Untersuchung erfordert zusätzliche Prüfungen.

16. Schlussbestimmungen

16.1 Dieser AV-Vertrag stellt die vollständige Vereinbarung der Parteien dar.

16.2 Sollte eine Bestimmung unwirksam sein, bleiben die übrigen Bestimmungen in Kraft.

Anlage 1: Liste der Unterauftragsverarbeiter

| Name | Sitz | Verarbeitungstätigkeit | Rechenzentrumsstandort | | ---------------------------------- | ------------- | --------------------------------------- | ---------------------------------------------------- | | [Amazon Web Services (AWS)] | [AWS Adresse] | Cloud-Hosting, Speicher, Rechenleistung | [z. B. eu-central-1 (Frankfurt), eu-west-1 (Irland)] | | [Weitere Unterauftragsverarbeiter] | [Adresse] | [Tätigkeit] | [Standort] |

Aktuelle Liste unter: https://aacsearch.com/sub-processors

Anlage 2: Informationen zu SCC-Anhängen

A. Parteien

Datenexporteur (Verantwortlicher):

  • Name: [Kundenname]
  • Adresse: [Kundenadresse]
  • Kontakt: [Kunden-E-Mail]
  • Rolle: Verantwortlicher

Datenimporteur (Auftragsverarbeiter):

  • Name: AACsearch
  • Adresse: [AACsearch Adresse]
  • Kontakt: privacy@aacsearch.com
  • Rolle: Auftragsverarbeiter

B. Beschreibung der Übermittlung

  • Kategorien betroffener Personen: Gemäß Ziffer 3.3
  • Kategorien personenbezogener Daten: Gemäß Ziffer 3.2
  • Sensitive Daten: Keine (sofern nicht schriftlich vereinbart)
  • Häufigkeit: Kontinuierlich
  • Zweck: Search-as-a-Service-Plattform
  • Aufbewahrungsdauer: Dauer des Hauptvertrags zzgl. bis zu [90] Tage für Löschung

C. Zuständige Aufsichtsbehörde [Federführende Aufsichtsbehörde, z. B. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die zuständige Landesbehörde]

Anlage 3: Sicherheitsmaßnahmen (TOM)

Detaillierte Sicherheitsmaßnahmen sind in der Sicherheitsdokumentation unter https://aacsearch.com/security abrufbar. Eine Zusammenfassung enthält Ziffer 7 dieses AV-Vertrags.

Dieser Auftragsverarbeitungsvertrag ist eine rechtlich bindende Vereinbarung. Die Parteien bestätigen, dass sie die Bestimmungen gelesen und verstanden haben.