Auftragsverarbeitungsvertrag

Vertragsparteien

§ 1 Gegenstand und Dauer

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der CompliantDesk-Plattform. Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglich geschuldeten Leistung und nach dokumentierter Weisung des Verantwortlichen.

(2) Die Laufzeit entspricht der Laufzeit des zugrunde liegenden Hauptvertrags über die Nutzung der Plattform.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung personenbezogener Daten im Rahmen der SaaS-Plattform CompliantDesk.

(2) Zweck: Bereitstellung und Betrieb der Compliance-Management-Plattform inklusive Risikomanagement, Dokumenten- und Richtlinienverwaltung, Assessments, Nachweis- und Kontrollverwaltung, Benachrichtigungen sowie automatisierter Unterstützungsfunktionen (Richtlinien-Entwürfe, Maßnahmen- Empfehlungen, Audit-Analyse).

(3) Kategorien betroffener Personen: Mitarbeitende und Beauftragte des Verantwortlichen (Nutzerkonten), sowie weitere Personen, deren Daten der Verantwortliche im Rahmen seiner Compliance-Dokumentation einstellt (z.B. Risiko-Owner, Ansprechpartner bei Lieferanten, Auditoren).

(4) Kategorien personenbezogener Daten: Name, dienstliche Kontaktdaten (E-Mail, Telefon, Rolle), Login- und Nutzungsdaten, von Nutzenden selbst eingegebene Inhalte (Dokumente, Richtlinien, Notizen, Risikobeschreibungen, Lieferanteninformationen, Vorfallsmeldungen). Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der regulären Verarbeitung; der Verantwortliche darf solche Daten nicht in die Plattform einstellen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• die personenbezogenen Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen zu verarbeiten;
• seine Beschäftigten zur Vertraulichkeit zu verpflichten;
• geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu treffen — siehe Anlage 1;
• Unterauftragsverarbeiter nur nach den Maßgaben des § 6 einzusetzen;
• den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen sowie bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO angemessen zu unterstützen;
• nach Beendigung der Verarbeitung personenbezogene Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht;
• dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und Überprüfungen im angemessenen Rahmen zu ermöglichen;
• einen Datenschutzbeauftragten zu benennen, sofern gesetzlich erforderlich. Kontakt: datenschutz@compliantdesk.de.

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO. Wesentliche Änderungen werden dem Verantwortlichen angezeigt. Die TOMs dürfen im Zeitablauf fortentwickelt werden, ein gleichwertiges oder höheres Schutzniveau bleibt gewahrt.

§ 5 Weisungsrecht des Verantwortlichen

(1) Der Verantwortliche erteilt Weisungen grundsätzlich in Textform (E-Mail genügt). Die Nutzung der Funktionen der Plattform durch berechtigte Personen des Verantwortlichen gilt als Einzelweisung.

(2) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich zu informieren und darf die Ausführung der Weisung aussetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter.

(2) Bei geplanten Änderungen (Aufnahme weiterer oder Austausch bestehender Unterauftragsverarbeiter) informiert der Auftragsverarbeiter den Verantwortlichen mit einer Frist von mindestens 14 Tagen vor Änderung. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem Grund widersprechen. Widerspricht der Verantwortliche, kann der Auftragsverarbeiter den Vertrag unter Einhaltung einer angemessenen Frist kündigen.

(3) Der Auftragsverarbeiter erlegt dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind. Verletzt ein Unterauftragsverarbeiter diese Pflichten, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für dessen Einhaltung.

§ 7 Rechte der betroffenen Personen

(1) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter zur Geltendmachung von Rechten nach Art. 15 bis 22 DSGVO, so leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung solcher Anfragen, soweit dies möglich ist. Anfallende Aufwände können nach Absprache in Rechnung gestellt werden, sofern die Anfrage offensichtlich nicht auf einem Fehler des Auftragsverarbeiters beruht.

