VERTRAG ÜBER AUFTRAGSVERARBEITUNGIM SINNE VON ART. 28 ABS. 3 DSGVOStand: Mai 2026
[Company]
[Address]
nachfolgend „Auftraggeber“
und
Iurii Zhileikin
Gollanczstr. 27b
13465 Berlin
nachfolgend „Iurii Zhileikin“
1. Allgemeine Bestimmungen und Vertragsgegenstand
1.1. Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch Iurii Zhileikin (Art. 28 DSGVO). Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber.
1.2. Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind Anlage 1 zu entnehmen.
1.3. Die Verarbeitung der Daten durch Iurii Zhileikin findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung oder nach vorheriger Weisung des Auftraggebers.
2. Vertragslaufzeit und Kündigung
Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Sofern und soweit nach Beendigung dieses Vertrags die in Anlage 1 beschriebenen Daten weiterhin verarbeitet werden, gilt dieser Vertrag für diese Verarbeitungen bis zur Beendigung der Verarbeitung fort.
3. Weisungen des Auftraggebers
3.1. Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. Iurii Zhileikin zu. Iurii Zhileikin informiert den Auftraggeber unverzüglich, falls Iurii Zhileikin der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit Iurii Zhileikin aus objektiv nachvollziehbaren Gründen anzweifelt, ist Iurii Zhileikin berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass Iurii Zhileikin durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird oder ihm sonstige Schäden drohen, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis – oder bis zu einer Einräumung sonstiger angemessener Sicherheiten durch den Auftraggeber zur Abwendung von Schäden von Iurii Zhileikin – ausgesetzt werden.
3.2. Eine von den Weisungen oder ohne Weisungen des Auftraggebers abweichende Verarbeitung ist nur zulässig, wenn Iurii Zhileikin nach dem Recht der Europäischen Union oder der Mitgliedstaaten dem der Auftragsverarbeiter unterliegt zur Datenverarbeitung verpflichtet ist. Im Falle einer solchen Verarbeitung, informiert Iurii Zhileikin den Auftraggeber unverzüglich über beabsichtigte oder bereits eingeleitete Verarbeitung, sei denn, dass das betreffende Recht der Europäischen Union oder des Mitgliedstaates eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses verbietet; in diesem Fall erfolgt die Mitteilung unverzüglich, sobald die rechtlichen Hindernisse nicht mehr bestehen.
3.3. Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine Weisung in Textform erfolgen konnte. Der Auftraggeber hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu dokumentieren.
3.4. Der Auftraggeber benennt auf Verlangen von Iurii Zhileikin eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind Iurii Zhileikin unverzüglich mitzuteilen.
4. Kontrollbefugnisse des Auftraggebers
4.1. Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig, im erforderlichen Umfang, zu kontrollieren. Iurii Zhileikin hat diese Überprüfungen – einschließlich Inspektionen – die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.
4.2. Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und nicht zu einer übermäßigen Beeinträchtigung des Geschäftsbetriebs führen. In der Regel soll eine Prüfung nur nach vorheriger Anmeldung erfolgen, es sei denn, die vorherige Anmeldung würde den Kontrollzweck gefährden. Wenn der Auftraggeber einen Prüfer bestellt, darf dieser nicht im unmittelbaren Wettbewerbsverhältnis zu Iurii Zhileikin stehen.
4.3. Die Ergebnisse der Kontrollen sind vom Auftraggeber in geeigneter Weise zu protokollieren.
4.4. Iurii Zhileikin verpflichtet sich, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Verpflichtungen zur Verfügung zu stellen.
5. Allgemeine Pflichten von Iurii Zhileikin
5.1. Die Verarbeitung der vertragsgegenständlichen Daten durch Iurii Zhileikin erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur zulässig, wenn Iurii Zhileikin nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Datenverarbeitung verpflichtet ist. Im Falle einer solchen Verarbeitung, informiert Iurii Zhileikin den Auftraggeber unverzüglich über beabsichtigte oder bereits eingeleitete Verarbeitung, es sei denn, dass das betreffende Recht der Europäischen Union oder des Mitgliedstaates eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses verbietet; in diesem Fall erfolgt die Mitteilung unverzüglich, sobald die rechtlichen Hindernisse nicht mehr bestehen.
