Auftragsverarbeitungsvertrag
(AVV)

Trust center -- Auftragsverarbeitungsvertrag

Unser Auftragsverarbeitungsvertrag beschreibt, wie wir personenbezogene Daten im Auftrag unserer Kund*innen verarbeiten, wenn diese Informationen an uns übermitteln.

Eine unterzeichnete Version kann auf Anfrage bereitgestellt werden. Bitte kontaktieren Sie uns hierzu.

Vereinbarung anfordern

Auftragsverarbeitungsvertrag, Version 3.2, 22. Dezember 2025

Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag zwischen dem Kunden (der „Verantwortliche“) und BetterNow (der „Auftragsverarbeiter“) (jeweils eine „Partei“, gemeinsam die „Parteien“) zur Erfüllung der Anforderungen des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) sowie zur Sicherstellung des Schutzes der Rechte betroffener Personen.

1. Inhaltsverzeichnis

1. Inhaltsverzeichnis
2. Präambel
3. Rechte und Pflichten des Verantwortlichen
4. Weisungsgebundenheit des Auftragsverarbeiters   
5. Vertraulichkeit
6. Sicherheit der Verarbeitung
7. Einsatz von Unterauftragsverarbeitern
8. Übermittlung in Drittländer oder an internationale Organisationen    
9. Unterstützung des Verantwortlichen
10. Meldung von Datenschutzverletzungen
11. Löschung von Daten
12. Audit und Inspektion
13. Vereinbarungen der Parteien zu sonstigen Bedingungen
14. Beginn und Beendigung
Anhang A – Informationen über die Verarbeitung 
Anhang B – Genehmigte Unterauftragsverarbeiter  
Anhang C – Weisungen zur Verarbeitung personenbezogener Daten
Anhang D – Vereinbarungen der Parteien zu weiteren Themen

2. Präambel

1. Diese Vertragsklauseln (die „Klauseln“) regeln die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.

2.  Die Klauseln wurden erstellt, um die Einhaltung von Art. 28 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) durch die Parteien sicherzustellen.

3. Im Rahmen der Erbringung der im zwischen den Parteien geschlossenen Servicevertrag (der „PLA“) beschriebenen Leistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Klauseln.

4. Diese Klauseln haben Vorrang vor etwaigen gleichlautenden oder ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien.

5. Den Klauseln sind vier Anhänge beigefügt, die einen integralen Bestandteil der Klauseln bilden.

6. Anhang A enthält Einzelheiten zur Verarbeitung personenbezogener Daten, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie Dauer der Verarbeitung.

7. Anhang B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter.

8. Anhang C enthält die Weisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten, die vom Auftragsverarbeiter umzusetzenden Mindest-Sicherheitsmaßnahmen sowie Regelungen zur Durchführung von Audits beim Auftragsverarbeiter und etwaigen Unterauftragsverarbeitern.

9. Anhang D enthält Bestimmungen zu weiteren Tätigkeiten, die nicht von diesen Klauseln erfasst sind.

10. Die Klauseln einschließlich der Anhänge sind von beiden Parteien in schriftlicher Form, einschließlich elektronischer Form, aufzubewahren.

11. Die Klauseln entbinden den Auftragsverarbeiter nicht von Verpflichtungen, denen er nach der Datenschutz-Grundverordnung (DSGVO) oder anderen gesetzlichen Vorschriften unterliegt.

3. Rechte und Pflichten des Verantwortlichen

1. Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (vgl. Art. 24 DSGVO), den anwendbaren Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten sowie diesen Klauseln erfolgt.

2. Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

3. Der Verantwortliche ist insbesondere dafür verantwortlich sicherzustellen, dass für die Verarbeitung personenbezogener Daten, zu deren Durchführung der Auftragsverarbeiter angewiesen wird, eine gültige Rechtsgrundlage besteht.

4. Weisungsgebundenheit des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. Solche Weisungen sind in den Anhängen A und C festgelegt. Weitere Weisungen können vom Verantwortlichen während der gesamten Dauer der Verarbeitung erteilt werden. Diese sind stets zu dokumentieren und in schriftlicher Form, einschließlich elektronischer Form, im Zusammenhang mit diesen Klauseln aufzubewahren.

2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere anwendbare Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten verstößt.

5. Vertraulichkeit

1. Der Auftragsverarbeiter gewährt Zugriff auf die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten ausschließlich Personen, die seiner Weisungsbefugnis unterliegen und sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff erfolgt ausschließlich nach dem „Need-to-know“-Prinzip. Die Liste der Personen, denen Zugriff gewährt wurde, wird regelmäßig überprüft. Im Rahmen dieser Überprüfung kann der Zugriff auf personenbezogene Daten entzogen werden, sofern dieser nicht mehr erforderlich ist. In diesem Fall sind die personenbezogenen Daten für diese Personen nicht mehr zugänglich.

2. Der Auftragsverarbeiter weist dem Verantwortlichen auf Anfrage nach, dass die betreffenden Personen, die seiner Weisungsbefugnis unterliegen, den vorstehenden Vertraulichkeitsverpflichtungen unterliegen.

6. Sicherheit der Verarbeitung

1. Gemäß Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Der Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift geeignete Maßnahmen zur Minderung dieser Risiken. Je nach Relevanz können diese Maßnahmen insbesondere Folgendes umfassen:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

2. Gemäß Art. 32 DSGVO hat auch der Auftragsverarbeiter – unabhängig vom Verantwortlichen – die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und geeignete Maßnahmen zur Minderung dieser Risiken umzusetzen. Zu diesem Zweck stellt der Verantwortliche dem Auftragsverarbeiter alle Informationen zur Verfügung, die für die Identifizierung und Bewertung dieser Risiken erforderlich sind.

3. Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung dessen Verpflichtungen gemäß Art. 32 DSGVO, indem er dem Verantwortlichen insbesondere Informationen über die gemäß Art. 32 DSGVO bereits implementierten technischen und organisatorischen Maßnahmen sowie alle weiteren erforderlichen Informationen zur Verfügung stellt, die der Verantwortliche zur Erfüllung seiner Verpflichtungen benötigt.

