Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO zwischen SDN IT-Services GmbH und dem Kunden
Version 1.0
zwischen SDN IT-Services GmbH, Monetweg 8, 60438 Frankfurt am Main, vertreten durch den Geschäftsführer – nachfolgend „Auftragsverarbeiter" oder „SDN" – und dem in der Hauptvereinbarung bezeichneten Kunden – nachfolgend „Verantwortlicher" oder „Kunde" – gemeinsam die „Parteien".
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 28 DSGVO. (2) Gegenstand, Art und Zweck der Verarbeitung ergeben sich aus der Hauptvereinbarung sowie aus diesem AVV nebst Anlagen. (3) Die Dauer der Verarbeitung entspricht der Laufzeit der Hauptvereinbarung zuzüglich etwaiger gesetzlicher oder vertraglich vereinbarter Aufbewahrungs- und Abwicklungsfristen.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der in der Hauptvereinbarung beschriebenen Leistungen. (2) Die Verarbeitung kann insbesondere das Erheben, Erfassen, Ordnen, Speichern, Auslesen, Verwenden, Übermitteln, Abfragen, Zusammenführen, Bereitstellen, Löschen und Vernichten personenbezogener Daten umfassen. (3) Der konkrete Verarbeitungsrahmen ergibt sich aus Anlage 1 (Verarbeitungsübersicht).
§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Art der personenbezogenen Daten sowie Kategorien betroffener Personen ergeben sich aus Anlage 1. (2) Je nach Nutzung durch den Verantwortlichen können auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sowie Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeitet werden. (3) Der Verantwortliche ist dafür verantwortlich, dass für die jeweilige Verarbeitung eine ausreichende Rechtsgrundlage besteht.
§ 4 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer abweichenden Verarbeitung verpflichtet ist. (2) Als dokumentierte Weisungen gelten auch die vom Verantwortlichen oder dessen berechtigten Nutzern innerhalb der Plattform ausgelösten Verarbeitungen, soweit diese vom Vertragszweck umfasst sind. (3) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. (4) Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtlich unzulässig, wird er den Verantwortlichen hierauf unverzüglich hinweisen. Der Auftragsverarbeiter ist berechtigt, die Umsetzung der betreffenden Weisung bis zu ihrer Bestätigung oder Änderung auszusetzen.
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Rahmen der vertraglichen Vereinbarungen und der dokumentierten Weisungen des Verantwortlichen. (2) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen auf Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Der Auftragsverarbeiter wird seine internen Zuständigkeiten und Prozesse so organisieren, dass die Verarbeitung personenbezogener Daten in nachvollziehbarer und kontrollierter Weise erfolgt. (4) Der Auftragsverarbeiter verwendet die im Auftrag verarbeiteten personenbezogenen Daten nicht für eigene Zwecke des Verantwortlichen-fremden Trainings eigener KI-Modelle. (5) Soweit für einzelne Leistungen Drittanbieter oder Unterauftragsverarbeiter eingesetzt werden, erfolgt dies ausschließlich im Rahmen der vertraglichen, datenschutzrechtlichen und organisatorischen Vorgaben dieses AVV.
§ 6 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter ergreift nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. (2) Die zum Zeitpunkt des Vertragsschlusses vereinbarten Maßnahmen ergeben sich aus Anlage 2 (Technisch-organisatorische Maßnahmen). (3) Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen weiterzuentwickeln und durch gleichwertige oder höherwertige Maßnahmen zu ersetzen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
§ 7 Berichtigung, Löschung und Einschränkung der Verarbeitung
(1) Der Auftragsverarbeiter wird den Verantwortlichen dabei unterstützen, personenbezogene Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, soweit dies im Rahmen der beauftragten Leistungen erforderlich und dem Auftragsverarbeiter möglich ist. (2) Der Auftragsverarbeiter wird Weisungen zur Berichtigung, Löschung oder Einschränkung der Verarbeitung im Rahmen der vertraglichen Vereinbarungen und der technischen Möglichkeiten umsetzen. (3) Soweit eine sofortige vollständige Löschung in einzelnen Teilsystemen aus technischen Gründen nicht unverzüglich automatisiert erfolgt, wird der Auftragsverarbeiter angemessene organisatorische oder technische Ersatzmaßnahmen treffen und die Löschung im Rahmen der regulären Prozesse nachholen.
§ 8 Unterstützungspflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung der Pflichten des Verantwortlichen nach Art. 32 bis 36 DSGVO. (2) Dies umfasst insbesondere angemessene Unterstützung bei a) der Sicherheit der Verarbeitung, b) der Meldung und Benachrichtigung bei Datenschutzverletzungen, c) Datenschutz-Folgenabschätzungen, d) einer etwaigen Konsultation der zuständigen Aufsichtsbehörde. (3) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner, soweit möglich und zumutbar, bei der Erfüllung von Betroffenenrechten.