5.2. Die Verarbeitung personenbezogener Daten durch KI-Dienste erfolgt ausschließlich innerhalb auftragsgemäßen Leistungserbringung und auf Basis dokumentierter Weisungen. KI-gestützte Verarbeitungen werden systemseitig protokolliert und sind auf die jeweiligen Zweckbestimmungen beschränkt.
5.3. Iurii Zhileikin hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
6. Technische und organisatorische Maßnahmen
6.1. Iurii Zhileikin hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt. Iurii Zhileikin wird die technischen und organisatorischen Maßnahmen regelmäßig und anlassbezogen überprüfen und anpassen.
6.2. Die technischen und organisatorischen Maßnahmen umfassen im Besonderen Vorkehrungen zur Absicherung von KI-gestützten Systemprozessen sowie eine sichere Trennung und Dokumentation aller Daten- und Zugriffswege zwischen den Produktsegmenten. Die Überprüfung und Anpassung der Maßnahmen erfolgt auch unter Berücksichtigung technischer und regulatorischer KI-Standards.
7. Unterstützungspflichten von Iurii Zhileikin
7.1. Iurii Zhileikin verpflichtet sich gem. Art. 28 Abs. 3 lit. e DSGVO, den Auftraggeber unter Berücksichtigung der Art der Vereinbarung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III, Art. 12 – 22 DSGVO genannten Rechte der betroffenen Personen, nachzukommen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten.
7.2. Iurii Zhileikin wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32-36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Iurii Zhileikin zur Verfügung stehen.
7.3. Der Auftragsverarbeiter unterstützt den Auftraggeber auch bei datenschutzrechtlichen Fragestellungen und eventuellen Anfragen von Betroffenen im Zusammenhang mit KI-gestützten Datenverarbeitungen, insbesondere hinsichtlich Transparenz und Nachvollziehbarkeit automatisierter Prozesse.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)
8.1. Iurii Zhileikin ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse von Iurii Zhileikin sind diesem Vertrag abschließend in Anlage 3 beigefügt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Abschluss dieses Vertrags als erteilt.
8.2. Beabsichtigt Iurii Zhileikin den Einsatz weiterer Subunternehmer, wird Iurii Zhileikin dies dem Auftraggeber rechtzeitig - spätestens jedoch zwei Wochen - vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des/der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des/der Subunternehmer(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann Iurii Zhileikin die Anzeige- und Widerspruchsfrist für Subunternehmer angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur bei Vorliegen eines sachlichen Grundes zulässig, der der Widerspruchsbenachrichtigung beizulegen ist.
8.3. Subunternehmer werden von Iurii Zhileikin unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen Auftragsverarbeiter (Iurii Zhileikin) und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Nebenleistungen, welche Iurii Zhileikin zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen sowie sonstige Maßnahmen, welche die Vertraulichkeit und/oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Iurii Zhileikin wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen. Für die in Anlage 3 aufgeführten Subunternehmer mit Drittstaatenbezug gilt die Zustimmung des Auftraggebers mit Abschluss dieses Vertrags als erteilt.
8.4. Unterauftragsverarbeitung im Rahmen von KI-gestützten Systemelementen ist nur zulässig, wenn der Subunternehmer nachweislich über entsprechende technische und datenschutzrechtliche Standards für den sicheren KI-Betrieb verfügt.
8.5. Sämtliche Verträge zwischen Iurii Zhileikin und dem Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.
8.6. Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.
9. Mitteilungspflichten von Iurii Zhileikin
9.1. Verstöße gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Iurii Zhileikin selbst, einer bei Iurii Zhileikin angestellten Person, einem Subunternehmer oder einer sonstigen Person, die Iurii Zhileikin zur Erfüllung vertraglicher Pflichten eingesetzt hat, begangen wurde.
9.2. Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter Iurii Zhileikin um Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung, wird Iurii Zhileikin die Anfrage unverzüglich an den Auftraggeber weiterleiten und das weitere Vorgehen mit ihm abstimmen.