Sofern sich im Nachhinein – nach Einschätzung des Verantwortlichen – ergibt, dass zur Minderung identifizierter Risiken zusätzliche Maßnahmen durch den Auftragsverarbeiter zu implementieren sind, die über die bereits gemäß Art. 32 DSGVO umgesetzten Maßnahmen hinausgehen, werden diese zusätzlichen Maßnahmen in Anhang C festgelegt.

7. Einsatz von Unterauftragsverarbeitern

1. Der Auftragsverarbeiter erfüllt die Anforderungen des Art. 28 Abs. 2 und 4 DSGVO, wenn er einen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) einsetzt.

2. Der Auftragsverarbeiter darf zur Erfüllung dieser Klauseln keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige allgemeine schriftliche Genehmigung des Verantwortlichen beauftragen.

3. Der Auftragsverarbeiter verfügt über eine allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen schriftlich mindestens dreißig (30) Geschäftstage im Voraus über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern. Dadurch erhält der Verantwortliche die Möglichkeit, vor der Beauftragung des betreffenden Unterauftragsverarbeiters bzw. der betreffenden Unterauftragsverarbeiter Widerspruch gegen diese Änderungen einzulegen. Längere Vorankündigungsfristen für bestimmte Unterauftragsleistungen können in Anhang B vorgesehen werden. Die Liste der bereits vom Verantwortlichen genehmigten Unterauftragsverarbeiter ist in Anhang B enthalten.

4. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten im Auftrag des Verantwortlichen, so werden diesem Unterauftragsverarbeiter durch Vertrag oder einen anderen Rechtsakt nach dem Recht der Europäischen Union oder eines Mitgliedstaats dieselben Datenschutzpflichten auferlegt, wie sie in diesen Klauseln festgelegt sind. Dies gilt insbesondere im Hinblick auf die Verpflichtung, hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung den Anforderungen dieser Klauseln und der DSGVO entspricht. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln und der DSGVO unterliegt.

5. Eine Kopie des Unterauftragsverarbeitungsvertrags sowie etwaiger nachfolgender Änderungen wird dem Verantwortlichen auf dessen Anfrage zur Verfügung gestellt, damit dieser überprüfen kann, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt wurden, wie sie in diesen Klauseln vorgesehen sind. Vertragsklauseln zu geschäftlichen Aspekten, die den datenschutzrechtlichen Inhalt des Unterauftragsverarbeitungsvertrags nicht betreffen, müssen dem Verantwortlichen nicht vorgelegt werden.

6. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche im Falle einer Insolvenz des Auftragsverarbeiters als begünstigter Dritter in den Unterauftragsverarbeitungsvertrag eintritt und berechtigt ist, diesen gegenüber dem Unterauftragsverarbeiter durchzusetzen, beispielsweise um den Unterauftragsverarbeiter anzuweisen, personenbezogene Daten zu löschen oder zurückzugeben.

7. Erfüllt der Unterauftragsverarbeiter seine datenschutzrechtlichen Verpflichtungen nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen vollständig für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters verantwortlich. Die Rechte betroffener Personen nach der DSGVO – insbesondere gemäß Art. 79 und 82 DSGVO – gegenüber dem Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, bleiben hiervon unberührt.

8. Übermittlung in Drittländer oder an internationale Organisationen

1. Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen und stets unter Einhaltung der Vorgaben des Kapitels V der DSGVO.

2. Ist der Auftragsverarbeiter aufgrund des Rechts der Europäischen Union oder eines Mitgliedstaats, dem er unterliegt, verpflichtet, personenbezogene Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, ohne dass er hierzu vom Verantwortlichen angewiesen wurde, informiert er den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Information nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.

3. Ohne dokumentierte Weisung des Verantwortlichen ist es dem Auftragsverarbeiter im Rahmen dieser Klauseln insbesondere nicht gestattet:

  1. personenbezogene Daten an einen Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland oder an eine internationale Organisation zu übermitteln;
  2. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland zu übertragen;
  3. personenbezogene Daten selbst in einem Drittland zu verarbeiten oder verarbeiten zu lassen.

4. Die Weisungen des Verantwortlichen zur Übermittlung personenbezogener Daten in ein Drittland – einschließlich des gegebenenfalls zugrunde liegenden Übermittlungsinstruments gemäß Kapitel V DSGVO – sind in Anhang C.6 festgelegt.

5. Diese Klauseln sind nicht als Standarddatenschutzklauseln im Sinne des Art. 46 Abs. 2 lit. c und d DSGVO zu verstehen und können von den Parteien nicht als Übermittlungsinstrument im Sinne des Kapitels V DSGVO herangezogen werden.

9. Unterstützung des Verantwortlichen

1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der in Kapitel III DSGVO genannten Rechte der betroffenen Person.

Dies umfasst insbesondere die Unterstützung des Verantwortlichen bei der Einhaltung folgender Rechte:

  1. das Recht auf Information bei Erhebung personenbezogener Daten bei der betroffenen Person;
  2. das Recht auf Information, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden;
  3. das Recht auf Auskunft;
  4. das Recht auf Berichtigung;
  5. das Recht auf Löschung („Recht auf Vergessenwerden“);
  6. das Recht auf Einschränkung der Verarbeitung;
  7. die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung;
  8. das Recht auf Datenübertragbarkeit;
  9. das Widerspruchsrecht;
  10. das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

2. Zusätzlich zu der Unterstützungspflicht gemäß Ziffer 6.3 unterstützt der Auftragsverarbeiter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Einhaltung folgender Verpflichtungen:

  1. der Pflicht des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden, sofern die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt;
  2. der Pflicht des Verantwortlichen, die betroffene Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
  3. der Pflicht des Verantwortlichen zur Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment);
  4. der Pflicht des Verantwortlichen, die zuständige Aufsichtsbehörde vor der Verarbeitung zu konsultieren, sofern eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ohne geeignete risikomindernde Maßnahmen ein hohes Risiko zur Folge hätte.

3. Die Parteien legen in Anhang C die geeigneten technischen und organisatorischen Maßnahmen fest, durch die der Auftragsverarbeiter den Verantwortlichen unterstützt, sowie den Umfang und das Ausmaß dieser Unterstützung. Dies gilt für die in Ziffer 9.1 und 9.2 genannten Verpflichtungen.

