Auftrags-Verarbeitungs-Vertrag (AVV)

§1 Präambel

Der Cloud-Anbieter stellt eine SaaS-Lösung bereit und verarbeitet personenbezogene Daten im Auftrag des Kunden. Für den Betrieb der Plattform nutzt der Cloud-Anbieter Amazon Web Services (AWS) als technische Infrastruktur.

AWS agiert dabei als Unterauftragsverarbeiter (Sub-Prozessor). Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) und anderen geltenden Datenschutzbestimmungen.

Wichtige AWS-Compliance-Informationen: AWS EU Data Protection

Die Begriffe „personenbezogene Daten“, „betroffene Person“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „Unterauftragsverarbeiter“ haben die Bedeutungen gemäß der DSGVO.

§2 Gegenstand der Verarbeitung

Der Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personen-bezogener Daten durch den Cloud-Anbieter im Rahmen der Bereitstellung und Nutzung der SaaS-Lösung durch den Kunden. Die Verarbeitung umfasst insbesondere die Speicherung, Verarbeitung und Übermittlung personenbezogener Daten auf der IT-Infrastruktur des Cloud-Anbieters, die auf Amazon Web Services (AWS) gehostet wird.

Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Cloud-Dienste, einschließlich, aber nicht beschränkt auf, Rechenleistung, Speicherplatz, Datenbanken, Sicherheitsmechanismen sowie weitere damit verbundene Funktionen. Die Dauer der Verarbeitung erstreckt sich über die Laufzeit des Vertrags zwischen dem Cloud-Anbieter und dem Kunden.

Die Art der verarbeiteten personenbezogenen Daten umfasst sämtliche Daten, die der Kunde im Rahmen der Nutzung der SaaS-Lösung speichert oder verarbeitet, wie beispielsweise Namen, Kontaktdaten, Kommunikationsinhalte, Nutzungsdaten und andere kundenbezogene Informationen. Die betroffenen Personen können unter anderem die Kunden des Kunden, dessen Mitarbeiter, Lieferanten oder sonstige Nutzer der SaaS-Lösung sein.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden und unter Einhaltung der datenschutzrechtlichen Vorgaben gemäß der Datenschutz-Grundverordnung (DSGVO) sowie weiterer anwendbarer Datenschutzgesetze.

Darüber hinaus behält sich der Anbieter das Recht vor, im Rahmen der Vertragserfüllung auf personenbezogene Daten zuzugreifen, soweit dies zur Systemvermessung (z. B. Monitoring und Optimierung der Systemleistung), zur Weiterentwicklung der SaaS-Lösung, zur Durchführung von Supportmaßnahmen oder zur Berechnung der vertraglich vereinbarten Nutzungsentgelte erforderlich ist. Solche Zugriffe erfolgen ausschließlich zweckgebunden, unter Einhaltung aller vertraglich vereinbarten Vertraulichkeits- und Sicherheitsmaßnahmen und im Einklang mit den geltenden Datenschutzbestimmungen.

§3 Pflichten des Verantwortlichen (Kunde)

Der Kunde als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) trägt die Verantwortung für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten im Rahmen der Nutzung der SaaS-Lösung. Er stellt sicher, dass die Verarbeitung personenbezogener Daten auf einer gültigen Rechtsgrundlage beruht und die betroffenen Personen gemäß den gesetzlichen Vorgaben über die Datenverarbeitung informiert wurden.

Der Kunde ist verpflichtet, dem SaaS-Anbieter alle notwendigen Anweisungen zur Verarbeitung der personenbezogenen Daten in schriftlicher oder nachweisbarer Form zu erteilen und sicherzustellen, dass diese im Einklang mit den geltenden Datenschutzbestimmungen stehen. Er hat den SaaS -Anbieter unverzüglich zu informieren, falls er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten feststellt.

Darüber hinaus trägt der Kunde die Verantwortung für die Wahrung der Betroffenenrechte, insbesondere für die Bearbeitung von Anfragen zur Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung. Er verpflichtet sich, den SaaS-Anbieter rechtzeitig über entsprechende Anfragen zu informieren, sofern dessen Unterstützung bei der Erfüllung dieser Pflichten erforderlich ist.