9.3. Iurii Zhileikin wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat Iurii Zhileikin den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
9.4. Im Falle von Vorfällen im Zusammenhang mit KI-gestützten Datenverarbeitungen verpflichtet sich der Auftragsverarbeiter insbesondere, unverzüglich über Auffälligkeiten, Fehlfunktionen der KI-Algorithmen oder etwaige sicherheitsrelevante Anomalien zu informieren.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
10.1. Iurii Zhileikin verpflichtet sich, nach Abschluss der Erbringung der Verarbeitungsleistungen alle vertragsgegenständlichen personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückgeben und die vorhandenen Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
10.2. Mit Beendigung des Vertrags ist sicherzustellen, dass alle in KI-Systemen auftragsgemäß verarbeitete personenbezogene Daten sowie ggf. temporäre Verarbeitungsstände, ebenfalls gelöscht oder auf Wunsch des Auftraggebers ausgehändigt werden, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht.
11. Datengeheimnis und Vertraulichkeit
11.1. Iurii Zhileikin ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. Iurii Zhileikin hat hierbei insbesondere durch geeignete Maßnahmen dafür zu sorgen, dass die ihm überlassenen auftragsgegenständlichen Daten nicht gegenüber unbefugten Dritten offengelegt werden; innerhalb seines Betriebs hat er durch geeignete Maßnahmen dafür zu sorgen, dass die vertragsgegenständlichen Daten nur denjenigen Personen gegenüber offengelegt werden, die die Daten zur Erfüllung ihrer Aufgaben benötigen (Need-to-Know-Prinzip). Iurii Zhileikin verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit bei Iurii Zhileikin aufnehmen.
11.2. Dies gilt gleichermaßen für alle System- und KI-bezogenen Auswertungen, Modelle, Konfigurationen, Trainingsdaten und Resultate, sofern sie Rückschlüsse auf enthaltene personenbezogene Daten zulassen könnten.
12. Haftung
12.1. Iurii Zhileikin haftet ggü. dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung/Maßnahme in Folge einer Weisung des Auftraggebers durchgeführt wurde. Das gleiche gilt für Maßnahmen, die mit dem Auftraggeber abgestimmt wurden (z.B. TOMs nach Art. 32 DSGVO). Als Abstimmung gilt es auch, wenn eine Regelung in diesem Vertrag auf Verlangen des Auftraggebers eingefügt wurde.
12.2. Der Auftraggeber hat dafür zu sorgen, dass die originäre Erhebung der im Auftrag verarbeiteten Daten rechtmäßig erfolgt. Insbesondere hat er die ggf. erforderlichen Einwilligungen vollständig und korrekt einzuholen. Sofern Iurii Zhileikin im Außenverhältnis wegen eines Verstoßes gegen diese Pflicht in Anspruch genommen wird, haftet der Auftraggeber Iurii Zhileikin gegenüber im Innenverhältnis und stellt Iurii Zhileikin vom ggf. entstandenen Schaden frei.
12.3. Soweit im Rahmen der Verarbeitung KI-Module eingesetzt werden, schuldet der Auftragsverarbeiter keine bestimmte inhaltliche Richtigkeit einzelner Verarbeitungsergebnisse, sondern eine Verarbeitung nach dem vereinbarten Leistungsumfang und unter Beachtung des Stands der Technik.
12.4. Im Übrigen bleiben die gesetzlichen Haftungsregelungen (insb. Art. 82 DSGVO) unberührt.
13. Schlussbestimmungen
13.1. Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
13.2. Sind die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist der Sitz von Iurii Zhileikin Gerichtsstand für alle Streitigkeiten aus diesem Vertrag; ausschließliche Gerichtsstände bleiben hiervon unberührt.
13.3. Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
13.4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
13.5. Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
13.6. Der Vertrag kann auch im Rahmen des Registrierungsprozesses in elektronischer Form geschlossen werden. Der Vertrag kommt zustande, wenn der Auftraggeber den AVV in der jeweils geltenden Fassung durch ausdrückliche Bestätigung im Registrierungsprozess akzeptiert.
Unterschrift (Auftraggeber) ________ Ort, Datum ________
Unterschrift (Iurii Zhileikin) ________ Ort, Datum ________
________________
Anlage 1 – AuftragsdetailsDie konkreten Datenarten hängen im Übrigen vom Inhalt der durch den Auftraggeber bereitgestellten Unterlagen und Eingaben ab.