10. Meldung von Verletzungen des Schutzes personenbezogener Daten

1. Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt geworden ist.

2. Die Benachrichtigung des Verantwortlichen durch den Auftragsverarbeiter erfolgt – soweit möglich – innerhalb von 48 Stunden, nachdem der Auftragsverarbeiter Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt hat, um es dem Verantwortlichen zu ermöglichen, seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO nachzukommen.

3. Gemäß Ziffer 9.2 lit. a unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde. Dies umfasst insbesondere die Unterstützung bei der Bereitstellung der nachfolgend aufgeführten Informationen, die gemäß Art. 33 Abs. 3 DSGVO in der Meldung anzugeben sind:

  1. die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich – soweit möglich – der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

4. Die Parteien legen in Anhang C sämtliche Elemente fest, die vom Auftragsverarbeiter im Rahmen der Unterstützung bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde bereitzustellen sind.

11. Löschung von Daten

1. Nach Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten ist der Auftragsverarbeiter verpflichtet, sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem Verantwortlichen die Löschung zu bestätigen, sofern nicht das Recht der Europäischen Union oder eines Mitgliedstaats eine Speicherung der personenbezogenen Daten vorschreibt.

12. Audit und Inspektion

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO sowie in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, und ermöglicht sowie unterstützt Audits – einschließlich Inspektionen –, die vom Verantwortlichen oder von einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden.

2. Die für Audits, einschließlich Inspektionen, des Verantwortlichen beim Auftragsverarbeiter sowie bei Unterauftragsverarbeitern geltenden Verfahren sind in den Anhängen C.7 und C.8 geregelt.

3. Der Auftragsverarbeiter gewährt den Aufsichtsbehörden, die gemäß den anwendbaren Rechtsvorschriften Zugang zu den Einrichtungen des Verantwortlichen und des Auftragsverarbeiters haben, oder deren Beauftragten Zugang zu seinen Geschäftsräumen, sofern ein entsprechender Identitätsnachweis vorgelegt wird.

13. Vereinbarungen der Parteien zu weiteren Bedingungen

Die Parteien können weitere Regelungen im Zusammenhang mit der Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbaren, beispielsweise zur Haftung, sofern diese weder unmittelbar noch mittelbar diesen Klauseln widersprechen oder die Grundrechte und Grundfreiheiten der betroffenen Person sowie das durch die DSGVO gewährte Schutzniveau beeinträchtigen.

14. Beginn und Beendigung

1. Diese Klauseln treten in Kraft, sobald eine Servicevereinbarung von beiden Parteien angenommen wurde.

2. Beide Parteien sind berechtigt, eine Neuverhandlung dieser Klauseln zu verlangen, sofern Änderungen der Rechtslage oder eine Unzweckmäßigkeit der Klauseln eine solche Neuverhandlung erforderlich machen.

3. Die Klauseln gelten für die gesamte Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Während dieser Dauer können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Regelungen zur Verarbeitung personenbezogener Daten vereinbart.

4. Wird die Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gemäß Ziffer 11.1 und Anhang C.4 gelöscht oder an den Verantwortlichen zurückgegeben, können die Klauseln von jeder Partei schriftlich gekündigt werden.

Anhang A – Informationen über die Verarbeitung

Dieser Anhang ist nach den zwei Hauptverarbeitungstätigkeiten gegliedert.

A.1 Verarbeitung von Spendenaktivitäten

A.1.1 Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:

Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen besteht in der Erbringung der Dienstleistungen gemäß der Servicevereinbarung.

A.1.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen umfasst insbesondere:

Die Erbringung von Dienstleistungen gemäß der Servicevereinbarung, einschließlich insbesondere der Erhebung, Verarbeitung (einschließlich Analyse), Speicherung, Strukturierung und Bereitstellung personenbezogener Daten an den Verantwortlichen sowie der Löschung personenbezogener Daten.

Die konkrete Verarbeitung umfasst insbesondere:

  • Spendenabwicklung: Erhebung personenbezogener Daten von Spender*innen gemäß den Festlegungen des Verantwortlichen;
  • Zahlungsabwicklung: Verarbeitung der Zahlung im Zusammenhang mit der Spende;
  • Versand von Quittungen und Benachrichtigungen: Versand von E-Mail-Spendenquittungen an Spender*innen sowie Benachrichtigungen bei Aktualisierungen der Fundraising-Seite oder Dankeskommentaren;
  • Betrugsprävention: Überwachung auf betrügerische Aktivitäten, z. B. Nutzung gestohlener Kreditkarten;
  • Nutzungsüberwachung: Identifizierung möglicher technischer Fehler, Zahlungsfehler und Dateninkonsistenzen sowie kontinuierliches Produktfeedback zur Verbesserung der Nutzererfahrung und des Produkts;
  • Unterstützung steuerlicher Abzugsmöglichkeiten, soweit relevant, einschließlich der Erhebung von Steueridentifikationsnummern.

A.1.3. Die Verarbeitung umfasst folgende Arten personenbezogener Daten der betroffenen Personen:

Das Unternehmen verarbeitet allgemeine personenbezogene Daten im Sinne von Art. 6 DSGVO, insbesondere:

  • Identifikationsdaten wie Name, Anschrift, E-Mail-Adresse und Telefonnummer;
  • Daten zu Besuchen, Aktionen und Aktivitäten auf der Website;
  • IP-Adressen;
  • Zahlungsbezogene Informationen;
  • E-Mail-Protokolle;
  • Personenkennziffern wie CPR (DK), NIF/NIE/CIF (ES), Fødselsnummer (NO) und Personnummer (SE), soweit erforderlich.

A.1.4. Die Verarbeitung umfasst folgende Kategorien betroffener Personen:

Die betroffenen Personen im Rahmen dieser Verarbeitungstätigkeit sind sämtliche Personen, die über die vom Auftragsverarbeiter bereitgestellte Plattform an den Verantwortlichen spenden, unabhängig davon, an welcher Stelle der Plattform die Spende erfolgt.

A.1.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann mit Inkrafttreten dieser Klauseln erfolgen. Die Verarbeitung hat folgende Dauer:

Diese Klauseln gelten für die Dauer der Erbringung der Dienstleistungen gemäß der Servicevereinbarung und enden automatisch, sobald der Auftragsverarbeiter im Rahmen der Dienstleistungen keine personenbezogenen Daten mehr im Auftrag des Verantwortlichen verarbeitet.