Der Kunde stellt sicher, dass die in der SaaS-Lösung verarbeiteten personenbezogenen Daten regelmäßig gesichert werden, soweit dies in seinem Verantwortungsbereich liegt. Er ist zudem verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Datenverarbeitung innerhalb seines Einflussbereichs zu gewährleisten, insbesondere durch die Vergabe sicherer Zugangsdaten sowie die Einhaltung interner Datenschutzrichtlinien.

Falls der Kunde Subunternehmer oder andere Dritte in die Verarbeitung personenbezogener Daten einbindet, trägt er die Verantwortung dafür, dass entsprechende vertragliche Vereinbarungen bestehen, die die Einhaltung der DSGVO und anderer relevanter Datenschutzvorschriften sicherstellen.

Der Kunde hat den SaaS-Anbieter über Datenschutzverstöße, die in seinem Verantwortungs-bereich auftreten und Auswirkungen auf die in der SaaS-Lösung verarbeiteten Daten haben könnten, unverzüglich zu informieren. Bei der Zusammenarbeit mit dem Cloud-Anbieter verpflichtet sich der Kunde zur aktiven Mitwirkung, um den Schutz personenbezogener Daten bestmöglich sicherzustellen.

§4 Pflichten des Auftragsverarbeiters (Saas-Anbieter)

Der SaaS-Anbieter verpflichtet sich, personenbezogene Daten ausschließlich auf Weisung des Kunden zu verarbeiten und dabei alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) zu implementieren, um einen angemessenen Schutz der Daten sicherzustellen. Des Weiteren verpflichtet sich der Cloud-Anbieter, die Rechte der betroffenen Personen gemäß der Datenschutz-Grundverordnung (DSGVO) zu unterstützen und sicherzustellen, dass keine unbefugten Sub-Prozessoren zum Einsatz kommen. Alle relevanten Datenschutzprozesse werden vom Cloud-Anbieter dokumentiert und auf Anfrage des Kunden zur Verfügung gestellt.

§5 Vertraulichkeit

Der SaaS-Anbieter stellt sicher, dass alle zugriffsberechtigten Mitarbeiter zur Vertraulichkeit verpflichtet sind und diese Verpflichtung auch während und nach Beendigung ihrer Tätigkeit bestehen bleibt. Diese Vertraulichkeitspflicht umfasst alle Informationen, die im Rahmen der Auftragsverarbeitung erhalten werden, insbesondere personenbezogene Daten.

Darüber hinaus verpflichtet sich der SaaS-Anbieter, personenbezogene Daten nicht an Dritte weiterzugeben, es sei denn, eine gesetzliche Verpflichtung oder behördliche Anordnung erfordert dies. In einem solchen Fall wird der Kunde unverzüglich informiert, sofern dies nicht durch gesetzliche Bestimmungen oder gerichtliche Anordnungen untersagt ist. Der SaaS-Anbieter gewährleistet, dass jegliche Weitergabe von Daten an Dritte nur in dem erforderlichen Umfang erfolgt und dass alle relevanten gesetzlichen Anforderungen eingehalten werden.

§6 Technische und organisatorische Maßnahmen (TOMs)

Der SaaS-Anbieter setzt umfassende Sicherheitsmaßnahmen gemäß Art. 32 DSGVO um, darunter:

• Verschlüsselung personenbezogener Daten sowohl im Ruhezustand (at rest) als auch bei der Übertragung (in transit)
• Zugriffsbeschränkungen gemäß dem „Least Privilege“-Prinzip, um sicherzustellen, dass nur autorisierte Mitarbeiter auf personenbezogene Daten zugreifen können
• Implementierung von Multi-Faktor-Authentifizierung (MFA), um den Zugriff auf Systeme und Daten weiter abzusichern
• Regelmäßige Backups und Notfallwiederherstellungsmaßnahmen, um die Verfügbarkeit und Integrität der Daten auch bei Systemausfällen zu gewährleisten
• Schutz vor DDoS-Angriffen, Einsatz von Firewalls und weiteren Netzwerksicherheitsmaßnahmen zur Abwehr von Bedrohungen

Der SaaS-Anbieter orientiert sich an bewährten Sicherheitspraktiken, wie sie in den AWS Security Best Practices beschrieben sind, um einen robusten Schutz personenbezogener Daten sicherzustellen.