Leistungen
(1) Leistungen, bei denen Daten im Auftrag verarbeitet werden:
(2) Verarbeitete Datenarten:
(3) Betroffene Personenkategorien:
1) Bereitstellung und Betrieb der webbasierten Plattform
2) Stammdaten, Kontaktdaten, Zugangsdaten, Nutzungsdaten
3) Nutzer und Ansprechpartner des Auftraggebers
1) Benutzerverwaltung und Authentifizierung
2) Name, E-Mail-Adresse, Login-Daten, Rollen- und Berechtigungsdaten
3) Nutzer und Mitarbeiter des Auftraggebers
1) Speicherung und Verwaltung von projektbezogenen Unterlagen und Eingaben
2) Inhaltsdaten aus hochgeladenen Dokumenten, Texteingaben, projektbezogene Daten
3) Nutzer des Auftraggebers, Mitarbeiter des Auftraggebers, Personen, deren Daten in den hochgeladenen Unterlagen enthalten sind
1) Automatisierte bzw. softwaregestützte Auswertung der vom Auftraggeber bereitgestellten Inhalte
2) Inhaltsdaten aus Dokumenten und Texteingaben sowie daraus erzeugte Ergebnisdaten
3) Nutzer des Auftraggebers, Mitarbeiter des Auftraggebers, Personen, deren Daten in den hochgeladenen Unterlagen enthalten sind
1) Technische Protokollierung und Systemsicherheit
2) IP-Adresse, Zeitstempel, Log-Daten, Browser-/Systeminformationen
3) Nutzer und Mitarbeiter des Auftraggebers
1) Support und Bearbeitung von Anfragen
2) Kontaktdaten, Kommunikationsdaten, Inhaltsdaten aus Supportanfragen
3) Nutzer und Ansprechpartner des Auftraggebers
________________
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVOIurii Zhileikin setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
1. Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)
Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert:
* Manuelles Schließsystem / Türschlösser
2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)
Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:
* Passwortvergabe
* Passwort-Richtlinien (Mindestlänge, Komplexität etc.)
* Erstellen von Benutzerprofilen in den IT-Systemen
* Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
* Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
* Verwaltung der Berechtigungen durch Systemadministratoren
* Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
* regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
* Einsatz von Anti-Viren-Software
* Einsatz einer Software-Firewall
* Festplattenverschlüsselung
* Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
* Verschlüsselung externer Datenträger (externe Festplatten, USB-Sticks etc.)
* Verschlüsselung der Datensicherungssysteme
3. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)
Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):
* Protokollierung der Aktionen einzelner Nutzer
4. Sichere Löschung von Daten
Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:
* Löschkonzept
5. Datenschutz bei den Subunternehmern des Auftragsverarbeiters
Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:
* Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit)
* Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer
6. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:
* Verschlüsselung physischer Datenträger beim Transport
7. Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)
Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind:
* Backup- & Wiederherstellungskonzept
* Testen der Datenwiederherstellung
8. Sonstige Datenschutzmaßnahmen
Folgende weitere Datenschutzmaßnahmen wurden implementiert:
* Logische Mandantentrennung (softwareseitig)
* Trennung von Produktiv- und Testsystem
9. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
________________
Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses(Unternehmens-) Name und Anschrift:
Ionos SE, Elgendorfer Str. 57, 56410 Montabaur
Beschreibung der Leistung:
Versand transaktionaler E-Mails / Server-Infrastruktur / Datenspeicherung
Land der Leistungserbringung:
Deutschland
(Unternehmens-) Name und Anschrift:
All-inkl.de - Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf
Beschreibung der Leistung:
Hosting / Server-Infrastruktur / Datenspeicherung
Land der Leistungserbringung:
Deutschland
(Unternehmens-) Name und Anschrift:
Stripe Payments Europe, Ltd.,1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Beschreibung der Leistung:
Bezahlung, Abo, Rechnungen
Land der Leistungserbringung:
Deutschland, USA
(Unternehmens-) Name und Anschrift:
OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland
Beschreibung der Leistung:
KI-gestützte Analyse von Texteingaben und Dokumentinhalten
Land der Leistungserbringung:
USA
[Company]
[Address]
nachfolgend „Auftraggeber“
und
Iurii Zhileikin
Gollanczstr. 27b
13465 Berlin
nachfolgend „Iurii Zhileikin“
1. Allgemeine Bestimmungen und Vertragsgegenstand
1.1. Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch Iurii Zhileikin (Art. 28 DSGVO). Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber.1.2. Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind Anlage 1 zu entnehmen.
1.3. Die Verarbeitung der Daten durch Iurii Zhileikin findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung oder nach vorheriger Weisung des Auftraggebers.