A.2 Verarbeitung sämtlicher sonstiger Nutzeraktivitäten

A.2.1 Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:

Der Zweck der Verarbeitung besteht in der Erbringung der Dienstleistungen gemäß der Servicevereinbarung.

A.2.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen betrifft im Wesentlichen (Art der Verarbeitung):

Die Erbringung von Dienstleistungen gemäß der Servicevereinbarung, einschließlich beispielsweise der Erhebung, Verarbeitung (einschließlich Analyse), Speicherung, Strukturierung und Bereitstellung personenbezogener Daten an den Verantwortlichen sowie der Löschung personenbezogener Daten. Die konkrete Verarbeitung umfasst insbesondere:

  • Pflege eines Profils sowie der Anmeldedaten. Dies ermöglicht es der Nutzerin bzw. dem Nutzer, eine Fundraising- oder Teamseite zu verwalten, zu bearbeiten und zu löschen.
  • Versand von Leitfäden und relevanten Informationen per E-Mail. Kommunikation im Zusammenhang mit der Fundraising-Absicht wird zu geeigneten Zeitpunkten versendet, solange die Fundraising- oder Teamseite aktiv ist. Dies umfasst beispielsweise Benachrichtigungen über eingegangene Spenden, Fundraising-Tipps sowie Hinweise zur Verwaltung, Löschung oder Beendigung von Fundraising- oder Teamseiten.
  • Erstellung personalisierter Empfehlungen für Fundraiser zu Maßnahmen, mit denen sie ihre Ergebnisse verbessern können. Diese Empfehlungen werden mithilfe eines Machine-Learning-Algorithmus erstellt, der auf nicht personenbezogenen Daten aus allen BetterNow-Partnerschaften trainiert wurde.
  • Überwachung der Nutzung. Dies ermöglicht die Identifizierung möglicher technischer Fehler und die Sicherstellung der Datenintegrität sowie kontinuierliches Produktfeedback zur Verbesserung der Nutzererfahrung und des Produkts.

A.2.3. Die Verarbeitung umfasst folgende Arten personenbezogener Daten der betroffenen Personen:

Der Auftragsverarbeiter verarbeitet diejenigen Arten personenbezogener Daten, zu denen ihm der Verantwortliche direkt oder indirekt Zugang gewährt.

Der Auftragsverarbeiter verarbeitet ausschließlich „gewöhnliche“ personenbezogene Daten im Sinne des Art. 6 DSGVO. Sollen „besondere Kategorien personenbezogener Daten“ im Sinne des Art. 9 DSGVO verarbeitet werden, ist der Auftragsverarbeiter unverzüglich zu informieren, und es ist ein neuer Auftragsverarbeitungsvertrag abzuschließen.

  • Identifikationsdaten wie Name, Anschrift, E-Mail-Adresse und Telefonnummer;
  • Anmeldedaten;
  • Daten zu Besuchen, Aktionen und Aktivitäten auf der Website sowie bei der Anmeldung in der Lösung;
  • IP-Adressen;
  • E-Mail-Protokolle.

A.2.4. Die Verarbeitung umfasst folgende Kategorien betroffener Personen:

Die betroffenen Personen im Rahmen dieser Verarbeitungstätigkeit sind sämtliche Personen, die ein Benutzerkonto erstellen, um eine Fundraising-Seite oder ein Team zu erstellen, unabhängig davon, ob die Erstellung erfolgreich abgeschlossen wird.

A.2.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann mit Inkrafttreten dieser Klauseln erfolgen. Die Verarbeitung hat folgende Dauer:

Diese Klauseln gelten für die Dauer der Erbringung der Dienstleistungen gemäß der Servicevereinbarung und enden automatisch, sobald der Auftragsverarbeiter im Rahmen der Dienstleistungen keine personenbezogenen Daten mehr im Auftrag des Verantwortlichen verarbeitet.

Anhang B – Genehmigte Unterauftragsverarbeiter

B.1. Genehmigte Unterauftragsverarbeiter

Mit Inkrafttreten dieser Klauseln genehmigt der Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:

Vollständiger Firmenname Address (street, no, city, country) Name des Dienstes / Tools Beschreibung des Dienstes Zweck Verarbeitungsorte
Peaberry Software Inc d/b/a Customer.io 9450 SW Gemini Dr Suite 43920 Beaverton, Oregon 97008-7105, United States Customer.io Automatisierte Messaging-Plattform. E-Mail-Dienste für Fundraiser und Teamleiter Belgien
Amazon Web Services, Inc. 410 Terry Ave N, Seattle 98109, Washington, USA AWS (Amazon Web Services) hosting On-Demand-Cloud-Computing-Plattform & Hosting Nutzung von S3 (Content-Hosting), EC2 (Hosting) und SES (Versand transaktionaler E-Mails) Irland
Salesforce, Inc. (F/K/A Salesforce.com, Inc.) Salesforce Tower 415 Mission Street, 3rd Floor San Francisco, CA 94105, United States Heroku Cloud-Plattform zur Entwicklung, Bereitstellung, Überwachung und Skalierung von Anwendungen Serververwaltung Irland
AppSignal B.V. P.O. Box 10212 1001EE Amsterdam The Netherlands AppSignal Monitoring-Tool für Anwendungsperformance Fehlererkennung und Anwendungsüberwachung Netherlands
Snowflake Inc. 106 E Babcock St, Suite 3A, Bozeman, MT 59715, Crunchy Data Bridge Vollständig verwalteter PostgreSQL-Cloud-Service Serververwaltung Irland
LINK Mobility A/S Flæsketorvet 68, 1 1711 København V, Denmark SMS API API für den Versand von SMS SMS-Dienste EU
Crisp IM SAS 2 Boulevard de Launay, 44100 Nantes, France Crisp Helpdesk-Software Support-Dienste (E-Mail, KI und Chat) Netherlands/Germany

Obwohl sämtliche Daten innerhalb der Europäischen Union gespeichert werden, stützt sich der Auftragsverarbeiter auf das EU–US Data Privacy Framework als Rechtsgrundlage für Übermittlungen in Drittländer. Dies erfolgt, da US-amerikanische Muttergesellschaften gegebenenfalls auf Fernzugriffs- oder Supportfunktionen zurückgreifen können, wobei ein solcher Zugriff einen Drittlandtransfer im Sinne der DSGVO darstellen kann.