§ 9 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO bekannt geworden ist, soweit diese den Verantwortlichen betrifft. (2) Die Meldung enthält, soweit dem Auftragsverarbeiter zum Zeitpunkt der Meldung möglich, angemessene Informationen über a) die Art des Vorfalls, b) die betroffenen Datenkategorien, c) die betroffenen Personengruppen, d) die voraussichtlichen Folgen sowie e) die bereits ergriffenen oder vorgeschlagenen Maßnahmen. (3) Soweit einzelne Informationen nicht gleichzeitig bereitgestellt werden können, werden sie ohne unangemessene Verzögerung nachgereicht.
§ 10 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern nach Maßgabe dieses § 10. (2) Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 3 (Unterauftragsverarbeiterliste). (3) Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in Textform informieren. (4) Der Verantwortliche kann einer solchen Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Kalendertagen nach Zugang der Mitteilung in Textform widersprechen. (5) Erfolgt ein berechtigter Widerspruch und ist dem Auftragsverarbeiter eine zumutbare Alternative nicht möglich, sind beide Parteien berechtigt, die von der Änderung betroffene Leistung oder, sofern dies nicht praktikabel ist, den Vertrag aus wichtigem Grund zu kündigen. (6) Der Auftragsverarbeiter wird mit jedem Unterauftragsverarbeiter eine Vereinbarung schließen, die diesem im Wesentlichen dieselben datenschutzrechtlichen Pflichten auferlegt, wie sie in diesem AVV festgelegt sind, soweit dies nach Art. 28 DSGVO erforderlich ist.
§ 11 Drittlandbezüge
(1) Eine Verarbeitung personenbezogener Daten in einem Drittland oder unter Einschaltung eines Unterauftragsverarbeiters mit Drittlandbezug erfolgt nur, soweit dies in Anlage 3 ausgewiesen ist oder vom Verantwortlichen gesondert angewiesen wurde und die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. (2) Soweit Drittlandübermittlungen erfolgen, wird der Auftragsverarbeiter geeignete Garantien nach Kapitel V DSGVO sicherstellen, soweit keine gesetzliche Ausnahme greift.
§ 12 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzpflichten durch den Auftragsverarbeiter in angemessenem Umfang zu kontrollieren oder durch zur Vertraulichkeit verpflichtete Dritte kontrollieren zu lassen. (2) Kontrollen sind mit angemessener Vorlaufzeit anzukündigen und während der üblichen Geschäftszeiten durchzuführen, soweit nicht ein besonderer Anlass eine kurzfristigere Prüfung rechtfertigt. (3) Die Kontrollen haben auf berechtigte Geheimhaltungs- und Sicherheitsinteressen des Auftragsverarbeiters sowie anderer Kunden Rücksicht zu nehmen. (4) Der Auftragsverarbeiter ist berechtigt, Kontrollen auf geeignete Nachweise, Zertifikate, Testate, Berichte, Selbstauskünfte oder Remote-Audits zu verweisen, soweit dies dem Kontrollzweck angemessen Rechnung trägt.
§ 13 Rückgabe und Löschung nach Vertragsende
(1) Nach Beendigung der Hauptvereinbarung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen die im Auftrag verarbeiteten personenbezogenen Daten löschen oder zurückgeben, soweit keine gesetzliche Aufbewahrungspflicht oder ein berechtigter technischer Nachlauf entgegensteht. (2) Gesetzliche Aufbewahrungsfristen und solche Datenbestände, deren Vorhaltung für Abrechnung, Nachweisführung, IT-Sicherheit oder gesetzliche Verteidigungspflichten erforderlich ist, bleiben unberührt; solche Daten werden bis zur Löschung gesperrt bzw. nur zu diesen Zwecken weiterverarbeitet. (3) Auf Verlangen bestätigt der Auftragsverarbeiter dem Verantwortlichen die Löschung oder Rückgabe in angemessenem Umfang.
§ 14 Vertraulichkeit
(1) Der Auftragsverarbeiter wahrt die Vertraulichkeit der im Auftrag verarbeiteten personenbezogenen Daten. (2) Der Auftragsverarbeiter wird seine mit der Verarbeitung befassten Personen vor Aufnahme ihrer Tätigkeit angemessen auf Vertraulichkeit verpflichten und auf ihre datenschutzrechtlichen Pflichten hinweisen. (3) Weitergehende gesetzliche oder berufsrechtliche Vertraulichkeitsanforderungen der Parteien bleiben unberührt.
§ 15 Haftung
(1) Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften sowie nach den ergänzenden Haftungsregelungen der Hauptvereinbarung, soweit diese mit Art. 82 DSGVO und Art. 28 Abs. 4 DSGVO vereinbar sind. (2) Dieser AVV begründet keine über die Hauptvereinbarung hinausgehende Erfolgshaftung oder Garantie, sofern dies nicht ausdrücklich vereinbart ist.