2. Vertragslaufzeit und Kündigung
Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Sofern und soweit nach Beendigung dieses Vertrags die in Anlage 1 beschriebenen Daten weiterhin verarbeitet werden, gilt dieser Vertrag für diese Verarbeitungen bis zur Beendigung der Verarbeitung fort.3. Weisungen des Auftraggebers
3.1. Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. Iurii Zhileikin zu. Iurii Zhileikin informiert den Auftraggeber unverzüglich, falls Iurii Zhileikin der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit Iurii Zhileikin aus objektiv nachvollziehbaren Gründen anzweifelt, ist Iurii Zhileikin berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass Iurii Zhileikin durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird oder ihm sonstige Schäden drohen, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis – oder bis zu einer Einräumung sonstiger angemessener Sicherheiten durch den Auftraggeber zur Abwendung von Schäden von Iurii Zhileikin – ausgesetzt werden.3.2. Eine von den Weisungen oder ohne Weisungen des Auftraggebers abweichende Verarbeitung ist nur zulässig, wenn Iurii Zhileikin nach dem Recht der Europäischen Union oder der Mitgliedstaaten dem der Auftragsverarbeiter unterliegt zur Datenverarbeitung verpflichtet ist. Im Falle einer solchen Verarbeitung, informiert Iurii Zhileikin den Auftraggeber unverzüglich über beabsichtigte oder bereits eingeleitete Verarbeitung, sei denn, dass das betreffende Recht der Europäischen Union oder des Mitgliedstaates eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses verbietet; in diesem Fall erfolgt die Mitteilung unverzüglich, sobald die rechtlichen Hindernisse nicht mehr bestehen.
3.3. Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine Weisung in Textform erfolgen konnte. Der Auftraggeber hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu dokumentieren.
3.4. Der Auftraggeber benennt auf Verlangen von Iurii Zhileikin eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind Iurii Zhileikin unverzüglich mitzuteilen.
4. Kontrollbefugnisse des Auftraggebers
4.1. Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig, im erforderlichen Umfang, zu kontrollieren. Iurii Zhileikin hat diese Überprüfungen – einschließlich Inspektionen – die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.4.2. Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und nicht zu einer übermäßigen Beeinträchtigung des Geschäftsbetriebs führen. In der Regel soll eine Prüfung nur nach vorheriger Anmeldung erfolgen, es sei denn, die vorherige Anmeldung würde den Kontrollzweck gefährden. Wenn der Auftraggeber einen Prüfer bestellt, darf dieser nicht im unmittelbaren Wettbewerbsverhältnis zu Iurii Zhileikin stehen.
4.3. Die Ergebnisse der Kontrollen sind vom Auftraggeber in geeigneter Weise zu protokollieren.
4.4. Iurii Zhileikin verpflichtet sich, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Verpflichtungen zur Verfügung zu stellen.
5. Allgemeine Pflichten von Iurii Zhileikin
5.1. Die Verarbeitung der vertragsgegenständlichen Daten durch Iurii Zhileikin erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur zulässig, wenn Iurii Zhileikin nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Datenverarbeitung verpflichtet ist. Im Falle einer solchen Verarbeitung, informiert Iurii Zhileikin den Auftraggeber unverzüglich über beabsichtigte oder bereits eingeleitete Verarbeitung, es sei denn, dass das betreffende Recht der Europäischen Union oder des Mitgliedstaates eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses verbietet; in diesem Fall erfolgt die Mitteilung unverzüglich, sobald die rechtlichen Hindernisse nicht mehr bestehen.5.2. Die Verarbeitung personenbezogener Daten durch KI-Dienste erfolgt ausschließlich innerhalb auftragsgemäßen Leistungserbringung und auf Basis dokumentierter Weisungen. KI-gestützte Verarbeitungen werden systemseitig protokolliert und sind auf die jeweiligen Zweckbestimmungen beschränkt.
5.3. Iurii Zhileikin hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
6. Technische und organisatorische Maßnahmen
6.1. Iurii Zhileikin hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt. Iurii Zhileikin wird die technischen und organisatorischen Maßnahmen regelmäßig und anlassbezogen überprüfen und anpassen.6.2. Die technischen und organisatorischen Maßnahmen umfassen im Besonderen Vorkehrungen zur Absicherung von KI-gestützten Systemprozessen sowie eine sichere Trennung und Dokumentation aller Daten- und Zugriffswege zwischen den Produktsegmenten. Die Überprüfung und Anpassung der Maßnahmen erfolgt auch unter Berücksichtigung technischer und regulatorischer KI-Standards.