Der Verantwortliche genehmigt mit Inkrafttreten dieser Klauseln die Nutzung der vorstehend genannten Unterauftragsverarbeiter für die jeweils beschriebene Verarbeitung. Der Auftragsverarbeiter ist nicht berechtigt, ohne vorherige Mitteilung an den Verantwortlichen einen Unterauftragsverarbeiter für eine andere als die vereinbarte Verarbeitung einzusetzen oder die beschriebene Verarbeitung durch einen anderen Unterauftragsverarbeiter durchführen zu lassen.

Einsatz von Unterauftragsverarbeitern zu Standardbedingungen

Unbeschadet Ziffer 7 wird klargestellt, dass der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt, die ihre Leistungen auf Grundlage eigener Standardbedingungen erbringen, von denen der Auftragsverarbeiter nicht abweichen kann.

Der Verantwortliche erklärt sich damit einverstanden, dass die jeweiligen Standardbedingungen dieser Unterauftragsverarbeiter für die betreffende Verarbeitung Anwendung finden, einschließlich in Bezug auf Anforderungen an Audit, Kontrolle, Dokumentation und Haftung. Dies betrifft insbesondere:

  • Amazon Web Services Inc.
  • Salesforce.com EMEA Limited

Die jeweiligen Standardbedingungen werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

B.2. Vorankündigung bei Genehmigung von Unterauftragsverarbeitern: Der Auftragsverarbeiter verfügt über eine allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern gemäß Ziffer 7.3.

Erhebt der Verantwortliche Einwände gegen den Einsatz eines Unterauftragsverarbeiters, so hat er den Auftragsverarbeiter hierüber unverzüglich vor Inkrafttreten der Änderung gemäß Anhang B.2 zu informieren. Ein Widerspruch ist nur zulässig, wenn hierfür angemessene und konkrete Gründe vorliegen.

Im Falle eines solchen Widerspruchs erkennt der Verantwortliche an, dass der Auftragsverarbeiter gegebenenfalls ganz oder teilweise an der Erbringung der vereinbarten Leistungen gemäß der Servicevereinbarung gehindert sein kann. Eine daraus resultierende Nichterbringung gilt nicht als Vertragsverletzung.

Der Auftragsverarbeiter behält seinen Anspruch auf Vergütung für die betreffende Leistung, unabhängig davon, ob diese dem Verantwortlichen tatsächlich bereitgestellt werden kann.

Der Verantwortliche ist jedoch berechtigt, die Servicevereinbarung hinsichtlich derjenigen Leistungen, die ohne den betreffenden Unterauftragsverarbeiter nicht erbracht werden können, mit einer Frist von dreißig (30) Tagen zum Monatsende schriftlich zu kündigen. Bereits im Voraus geleistete Zahlungen für den Zeitraum nach Ablauf der Kündigungsfrist werden dem Verantwortlichen erstattet.

Ist der Auftragsverarbeiter infolge des Widerspruchs daran gehindert, sämtliche vereinbarten Leistungen zu erbringen, kann der Verantwortliche die gesamte Servicevereinbarung mit einer Frist von dreißig (30) Tagen zum Monatsende schriftlich kündigen. Bereits im Voraus geleistete Zahlungen für Zeiträume nach Ablauf der Kündigungsfrist werden dem Verantwortlichen erstattet.

B.3 Drittbegünstigung im Zusammenhang mit Unterauftragsverarbeitern

Die Parteien vereinbaren, dass Ziffer 7.6 der Klauseln zwischen ihnen keine Anwendung findet.

Ziffer 7.6 lautet:

„Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche im Falle einer Insolvenz des Auftragsverarbeiters als begünstigter Dritter in den Unterauftragsverarbeitungsvertrag eintritt und berechtigt ist, diesen gegenüber dem Unterauftragsverarbeiter durchzusetzen, beispielsweise um den Unterauftragsverarbeiter anzuweisen, personenbezogene Daten zu löschen oder zurückzugeben.“

Anhang C – Weisungen zur Verarbeitung personenbezogener Daten

C.1. Gegenstand / Weisung zur Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt im Rahmen der Erbringung der in der Servicevereinbarung festgelegten Dienstleistungen.

C.2. Sicherheit der Verarbeitung

Das Sicherheitsniveau berücksichtigt, dass die Verarbeitung ausschließlich personenbezogene Daten betrifft, die unter Art. 6 DSGVO fallen.

Der Auftragsverarbeiter ist berechtigt und verpflichtet, eigenständig über die technischen und organisatorischen Sicherheitsmaßnahmen zu entscheiden, die zur Gewährleistung des erforderlichen (und vereinbarten) Datenschutzniveaus umzusetzen sind.

Unbeschadet dessen implementiert der Auftragsverarbeiter mindestens die nachfolgend mit dem Verantwortlichen vereinbarten Maßnahmen:

Produktsicherheit

Berechtigungen und Zugriff
Der Auftragsverarbeiter verfügt über globale Zugriffskonzepte, die es Administratoren ermöglichen, rollenbasierte Berechtigungsstufen für jedes Benutzerkonto festzulegen.

Keine Passwörter
Für die Anmeldung werden sichere Login-Links verwendet, die an die E-Mail-Adresse der jeweiligen Nutzerin bzw. des jeweiligen Nutzers versendet werden. Diese Links sind nur für einen kurzen Zeitraum gültig.

Die Sicherheit basiert auf dem bestehenden Schutz des jeweiligen E-Mail-Postfachs, ohne dass ein zusätzliches Passwort erforderlich ist.

Für Mitarbeitende des Auftragsverarbeiters ist Multi-Faktor-Authentifizierung (MFA) auf sämtlichen Systemen verpflichtend. Gleiches gilt für Administrator*innen auf Kundenseite.

Kontoverifizierung
Alle Nutzer*innen sind verpflichtet, ihr Benutzerkonto über einen in einer automatisierten E-Mail enthaltenen Link zu verifizieren.

