Auftragsverarbeitungsvertrag

Anwendungsbereich

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch die Kotao GmbH („Auftragsverarbeiter”) im Auftrag des Kunden („Verantwortlicher”) gemäß Art. 28 DSGVO. Er gilt ergänzend zu den Allgemeinen Geschäftsbedingungen.

Gegenstand und Dauer

Gegenstand der Verarbeitung ist der Betrieb der Kotao-Plattform im Auftrag des Verantwortlichen. Die Dauer der Verarbeitung entspricht der Laufzeit des zugrundeliegenden Abonnementvertrags.

Art, Zweck und Kategorien

• Art und Zweck: Betrieb der Kotao-Plattform und der vom Verantwortlichen ausgewählten Module.
• Kategorien betroffener Personen: Endkundinnen und Endkunden, Mitarbeitende und Geschäftspartner des Verantwortlichen.
• Kategorien personenbezogener Daten: Kontaktdaten, Transaktionsdaten, Termindaten sowie optionale Zahlungs-Metadaten.

Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Infrastruktur- und Speicheranbieter — globale Rechenzentrumsdienste mit Datenresidenz-Kontrollen.
• Anbieter für Edge-Sicherheit und Auslieferung — globale Standorte, soweit erforderlich abgesichert durch Standardvertragsklauseln.
• Zertifizierte Zahlungsdienstleister — Zahlungsabwicklung, EWR.

Der Auftragsverarbeiter wird den Verantwortlichen mindestens 30 Tage im Voraus über geplante Änderungen der Unterauftragsverarbeiterliste informieren. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. Kommt keine Einigung zustande, kann jede Partei die betroffenen Dienste kündigen.

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter unterhält technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, einschließlich Verschlüsselung im Ruhezustand und während der Übertragung, rollenbasierter Zugriffskontrollen, Audit-Logs, regelmäßiger Schwachstellenscans und Penetrationstests.

Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Betroffenenanfragen innerhalb von fünf Werktagen, einschließlich Datenexport und Unterstützung bei Löschung oder Berichtigung.

Internationale Datentransfers

Personenbezogene Daten werden im EWR verarbeitet. Soweit Übermittlungen außerhalb des EWR unvermeidbar sind, erfolgen diese auf Grundlage der Standardvertragsklauseln (Modul 3 Verantwortlicher-zu-Auftragsverarbeiter und Modul 4 Auftragsverarbeiter-zu-Verantwortlicher, soweit anwendbar).

Audits

Der Verantwortliche kann die Einhaltung dieses Vertrags einmal pro Kalenderjahr nach angemessener Vorankündigung prüfen lassen. Sobald verfügbar, kann der SOC-2-Type-II-Bericht des Auftragsverarbeiters alternativ zu einer Vor-Ort-Prüfung bereitgestellt werden.

Beendigung

Nach Beendigung des zugrundeliegenden Vertrags wird der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich und spätestens innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.