§ 8 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO, die Daten des Verantwortlichen betreffen, unverzüglich nach Kenntniserlangung — spätestens innerhalb von 48 Stunden.

(2) Die Meldung enthält, soweit verfügbar: Art und Umfang der Verletzung, betroffene Datenkategorien, Zeitpunkt, ergriffene Gegenmaßnahmen und Kontaktinformationen für Rückfragen.

§ 9 Beendigung, Rückgabe und Löschung

(1) Der Verantwortliche kann seine Daten während der gesamten Vertragslaufzeit über die Exportfunktionen der Plattform herunterladen. Nach Beendigung des Hauptvertrags werden die personenbezogenen Daten des Verantwortlichen nach einer Kulanzfrist von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf ausdrücklichen Wunsch stellt der Auftragsverarbeiter vor Löschung einen vollständigen Datenexport zur Verfügung. Der Wunsch ist schriftlich an die im Impressum genannte Kontaktadresse zu richten.

§ 10 Haftung

Die Haftung bestimmt sich nach den Regelungen des Hauptvertrags sowie nach Art. 82 DSGVO. Beide Parteien haften gegenüber betroffenen Personen gesamtschuldnerisch, im Innenverhältnis nach ihrem jeweiligen Verursachungsbeitrag.

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie den Datenschutz betreffen.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist München, soweit gesetzlich zulässig.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

• Zutrittskontrolle: Rechenzentren der Auftragnehmer (AWS, Supabase) sind gemäß ISO 27001 und SOC 2 zertifiziert.
• Zugangskontrolle: Authentifizierung mit Passwort (Mindestanforderungen und Stärkeprüfung) und optionaler Zwei-Faktor-Authentifizierung (TOTP). Session-Timeouts konfigurierbar.
• Zugriffskontrolle: Rollenbasiertes Rechtesystem (Owner, Admin, Editor, Viewer) mit modulbasierten Feinberechtigungen und Row-Level-Security auf Datenbankebene.
• Trennungskontrolle: Strikte Mandantentrennung durch organization_id-Filterung und datenbankseitige RLS-Policies.
• Pseudonymisierung: PII-Redactor entfernt personenbezogene Daten (E-Mail, Telefon, IBAN, IP) vor der Übergabe an die KI-gestützten Funktionen.
• KI-gestützte Funktionen: Im Rahmen der KI-gestützten Funktionen werden ausschließlich unternehmensbezogene, nicht personenbezogene Daten an den Microsoft Azure OpenAI Service (EU-Datenzone, Germany West Central) übermittelt. Personenbezogene Daten werden vor Übermittlung durch Platzhalter ersetzt. Microsoft nutzt Eingaben und Ausgaben nicht zum Training eigener Modelle.

Integrität

• Weitergabekontrolle: Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256) auf allen Produktivsystemen.
• Eingabekontrolle: Revisionssicherer Audit-Log über alle datenrelevanten Aktionen mit Benutzer- und Zeitreferenz.

Verfügbarkeit und Belastbarkeit

• Tägliche Datenbank-Backups mit Point-in-Time-Recovery (Aufbewahrungsdauer mindestens 7 Tage).
• Hosting in geografisch gesicherten Rechenzentren (AWS Frankfurt, EU).
• Monitoring und Alerting für Verfügbarkeit und Sicherheitsvorfälle.

Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsaudits und Dependency-Scans.
• Incident-Response-Prozess für Sicherheitsvorfälle und Datenschutzverletzungen.
• DSGVO-konforme Löschprozesse und vollständiger Datenexport auf Anforderung des Verantwortlichen.

Anlage 2 — Genehmigte Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu. Alle Dienstleister verarbeiten Daten innerhalb der EU oder auf Grundlage eines EU-Angemessenheitsbeschlusses bzw. Standardvertragsklauseln:

Eine aktuelle Liste der Unterauftragsverarbeiter kann jederzeit per E-Mail an datenschutz@compliantdesk.de angefordert werden.