7. Unterstützungspflichten von Iurii Zhileikin
7.1. Iurii Zhileikin verpflichtet sich gem. Art. 28 Abs. 3 lit. e DSGVO, den Auftraggeber unter Berücksichtigung der Art der Vereinbarung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III, Art. 12 – 22 DSGVO genannten Rechte der betroffenen Personen, nachzukommen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten.7.2. Iurii Zhileikin wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32-36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Iurii Zhileikin zur Verfügung stehen.
7.3. Der Auftragsverarbeiter unterstützt den Auftraggeber auch bei datenschutzrechtlichen Fragestellungen und eventuellen Anfragen von Betroffenen im Zusammenhang mit KI-gestützten Datenverarbeitungen, insbesondere hinsichtlich Transparenz und Nachvollziehbarkeit automatisierter Prozesse.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)
8.1. Iurii Zhileikin ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse von Iurii Zhileikin sind diesem Vertrag abschließend in Anlage 3 beigefügt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Abschluss dieses Vertrags als erteilt.8.2. Beabsichtigt Iurii Zhileikin den Einsatz weiterer Subunternehmer, wird Iurii Zhileikin dies dem Auftraggeber rechtzeitig - spätestens jedoch zwei Wochen - vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des/der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des/der Subunternehmer(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann Iurii Zhileikin die Anzeige- und Widerspruchsfrist für Subunternehmer angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur bei Vorliegen eines sachlichen Grundes zulässig, der der Widerspruchsbenachrichtigung beizulegen ist.
8.3. Subunternehmer werden von Iurii Zhileikin unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen Auftragsverarbeiter (Iurii Zhileikin) und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Nebenleistungen, welche Iurii Zhileikin zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen sowie sonstige Maßnahmen, welche die Vertraulichkeit und/oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Iurii Zhileikin wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen. Für die in Anlage 3 aufgeführten Subunternehmer mit Drittstaatenbezug gilt die Zustimmung des Auftraggebers mit Abschluss dieses Vertrags als erteilt.
8.4. Unterauftragsverarbeitung im Rahmen von KI-gestützten Systemelementen ist nur zulässig, wenn der Subunternehmer nachweislich über entsprechende technische und datenschutzrechtliche Standards für den sicheren KI-Betrieb verfügt.
8.5. Sämtliche Verträge zwischen Iurii Zhileikin und dem Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.
8.6. Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.
9. Mitteilungspflichten von Iurii Zhileikin
9.1. Verstöße gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Iurii Zhileikin selbst, einer bei Iurii Zhileikin angestellten Person, einem Subunternehmer oder einer sonstigen Person, die Iurii Zhileikin zur Erfüllung vertraglicher Pflichten eingesetzt hat, begangen wurde.9.2. Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter Iurii Zhileikin um Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung, wird Iurii Zhileikin die Anfrage unverzüglich an den Auftraggeber weiterleiten und das weitere Vorgehen mit ihm abstimmen.
9.3. Iurii Zhileikin wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat Iurii Zhileikin den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
9.4. Im Falle von Vorfällen im Zusammenhang mit KI-gestützten Datenverarbeitungen verpflichtet sich der Auftragsverarbeiter insbesondere, unverzüglich über Auffälligkeiten, Fehlfunktionen der KI-Algorithmen oder etwaige sicherheitsrelevante Anomalien zu informieren.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
10.1. Iurii Zhileikin verpflichtet sich, nach Abschluss der Erbringung der Verarbeitungsleistungen alle vertragsgegenständlichen personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückgeben und die vorhandenen Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.10.2. Mit Beendigung des Vertrags ist sicherzustellen, dass alle in KI-Systemen auftragsgemäß verarbeitete personenbezogene Daten sowie ggf. temporäre Verarbeitungsstände, ebenfalls gelöscht oder auf Wunsch des Auftraggebers ausgehändigt werden, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht.