Schutz vor Angriffen
Vor der Anwendung ist ein Proxy geschaltet, der verschiedene Angriffstypen blockiert. Zusätzlich werden sämtliche Anfragen zeitlich begrenzt (Rate Limiting). Besonders sensible Endpunkte, wie etwa Anmelde- oder Passwortänderungsfunktionen, unterliegen strengeren Begrenzungen, um Angriffe wie Credential Stuffing zu verhindern.

Dauerhafte LöschungNutzer*innen können Fundraising-Seiten über die Self-Service-Plattform löschen, sofern sie über die entsprechenden Zugriffsrechte verfügen. Die Plattform stellt die hierfür erforderlichen Funktionen zur Verfügung, um Datenlöschungen gemäß den Anforderungen der DSGVO zu ermöglichen.

Speicherung personenbezogener Daten
Sämtliche personenbezogenen Daten werden innerhalb der Europäischen Union gespeichert.

Hohe VerfügbarkeitDie Verfügbarkeit der Systeme wird durch automatisierte und manuelle Tests, kontinuierliches Monitoring der Produktionsumgebung, Protokollierung und Alarmierung, schnelle kontinuierliche Deployments sowie durch den Einsatz einer Cloud-Infrastruktur nach Industriestandard sichergestellt.

Infrastruktursicherheit

Hosting und Speicherung personenbezogener Daten

Die Services und Daten des Auftragsverarbeiters werden in Rechenzentren von Amazon Web Services (AWS) innerhalb der Europäischen Union (Region EU-West-1) gehostet.

Verschlüsselung personenbezogener Daten

Personenbezogene Daten werden bei der Übertragung zwischen dem Auftragsverarbeiter und dem Browser mittels Transport Layer Security (TLS) verschlüsselt.

  • Im Ruhezustand (at rest): Personenbezogene Daten, die im Auftrag des Verantwortlichen verarbeitet werden, werden ausschließlich in der Produktionsumgebung gespeichert und dort mit AES-256 verschlüsselt.
  • Während der Übertragung (in transit): Die Netzwerkkommunikation erfolgt über TLS und ist verschlüsselt sowie authentifiziert.

Schwachstellen-Scanning und Patching der Produktionsumgebung

Der Auftragsverarbeiter prüft Abhängigkeiten mehrmals täglich – insbesondere bei jeder Änderung an der Anwendung – auf bekannte Sicherheitslücken. Zusätzlich werden sämtliche Abhängigkeiten einmal täglich auch im Hinblick auf nicht sicherheitsrelevante Aktualisierungen aktualisiert. Der Auftragsverarbeiter entwickelt und pflegt automatisierte Tests zur Erkennung von Sicherheitsrisiken, wie beispielsweise SQL-Injection oder Cross-Site-Scripting.

Kritische und hochkritische Sicherheitsupdates werden unverzüglich nach Bekanntwerden implementiert und getestet, gegebenenfalls auch außerhalb der regulären Geschäftszeiten, einschließlich abends und an Wochenenden. Updates mit geringerer Kritikalität werden an Werktagen eingespielt und getestet.

Der Hosting-Anbieter ist für die Verwaltung von Betriebssystem-Updates der Infrastruktur verantwortlich. Entsprechende Patches und Updates werden täglich angewendet.

Backup- und Logging-Richtlinie

Die Backup-Prozesse des Auftragsverarbeiters gewährleisten die Konsistenz von Daten und Informationen nach hohen Standards.

Für die Sicherung von Datenspeichern, die personenbezogene Daten im Auftrag des Verantwortlichen enthalten, nutzt der Auftragsverarbeiter Heroku. Die Datensicherung erfolgt kontinuierlich; zusätzlich werden täglich Offsite-Backups erstellt.

Auf Anwendungsebene werden Aktivitätsprotokolle in einer zentralisierten Logging-Lösung gespeichert.

Incident response

Im Falle von Sicherheitsvorfällen informiert der Auftragsverarbeiter seine Kund*innen transparent über die Status-Website sowie direkt über das Support-System. Die Meldefristen gemäß DSGVO werden eingehalten. Die dänische Datenschutzbehörde („Datatilsynet“) wird spätestens innerhalb von 72 Stunden benachrichtigt. Die Verantwortlichen werden nach einer ersten Bewertung des Vorfalls unverzüglich informiert.

Monitoring, Logging und Audit-Trail

Der Auftragsverarbeiter protokolliert sämtliche Nutzeraktionen im System mit vollständigem Audit-Trail. Alle Protokolldaten werden an eine zentrale Log-Management-Lösung übermittelt, in der Mechanismen zur Anomalieerkennung und Alarmierung eingerichtet sind.

Continuous delivery

Der Auftragsverarbeiter arbeitet nach einer modernen agilen Softwareentwicklungs-Methodik sowie etablierten Change-Management-Verfahren. Die Deployment-Methoden des Auftragsverarbeiters ermöglichen Aktualisierungen ohne Ausfallzeiten der Anwendung.

Compliance

Vendor Security Alliance (VSA)

Der Auftragsverarbeiter hat den VSA Core Self-Assessment-Fragebogen der Vendor Security Alliance abgeschlossen. Dieser ist auf Anfrage verfügbar.

DSGVO-Compliance

Die Anforderungen der DSGVO sind in die Geschäftsprozesse, Sicherheitsrichtlinien sowie Schulungen der Mitarbeitenden des Auftragsverarbeiters integriert. Eine DSGVO-Prüfung ist Bestandteil der Risikoanalyse und der internen Auditprozesse des Auftragsverarbeiters.

Personal

Rollenbasierter Zugriff

Die Zugriffsebenen der Mitarbeitenden des Auftragsverarbeiters werden entsprechend ihrer jeweiligen Funktion festgelegt und folgen dem Prinzip der minimalen Rechtevergabe (Least-Privilege-Prinzip).

Sicherer Zugriff

Der Auftragsverarbeiter setzt Single Sign-on (SSO), verbindliche Passwort-Richtlinien sowie Virtual Private Networks (VPN) ein, um einen sicheren Zugriff auf die Systeme zu gewährleisten.

Multi-Faktor-Authentifizierung

Für sämtliche privilegierten Zugriffe sowie für alle kritischen Systeme ist Multi-Faktor-Authentifizierung (MFA) verpflichtend.

