Skip to main content

RECHTLICHES

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert:

Anwendungsbereich

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch die Kotao GmbH („Auftragsverarbeiter”) im Auftrag des Kunden („Verantwortlicher”) gemäß Art. 28 DSGVO. Er gilt ergänzend zu den Allgemeinen Geschäftsbedingungen und zu Bestellformularen oder Leistungsbeschreibungen, die die erworbenen Kotao-Dienste beschreiben.

Widersprechen sich dieser AVV, die Allgemeinen Geschäftsbedingungen, ein Bestellformular oder ein sonstiges kaufmännisches Dokument, hat dieser AVV für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen Vorrang. Zwingende Standardvertragsklauseln gehen nach ihrer eigenen Vorrangklausel entgegenstehenden Regelungen vor.

Gegenstand und Dauer

Gegenstand der Verarbeitung ist der Betrieb der Kotao-Plattform im Auftrag des Verantwortlichen. Die Dauer der Verarbeitung entspricht der Laufzeit des zugrundeliegenden Abonnementvertrags.

Art, Zweck und Kategorien

  • Art und Zweck: Betrieb der Kotao-Plattform und der vom Verantwortlichen ausgewählten Module.
  • Kategorien betroffener Personen: Endkundinnen und Endkunden, Mitarbeitende und Geschäftspartner des Verantwortlichen.
  • Kategorien personenbezogener Daten: Kontaktdaten, Transaktionsdaten, Termindaten sowie optionale Zahlungs-Metadaten.

Weisungen zur Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen, einschließlich Weisungen zu Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Verarbeitung ohne solche Weisung verlangt. Soweit eine solche gesetzliche Pflicht besteht, informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern das Recht die Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn nach seiner Auffassung eine Weisung gegen die DSGVO oder gegen andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt und damit rechtswidrig sein kann.

Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zugriff erhalten nur Mitarbeitende und Dienstleister, die ihn zur Erbringung der Kotao-Dienste benötigen.

Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Kotao-Dienste, vorbehaltlich des nachstehenden Informations- und Widerspruchsverfahrens. Die namentlichen Unterauftragsverarbeiter, einschließlich Cloudflare, Neon, Kotao-Payments-Zahlungsabwickler, Resend, Amazon SES, PostHog, Sentry und OpenAI, mit Zweck, Verarbeitungsregion, Drittlandbasis und Versionierung, sind unter Unterauftragsverarbeiter veröffentlicht. Die veröffentlichte Liste ist Bestandteil dieses AVV für Zwecke von Art. 28 Abs. 2 und Art. 28 Abs. 4 DSGVO.

Der Auftragsverarbeiter wird den Verantwortlichen mindestens 30 Tage im Voraus über geplante Änderungen der Unterauftragsverarbeiterliste informieren. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. Kommt keine Einigung zustande, kann jede Partei die betroffenen Dienste kündigen.

Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich oder durch ein anderes bindendes Rechtsinstrument auf dieselben Datenschutzpflichten, die in diesem AVV festgelegt sind. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters verantwortlich.

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter unterhält technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, einschließlich Verschlüsselung im Ruhezustand und während der Übertragung, rollenbasierter Zugriffskontrollen, Audit-Logs, regelmäßiger Schwachstellenscans und Penetrationstests. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen bei dessen Pflichten nach Art. 32 DSGVO.

Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Betroffenenanfragen innerhalb von fünf Werktagen, einschließlich Datenexport und Unterstützung bei Löschung oder Berichtigung.

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen leistet der Auftragsverarbeiter außerdem angemessene Unterstützung bei Benachrichtigungen betroffener Personen nach Art. 34 DSGVO, Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und vorherigen Konsultationen mit Aufsichtsbehörden nach Art. 36 DSGVO.

Internationale Datentransfers

Personenbezogene Daten werden primär im EWR verarbeitet. Soweit für die Dienste eine beschränkte Übermittlung vom Verantwortlichen an den Auftragsverarbeiter erforderlich ist, stützen sich die Parteien auf die Standardvertragsklauseln der Europäischen Kommission nach Beschluss (EU) 2021/914, Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter), sofern kein Angemessenheitsbeschluss oder ein anderer wirksamer Übermittlungsmechanismus greift. Für Weiterübermittlungen an Unterauftragsverarbeiter nutzt der Auftragsverarbeiter das jeweils passende SCC-Modul, einen Angemessenheitsbeschluss, eine Data-Privacy-Framework-Zertifizierung oder einen anderen gültigen Übermittlungsmechanismus, der auf der Seite Unterauftragsverarbeiter benannt ist.

Audits

Der Auftragsverarbeiter stellt alle Informationen bereit, die zum Nachweis der Einhaltung dieses AVV und von Art. 28 DSGVO erforderlich sind. Der Verantwortliche kann die Einhaltung dieses Vertrags einmal pro Kalenderjahr nach angemessener Vorankündigung prüfen lassen; der Auftragsverarbeiter wird zu Audits beitragen, einschließlich Inspektionen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer.

Audits sind während der üblichen Geschäftszeiten durchzuführen, dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen und müssen Vertraulichkeit, Sicherheit und Verfügbarkeit der Daten anderer Kunden wahren. Sobald verfügbar, kann der SOC-2-Type-II-Bericht des Auftragsverarbeiters als Nachweis für die darin abgedeckten Kontrollen bereitgestellt werden, ohne die gesetzlichen Audit-Rechte des Verantwortlichen einzuschränken.

Beendigung

Nach Beendigung des zugrundeliegenden Vertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Vorhandene Kopien werden gelöscht, sofern das Recht der Union oder eines Mitgliedstaats keine Speicherung verlangt.

Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich und spätestens innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

Vorrang bei Widersprüchen

Dieser AVV hat Vorrang vor entgegenstehenden kaufmännischen Regelungen für jede Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen. Verlangt zwingendes Datenschutzrecht oder verlangen anwendbare Standardvertragsklauseln strengere Pflichten, gelten diese strengeren Pflichten.