11. Datengeheimnis und Vertraulichkeit
11.1. Iurii Zhileikin ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. Iurii Zhileikin hat hierbei insbesondere durch geeignete Maßnahmen dafür zu sorgen, dass die ihm überlassenen auftragsgegenständlichen Daten nicht gegenüber unbefugten Dritten offengelegt werden; innerhalb seines Betriebs hat er durch geeignete Maßnahmen dafür zu sorgen, dass die vertragsgegenständlichen Daten nur denjenigen Personen gegenüber offengelegt werden, die die Daten zur Erfüllung ihrer Aufgaben benötigen (Need-to-Know-Prinzip). Iurii Zhileikin verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit bei Iurii Zhileikin aufnehmen.11.2. Dies gilt gleichermaßen für alle System- und KI-bezogenen Auswertungen, Modelle, Konfigurationen, Trainingsdaten und Resultate, sofern sie Rückschlüsse auf enthaltene personenbezogene Daten zulassen könnten.
12. Haftung
12.1. Iurii Zhileikin haftet ggü. dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung/Maßnahme in Folge einer Weisung des Auftraggebers durchgeführt wurde. Das gleiche gilt für Maßnahmen, die mit dem Auftraggeber abgestimmt wurden (z.B. TOMs nach Art. 32 DSGVO). Als Abstimmung gilt es auch, wenn eine Regelung in diesem Vertrag auf Verlangen des Auftraggebers eingefügt wurde.12.2. Der Auftraggeber hat dafür zu sorgen, dass die originäre Erhebung der im Auftrag verarbeiteten Daten rechtmäßig erfolgt. Insbesondere hat er die ggf. erforderlichen Einwilligungen vollständig und korrekt einzuholen. Sofern Iurii Zhileikin im Außenverhältnis wegen eines Verstoßes gegen diese Pflicht in Anspruch genommen wird, haftet der Auftraggeber Iurii Zhileikin gegenüber im Innenverhältnis und stellt Iurii Zhileikin vom ggf. entstandenen Schaden frei.
12.3. Soweit im Rahmen der Verarbeitung KI-Module eingesetzt werden, schuldet der Auftragsverarbeiter keine bestimmte inhaltliche Richtigkeit einzelner Verarbeitungsergebnisse, sondern eine Verarbeitung nach dem vereinbarten Leistungsumfang und unter Beachtung des Stands der Technik.
12.4. Im Übrigen bleiben die gesetzlichen Haftungsregelungen (insb. Art. 82 DSGVO) unberührt.
13. Schlussbestimmungen
13.1. Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.13.2. Sind die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist der Sitz von Iurii Zhileikin Gerichtsstand für alle Streitigkeiten aus diesem Vertrag; ausschließliche Gerichtsstände bleiben hiervon unberührt.
13.3. Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
13.4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
13.5. Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
13.6. Der Vertrag kann auch im Rahmen des Registrierungsprozesses in elektronischer Form geschlossen werden. Der Vertrag kommt zustande, wenn der Auftraggeber den AVV in der jeweils geltenden Fassung durch ausdrückliche Bestätigung im Registrierungsprozess akzeptiert.
Unterschrift (Auftraggeber) ________ Ort, Datum ________
Unterschrift (Iurii Zhileikin) ________ Ort, Datum ________
________________
Anlage 1 – AuftragsdetailsDie konkreten Datenarten hängen im Übrigen vom Inhalt der durch den Auftraggeber bereitgestellten Unterlagen und Eingaben ab.
Leistungen
(1) Leistungen, bei denen Daten im Auftrag verarbeitet werden:
(2) Verarbeitete Datenarten:
(3) Betroffene Personenkategorien:
1) Bereitstellung und Betrieb der webbasierten Plattform
2) Stammdaten, Kontaktdaten, Zugangsdaten, Nutzungsdaten
3) Nutzer und Ansprechpartner des Auftraggebers
1) Benutzerverwaltung und Authentifizierung
2) Name, E-Mail-Adresse, Login-Daten, Rollen- und Berechtigungsdaten
3) Nutzer und Mitarbeiter des Auftraggebers
1) Speicherung und Verwaltung von projektbezogenen Unterlagen und Eingaben
2) Inhaltsdaten aus hochgeladenen Dokumenten, Texteingaben, projektbezogene Daten
3) Nutzer des Auftraggebers, Mitarbeiter des Auftraggebers, Personen, deren Daten in den hochgeladenen Unterlagen enthalten sind
1) Automatisierte bzw. softwaregestützte Auswertung der vom Auftraggeber bereitgestellten Inhalte
2) Inhaltsdaten aus Dokumenten und Texteingaben sowie daraus erzeugte Ergebnisdaten
3) Nutzer des Auftraggebers, Mitarbeiter des Auftraggebers, Personen, deren Daten in den hochgeladenen Unterlagen enthalten sind
1) Technische Protokollierung und Systemsicherheit
2) IP-Adresse, Zeitstempel, Log-Daten, Browser-/Systeminformationen
3) Nutzer und Mitarbeiter des Auftraggebers
1) Support und Bearbeitung von Anfragen
2) Kontaktdaten, Kommunikationsdaten, Inhaltsdaten aus Supportanfragen
3) Nutzer und Ansprechpartner des Auftraggebers
________________
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVOIurii Zhileikin setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
1. Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)
Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert:
* Manuelles Schließsystem / Türschlösser
2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)
Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:
* Passwortvergabe
* Passwort-Richtlinien (Mindestlänge, Komplexität etc.)
