RECHTLICHES
Auftragsverarbeitungsvertrag
Zuletzt aktualisiert:
Anwendungsbereich
Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch die Kotao GmbH („Auftragsverarbeiter”) im Auftrag des Kunden („Verantwortlicher”) gemäß Art. 28 DSGVO. Er gilt ergänzend zu den Allgemeinen Geschäftsbedingungen und zu Bestellformularen oder Leistungsbeschreibungen, die die erworbenen Kotao-Dienste beschreiben.
Widersprechen sich dieser AVV, die Allgemeinen Geschäftsbedingungen, ein Bestellformular oder ein sonstiges kaufmännisches Dokument, hat dieser AVV für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen Vorrang. Zwingende Standardvertragsklauseln gehen nach ihrer eigenen Vorrangklausel entgegenstehenden Regelungen vor.
Gegenstand und Dauer
Gegenstand der Verarbeitung ist der Betrieb der Kotao-Plattform im Auftrag des Verantwortlichen. Die Dauer der Verarbeitung entspricht der Laufzeit des zugrundeliegenden Abonnementvertrags.
Art, Zweck und Kategorien
- Art und Zweck: Betrieb der Kotao-Plattform und der vom Verantwortlichen ausgewählten Module.
- Kategorien betroffener Personen: Endkundinnen und Endkunden, Mitarbeitende und Geschäftspartner des Verantwortlichen.
- Kategorien personenbezogener Daten: Kontaktdaten, Transaktionsdaten, Termindaten sowie optionale Zahlungs-Metadaten.
Weisungen zur Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen, einschließlich Weisungen zu Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Verarbeitung ohne solche Weisung verlangt. Soweit eine solche gesetzliche Pflicht besteht, informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern das Recht die Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn nach seiner Auffassung eine Weisung gegen die DSGVO oder gegen andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt und damit rechtswidrig sein kann.
Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zugriff erhalten nur Mitarbeitende und Dienstleister, die ihn zur Erbringung der Kotao-Dienste benötigen.
Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Kotao-Dienste, vorbehaltlich des nachstehenden Informations- und Widerspruchsverfahrens. Die namentlichen Unterauftragsverarbeiter, einschließlich Cloudflare, Neon, Kotao-Payments-Zahlungsabwickler, Resend, Amazon SES, PostHog, Sentry und OpenAI, mit Zweck, Verarbeitungsregion, Drittlandbasis und Versionierung, sind unter Unterauftragsverarbeiter veröffentlicht. Die veröffentlichte Liste ist Bestandteil dieses AVV für Zwecke von Art. 28 Abs. 2 und Art. 28 Abs. 4 DSGVO.
Der Auftragsverarbeiter wird den Verantwortlichen mindestens 30 Tage im Voraus über geplante Änderungen der Unterauftragsverarbeiterliste informieren. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. Kommt keine Einigung zustande, kann jede Partei die betroffenen Dienste kündigen.
Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich oder durch ein anderes bindendes Rechtsinstrument auf dieselben Datenschutzpflichten, die in diesem AVV festgelegt sind. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters verantwortlich.
Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter unterhält technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, einschließlich Verschlüsselung im Ruhezustand und während der Übertragung, rollenbasierter Zugriffskontrollen, Audit-Logs, regelmäßiger Schwachstellenscans und Penetrationstests. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen bei dessen Pflichten nach Art. 32 DSGVO.
Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Betroffenenanfragen innerhalb von fünf Werktagen, einschließlich Datenexport und Unterstützung bei Löschung oder Berichtigung.
Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen leistet der Auftragsverarbeiter außerdem angemessene Unterstützung bei Benachrichtigungen betroffener Personen nach Art. 34 DSGVO, Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und vorherigen Konsultationen mit Aufsichtsbehörden nach Art. 36 DSGVO.
Internationale Datentransfers
Personenbezogene Daten werden primär im EWR verarbeitet. Soweit für die Dienste eine beschränkte Übermittlung vom Verantwortlichen an den Auftragsverarbeiter erforderlich ist, stützen sich die Parteien auf die Standardvertragsklauseln der Europäischen Kommission nach Beschluss (EU) 2021/914, Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter), sofern kein Angemessenheitsbeschluss oder ein anderer wirksamer Übermittlungsmechanismus greift. Für Weiterübermittlungen an Unterauftragsverarbeiter nutzt der Auftragsverarbeiter das jeweils passende SCC-Modul, einen Angemessenheitsbeschluss, eine Data-Privacy-Framework-Zertifizierung oder einen anderen gültigen Übermittlungsmechanismus, der auf der Seite Unterauftragsverarbeiter benannt ist.
Audits
Der Auftragsverarbeiter stellt alle Informationen bereit, die zum Nachweis der Einhaltung dieses AVV und von Art. 28 DSGVO erforderlich sind. Der Verantwortliche kann die Einhaltung dieses Vertrags einmal pro Kalenderjahr nach angemessener Vorankündigung prüfen lassen; der Auftragsverarbeiter wird zu Audits beitragen, einschließlich Inspektionen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer.
Audits sind während der üblichen Geschäftszeiten durchzuführen, dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen und müssen Vertraulichkeit, Sicherheit und Verfügbarkeit der Daten anderer Kunden wahren. Sobald verfügbar, kann der SOC-2-Type-II-Bericht des Auftragsverarbeiters als Nachweis für die darin abgedeckten Kontrollen bereitgestellt werden, ohne die gesetzlichen Audit-Rechte des Verantwortlichen einzuschränken.
Beendigung
Nach Beendigung des zugrundeliegenden Vertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Vorhandene Kopien werden gelöscht, sofern das Recht der Union oder eines Mitgliedstaats keine Speicherung verlangt.
Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich und spätestens innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.
Vorrang bei Widersprüchen
Dieser AVV hat Vorrang vor entgegenstehenden kaufmännischen Regelungen für jede Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen. Verlangt zwingendes Datenschutzrecht oder verlangen anwendbare Standardvertragsklauseln strengere Pflichten, gelten diese strengeren Pflichten.
Rechtsbereich
Weitere Dokumente.
Datenschutz, Sicherheit, Vertragsbedingungen und Nutzungsregeln gehören zusammen, wenn Sie Kotao für mehrere Teams bewerten.
-
Allgemeine Geschäftsbedingungen
Die Bedingungen für die Nutzung der Kotao-Plattform und -Dienste.
-
Bedingungen für die Zahlungsabwicklung (Kotao Payments)
Ergänzende Bedingungen für die integrierte Zahlungsabwicklung über die Kotao-Plattform.
-
Cookie-Richtlinie
Wie Kotao Cookies und ähnliche Technologien einsetzt.
-
Datenschutzerklärung
Wie die Kotao GmbH Ihre personenbezogenen Daten gemäß DSGVO erhebt, nutzt und schützt.
-
Impressum
Anbieterkennzeichnung der Kotao GmbH gemäß § 5 DDG.
-
Meldung rechtswidriger Inhalte (DSA)
Melde- und Abhilfeverfahren nach Art. 16 DSA und Kontaktstellen der Kotao GmbH.
-
Nutzungsrichtlinie
Auf der Kotao-Plattform verbotene Aktivitäten.
-
Sicherheitshinweise
Wie Sie Sicherheitslücken an Kotao melden.
-
Unterauftragsverarbeiter
Veröffentlichte und versionierte Liste der Unterauftragsverarbeiter der Kotao GmbH gemäß Art. 28 DSGVO.