Sicherheit auf Endgeräten der Mitarbeitenden

Alle Endgeräte der Mitarbeitenden sind mit vollständiger Festplattenverschlüsselung ausgestattet. Multi-Faktor-Authentifizierung ist verpflichtend, und sowohl eingehende als auch ausgehende Firewalls sind aktiviert. Alle Geräte sind mit strengen automatischen Sperreinstellungen (Auto-Lock) konfiguriert. Betriebssysteme und Webbrowser werden täglich aktualisiert.

Vertraulichkeit

Sämtliche Arbeits- und Dienstleistungsverträge mit Mitarbeitenden und externen Auftragnehmern enthalten Vertraulichkeitsklauseln.

Dienstleister (Vendors)

Auswahl von Dienstleistern

Sämtliche vom Auftragsverarbeiter eingesetzten Dienstleister bieten branchenführende Produkte an und unterziehen sich einer Sicherheitsprüfung, um sicherzustellen, dass ihre Verfahren und Maßnahmen den Sicherheits- und Compliance-Standards des Auftragsverarbeiters entsprechen.

C.3. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen – soweit möglich und im Rahmen sowie Umfang der nachstehend festgelegten Unterstützung – gemäß Ziffer 9.1 und 9.2 durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die zur Fähigkeit des Verantwortlichen beitragen können, Anträge auf Ausübung der Rechte betroffener Personen zu bearbeiten.

Der Auftragsverarbeiter leitet Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO unverzüglich an den Verantwortlichen weiter, damit dieser die Bearbeitung vornehmen kann, sofern der Verantwortliche nichts anderes bestimmt hat.

C.4. Speicherfrist / Löschverfahren

Nach Beendigung der Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten löscht der Auftragsverarbeiter die personenbezogenen Daten gemäß Ziffer 11.1, sofern der Verantwortliche nicht nach Vertragsunterzeichnung seine ursprüngliche Entscheidung geändert hat. Eine solche Änderung ist zu dokumentieren und in schriftlicher Form, einschließlich elektronischer Form, im Zusammenhang mit diesen Klauseln aufzubewahren.

C.5. Ort der Verarbeitung

Die Verarbeitung personenbezogener Daten gemäß diesen Klauseln darf ohne vorherige schriftliche Genehmigung des Verantwortlichen nicht an anderen Orten erfolgen als den in Abschnitt B.1 genannten.

Auf Anfrage stellt der Auftragsverarbeiter dem Verantwortlichen Dokumentationen zu den genutzten Verarbeitungsstätten, Rechenzentren und sonstigen Einrichtungen der Unterauftragsverarbeiter zur Verfügung.

C.6 Weisung zur Übermittlung personenbezogener Daten in Drittländer

C.6.1 Allgemeine Grundsätze

Der Auftragsverarbeiter darf personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen und unter Einhaltung der Vorgaben des Kapitels V der DSGVO in ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (ein „Drittland“) oder an eine internationale Organisation übermitteln.

C.6.2 Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO)

Soweit die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO für ein Drittland, einen bestimmten Sektor oder einen bestimmten Empfänger erlassen hat, erteilt der Verantwortliche hiermit eine allgemeine und vorherige Weisung an den Auftragsverarbeiter, personenbezogene Daten in ein solches Drittland zu übermitteln, einschließlich an Empfänger, die nach dem EU–US Data Privacy Framework zertifiziert sind, soweit dies für die Erbringung der Dienstleistungen gemäß der Servicevereinbarung erforderlich ist.

Solche Übermittlungen können ohne zusätzliche Übermittlungsgarantien erfolgen.

C.6.3 Übermittlungen an bestimmte Empfänger in Drittländern

Der Verantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten an die in Anhang B aufgeführten Unterauftragsverarbeiter in Drittländern zu übermitteln, sofern diese Unterauftragsverarbeiter einem anwendbaren Angemessenheitsbeschluss gemäß Art. 45 DSGVO unterliegen, einschließlich des EU–US Data Privacy Framework, und sofern die jeweilige Verarbeitung in den Anwendungsbereich dieses Angemessenheitsbeschlusses fällt.

C.6.4 Auffangregelung bei Wegfall oder Unwirksamkeit eines Angemessenheitsbeschlusses

Sollte während der Laufzeit dieser Klauseln:

a) ein anwendbarer Angemessenheitsbeschluss aufgehoben, für ungültig erklärt oder für eine bestimmte Übermittlung nicht mehr anwendbar sein; oder

b) ein Empfänger in einem Drittland nicht mehr unter einen solchen Angemessenheitsbeschluss fallen,

so darf der Auftragsverarbeiter die betreffende Übermittlung nicht fortsetzen, es sei denn, und solange nicht geeignete Garantien gemäß Art. 46 DSGVO implementiert und dokumentiert wurden, auf Grundlage dokumentierter Weisungen des Verantwortlichen.

Solche geeigneten Garantien können insbesondere die von der Europäischen Kommission erlassenen Standardvertragsklauseln in ihrer jeweils geltenden Fassung umfassen.

C.7. Verfahren für Audits, einschließlich Inspektionen, des Verantwortlichen hinsichtlich der durch den Auftragsverarbeiter durchgeführten Verarbeitung personenbezogener Daten

Selbstbewertungen und Fragebögen:

Der Auftragsverarbeiter führt einmal jährlich auf eigene Kosten eine Selbstbewertung auf Grundlage eines Fragebogens eines unabhängigen Dritten durch, um die Einhaltung der DSGVO, der anwendbaren Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten sowie dieser Klauseln zu überprüfen.

Die Parteien sind sich darüber einig, dass folgende Arten von Selbstbewertungen zur Erfüllung dieser Klauseln verwendet werden können:

  • Vendor Security Alliance (VSA) Core Self-Assessment-Fragebogen. Dieser Fragebogen umfasst die wesentlichen Fragen zur Anbieter-Sicherheit und zum Datenschutz. Der Datenschutzteil deckt die Anforderungen der DSGVO sowie sicherheitsrelevante Fragestellungen ab;
  • andere Fragebögen, die ein gleichwertiges oder höheres Schutzniveau gewährleisten.