* Erstellen von Benutzerprofilen in den IT-Systemen
* Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
* Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
* Verwaltung der Berechtigungen durch Systemadministratoren
* Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
* regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
* Einsatz von Anti-Viren-Software
* Einsatz einer Software-Firewall
* Festplattenverschlüsselung
* Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
* Verschlüsselung externer Datenträger (externe Festplatten, USB-Sticks etc.)
* Verschlüsselung der Datensicherungssysteme
3. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)
Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):
* Protokollierung der Aktionen einzelner Nutzer
4. Sichere Löschung von Daten
Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:
* Löschkonzept
5. Datenschutz bei den Subunternehmern des Auftragsverarbeiters
Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:
* Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit)
* Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer
6. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:
* Verschlüsselung physischer Datenträger beim Transport
7. Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)
Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind:
* Backup- & Wiederherstellungskonzept
* Testen der Datenwiederherstellung
8. Sonstige Datenschutzmaßnahmen
Folgende weitere Datenschutzmaßnahmen wurden implementiert:
* Logische Mandantentrennung (softwareseitig)
* Trennung von Produktiv- und Testsystem
9. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
________________
Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses(Unternehmens-) Name und Anschrift:
Ionos SE, Elgendorfer Str. 57, 56410 Montabaur
Beschreibung der Leistung:
Versand transaktionaler E-Mails / Server-Infrastruktur / Datenspeicherung
Land der Leistungserbringung:
Deutschland
(Unternehmens-) Name und Anschrift:
All-inkl.de - Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf
Beschreibung der Leistung:
Hosting / Server-Infrastruktur / Datenspeicherung
Land der Leistungserbringung:
Deutschland
(Unternehmens-) Name und Anschrift:
Stripe Payments Europe, Ltd.,1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Beschreibung der Leistung:
Bezahlung, Abo, Rechnungen
Land der Leistungserbringung:
Deutschland, USA
(Unternehmens-) Name und Anschrift:
OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland
Beschreibung der Leistung:
KI-gestützte Analyse von Texteingaben und Dokumentinhalten
Land der Leistungserbringung:
USA
1. Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)
Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert:* Manuelles Schließsystem / Türschlösser
2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)
Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:* Passwortvergabe
* Passwort-Richtlinien (Mindestlänge, Komplexität etc.)
* Erstellen von Benutzerprofilen in den IT-Systemen
* Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
* Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
* Verwaltung der Berechtigungen durch Systemadministratoren
* Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
* regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
* Einsatz von Anti-Viren-Software
* Einsatz einer Software-Firewall
* Festplattenverschlüsselung
* Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
* Verschlüsselung externer Datenträger (externe Festplatten, USB-Sticks etc.)
* Verschlüsselung der Datensicherungssysteme
3. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)
Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):* Protokollierung der Aktionen einzelner Nutzer
4. Sichere Löschung von Daten
Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:* Löschkonzept
5. Datenschutz bei den Subunternehmern des Auftragsverarbeiters
Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:* Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit)
* Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer
6. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:* Verschlüsselung physischer Datenträger beim Transport
7. Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)
Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind:* Backup- & Wiederherstellungskonzept
* Testen der Datenwiederherstellung
8. Sonstige Datenschutzmaßnahmen
Folgende weitere Datenschutzmaßnahmen wurden implementiert:* Logische Mandantentrennung (softwareseitig)
* Trennung von Produktiv- und Testsystem
9. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.________________