§ 16 Schlussbestimmungen
(1) Dieser AVV ergänzt die Hauptvereinbarung. Bei Widersprüchen gehen für Fragen der Auftragsverarbeitung die Regelungen dieses AVV vor. (2) Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist. (3) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. (4) Es gilt das Recht der Bundesrepublik Deutschland.
§ 17 Anlagen
• Anlage 1: Verarbeitungsübersicht (Art, Zweck, Datenkategorien, Betroffenengruppen) — siehe unten • Anlage 2: Technisch-organisatorische Maßnahmen (TOM) — kundenindividuell; Überblick unter /trust/sicherheit • Anlage 3: Unterauftragsverarbeiterliste / Drittlandbezüge — öffentliche Fassung unter /trust/unterauftragsverarbeiter
Anlage 1 — Verarbeitungsübersicht
1. Gegenstand der Verarbeitung
Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Zusammenhang mit der Bereitstellung und dem Betrieb der Lexa-Plattform als Software-as-a-Service für den Kanzleibetrieb. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Auftrag und nach Maßgabe der Hauptvereinbarung, des Auftragsverarbeitungsvertrags sowie dokumentierter Weisungen des Verantwortlichen.
2. Art und Zweck der Verarbeitung
Die Verarbeitung dient der technischen Bereitstellung, Durchführung und Unterstützung der vom Verantwortlichen genutzten Plattformfunktionen. Hierzu können insbesondere folgende Verarbeitungszwecke gehören: • Verwaltung von Akten, Beteiligten, Kontakten, Dokumenten und Vorgängen • Bereitstellung von Kommunikations- und Kollaborationsfunktionen • Unterstützung bei Dokumentenerstellung, Dokumentenverarbeitung und Dokumentenorganisation • Bereitstellung von Such-, Strukturierungs-, Extraktions-, Zusammenfassungs- und sonstigen Analysefunktionen • Bereitstellung von KI-gestützten Unterstützungsfunktionen im vom Verantwortlichen genutzten Umfang • Nutzer-, Rechte- und Mandantenverwaltung • Sicherstellung von Betrieb, IT-Sicherheit, Fehleranalyse und Support • Datensicherung, Wiederherstellung und technische Administration Die Art der Verarbeitung kann insbesondere das Erheben, Erfassen, Ordnen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln, Bereitstellen, Abfragen, Einschränken, Löschen und Vernichten personenbezogener Daten umfassen.
3. Kategorien betroffener Personen
Von der Verarbeitung können insbesondere folgende Personengruppen betroffen sein: • Nutzer des Verantwortlichen, insbesondere Rechtsanwälte, Berufsträger, Assistenz, Sekretariat, Administration und sonstige berechtigte Mitarbeiter • Mandanten des Verantwortlichen • Ansprechpartner bei Mandanten, Interessenten und sonstigen Geschäftskontakten • Gegenparteien • Zeugen • Sachverständige • Ansprechpartner bei Gerichten, Behörden, Versicherungen und sonstigen Verfahrensbeteiligten • Sonstige Dritte, deren Daten im Rahmen eines Mandats, Vorgangs oder Dokuments verarbeitet werden
4. Kategorien personenbezogener Daten
Je nach Nutzung der Plattform und den durch den Verantwortlichen eingestellten Inhalten können insbesondere folgende Datenkategorien verarbeitet werden: • Stammdaten, insbesondere Namen, Anreden, Titel, Funktionen, Kanzlei- und Unternehmenszuordnungen • Kontaktdaten, insbesondere Anschriften, E-Mail-Adressen, Telefonnummern und sonstige Kommunikationsdaten • Mandats-, Akten- und Vorgangsdaten • Dokumenten- und Inhaltsdaten aus hochgeladenen, erzeugten, bearbeiteten oder gespeicherten Dateien • Korrespondenz- und Kommunikationsdaten • Termin-, Fristen- und Statusinformationen • Abrechnungs- und leistungsbezogene Daten • Nutzungs-, Protokoll- und Administrationsdaten • Authentifizierungs- und Berechtigungsdaten • Sonstige personenbezogene Daten, die der Verantwortliche im Rahmen der Nutzung der Plattform verarbeitet
5. Besondere Kategorien personenbezogener Daten
Je nach Einsatzbereich der Plattform durch den Verantwortlichen können auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sowie Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeitet werden. Die Entscheidung über Eingabe, Nutzung und rechtliche Zulässigkeit solcher Daten liegt beim Verantwortlichen.
6. Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer der Hauptvereinbarung sowie darüber hinaus nur, soweit und solange gesetzliche Aufbewahrungspflichten, technische Nachlaufprozesse oder dokumentierte Weisungen des Verantwortlichen dies erfordern. Im Übrigen gelten die Regelungen des AVV zur Rückgabe und Löschung nach Vertragsende.