Die Selbstbewertung ist dem Verantwortlichen unverzüglich zur Kenntnisnahme zu übermitteln. Der Verantwortliche ist berechtigt, den Umfang und/oder die Methodik der Selbstbewertung zu beanstanden und in einem solchen Fall eine erneute Selbstbewertung mit angepasstem Umfang und/oder abweichender Methodik zu verlangen.

Darüber hinaus ist der Auftragsverarbeiter verpflichtet, einen vom Verantwortlichen herausgegebenen DSGVO-Fragebogen, sofern vorhanden, alle 12 Monate zu beantworten, um Informationen zur Einhaltung dieser Klauseln zu erheben. Die Bearbeitung des DSGVO-Fragebogens darf einen Zeitaufwand von fünf (5) Stunden nicht überschreiten. Unter dieser Voraussetzung stellt der Auftragsverarbeiter ohne zusätzliche Vergütung die hierfür erforderlichen Ressourcen (insbesondere Zeit) zur Verfügung.

Schriftliche und physische Inspektionen

Der Verantwortliche kann wählen, ob eine Inspektion als schriftliche Prüfung oder als Vor-Ort-Inspektion durchgeführt wird. Die Inspektion kann durch den Verantwortlichen selbst und/oder unter Hinzuziehung eines Dritten erfolgen. Der Auftragsverarbeiter ist verpflichtet, ohne zusätzliche Vergütung die erforderlichen Ressourcen (insbesondere Zeit) bereitzustellen, damit der Verantwortliche die Inspektion durchführen kann.

Auf Grundlage der Ergebnisse der Selbstbewertung und/oder der Inspektion kann der Verantwortliche weitere Maßnahmen verlangen, um die Einhaltung der DSGVO, der anwendbaren Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten sowie dieser Klauseln sicherzustellen.

C.8. Verfahren für Audits, einschließlich Inspektionen, hinsichtlich der durch Unterauftragsverarbeiter durchgeführten Verarbeitung personenbezogener Daten

Sämtliche vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter unterziehen sich einer Sicherheitsbewertung, um sicherzustellen, dass ihre Verfahren und Maßnahmen den Sicherheits- und Compliance-Standards des Auftragsverarbeiters entsprechen. Der Auftragsverarbeiter überprüft seine Unterauftragsverarbeiter regelmäßig anhand eines risikobasierten Ansatzes, der sich an den jeweils anerkannten Best Practices für solche Prüfungen orientiert. Dies kann unter anderem die Auswertung von Prüfberichten, den Einsatz von Fragebögen sowie weitere geeignete Maßnahmen umfassen.

Anhang D – Vereinbarungen der Parteien zu weiteren Themen

D.1 Vergütung des Auftragsverarbeiters

Der Auftragsverarbeiter erhält für seine Leistungen eine Vergütung, die in der Regel den Charakter von Beratungsleistungen hat. Dies umfasst insbesondere Änderungen der Verarbeitungstätigkeiten des Auftragsverarbeiters, einschließlich Sicherheitsmaßnahmen, die auf Veranlassung des Verantwortlichen erfolgen, es sei denn, solche Änderungen sind nach anwendbarem Recht zwingend erforderlich. Darüber hinaus ist der Auftragsverarbeiter berechtigt, eine Vergütung für den Zeitaufwand zu verlangen, der im Rahmen der Unterstützung des Verantwortlichen gemäß Ziffer 9.1 und 9.2 lit. c entsteht.

Die Vergütung erfolgt auf Stundenbasis entsprechend den zum jeweiligen Zeitpunkt geltenden Standardstundensätzen des Auftragsverarbeiters für Unterstützungsleistungen gegenüber dem Verantwortlichen. Eine Vergütungspflicht entfällt, soweit die Unterstützung des Auftragsverarbeiters aufgrund eines Verstoßes des Auftragsverarbeiters gegen diese Klauseln oder gegen die DSGVO erforderlich geworden ist.

D.2 Haftung

Die Parteien haften nicht für mittelbare Schäden, die aus einer Verletzung dieser Klauseln, der DSGVO oder sonstiger anwendbarer Datenschutzvorschriften resultieren. Als mittelbare Schäden gelten insbesondere entgangener Gewinn, Betriebsverluste, Betriebsunterbrechungen, Kundenverluste sowie Reputations- oder Goodwill-Verluste. Diese Haftungsbeschränkung gilt nicht, sofern das schadensauslösende Verhalten auf Vorsatz oder grober Fahrlässigkeit der haftenden Partei beruht.

Der Auftragsverarbeiter haftet nicht für Schäden, die aus einer missbräuchlichen oder sonst nicht bestimmungsgemäßen Nutzung der bereitgestellten Plattform durch den Verantwortlichen entstehen. In jedem Fall ist die Haftung des Auftragsverarbeiters auf den Betrag begrenzt, den der Verantwortliche in den zwölf (12) Monaten vor dem schadensauslösenden Ereignis gemäß der Servicevereinbarung an den Auftragsverarbeiter gezahlt hat. Haben die vertraglichen Beziehungen zum Zeitpunkt des schadensauslösenden Ereignisses noch keine zwölf (12) Monate bestanden, wird der Haftungshöchstbetrag anteilig berechnet.

Soweit die vom Verantwortlichen erteilten Verarbeitungsweisungen nach dem auf den Verantwortlichen oder den Auftragsverarbeiter anwendbaren Recht rechtswidrig sind, stellt dies ein haftungsbegründendes Verhalten des Verantwortlichen dar. In diesem Fall findet die vorstehende Haftungsbeschränkung keine Anwendung, und der Verantwortliche haftet dem Auftragsverarbeiter gegenüber uneingeschränkt für hieraus entstehende Schäden.

D.3 Gerichtsstand und anwendbares Recht

Diese Klauseln unterliegen dem Recht Dänemarks.

Alle Streitigkeiten aus oder im Zusammenhang mit diesen Klauseln, einschließlich Streitigkeiten über deren Bestehen, Wirksamkeit oder Beendigung, werden – sofern sie nicht durch Verhandlungen zwischen den Parteien in gutem Glauben beigelegt werden können – dem Stadtgericht Kopenhagen (City Court in Copenhagen) zur Entscheidung vorgelegt.