§7 Speicherort der personenbezogenen Daten

Die Speicherung und Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags erfolgt ausschließlich in der AWS-Region Frankfurt, Deutschland.

Eine Verarbeitung in anderen AWS-Regionen oder durch Subprozessoren außerhalb des Europäischen Wirtschaftsraums (EWR) findet nicht statt, es sei denn, der Kunde erteilt hierzu eine ausdrückliche schriftliche Weisung oder eine solche Verarbeitung ist zur Erfüllung gesetzlicher Pflichten zwingend erforderlich.

Der Cloud-Anbieter stellt sicher, dass alle eingesetzten Subprozessoren an diese geografische Beschränkung gebunden sind.

§8 Einsatz von Unterauftragsverarbeitern (AWS)

Für die technische Infrastruktur setzt der Cloud-Anbieter AWS als Unterauftragsverarbeiter ein. Die Liste der AWS-Subprozessoren ist hier verfügbar: AWS Subprocessors. Diese Liste kann jederzeit durch den Cloud-Anbieter aktualisiert werden.

§9 Rechte der betroffenen Personen

Der SaaS-Anbieter unterstützt den Kunden bei der Wahrnehmung der Betroffenenrechte gemäß der Datenschutz-Grundverordnung (DSGVO), insbesondere:

• Recht auf Auskunft gemäß Art. 15 DSGVO
• Recht auf Berichtigung gemäß Art. 16 DSGVO
• Recht auf Löschung gemäß Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO

Anfragen zu Betroffenenrechten, die der SaaS-Anbieter über AWS erhält, werden unverzüglich an den Kunden weitergeleitet, sodass dieser die entsprechenden Rechte der betroffenen Personen gemäß den gesetzlichen Vorgaben erfüllen kann.

§10 Meldung von Datenschutzverstößen

Der SaaS-Anbieter verpflichtet sich, den Kunden unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nach Bekanntwerden eines Datenschutzverstoßes im Zusammenhang mit den im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten schriftlich zu informieren. Die Meldung hat alle verfügbaren Informationen zu enthalten, die für die Einschätzung des Vorfalls und die Erfüllung etwaiger Meldepflichten gemäß Art. 33 und 34 DSGVO erforderlich sind. Dazu gehören insbesondere Art und Umfang des Verstoßes, die betroffenen Datenarten, potenziell betroffene Personen sowie bereits getroffene oder geplante Maßnahmen zur Abhilfe.

Der Anbieter verpflichtet sich, den Kunden fortlaufend über den Stand der Aufklärung und der ergriffenen Maßnahmen zu informieren.

§11 Datenlöschung nach Vertragsende

Nach Beendigung des Vertragsverhältnisses – unabhängig vom Grund der Vertragsbeendigung – verpflichtet sich der SaaS-Anbieter, sämtliche im Auftrag des Kunden verarbeiteten personenbezogenen Daten unverzüglich und vollständig zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung umfasst sämtliche Daten auf den Produktivsystemen des Anbieters sowie der eingesetzten Subprozessoren, insbesondere solche, die über die SaaS-Plattform verarbeitet oder gespeichert wurden. Der Kunde hat das Recht, eine schriftliche Bestätigung über die vollständige Datenlöschung zu verlangen.

Sofern aus zwingenden gesetzlichen Gründen eine vollständige Löschung nicht zulässig ist (z. B. steuer- oder handelsrechtliche Aufbewahrungspflichten), werden die betroffenen Daten für jegliche weitere Verarbeitung gesperrt und nach Ablauf der Fristen gelöscht. Der Anbieter informiert den Kunden über die betroffenen Datenarten, den Grund der Aufbewahrung sowie die vorgesehene Löschfrist.

Eine Rückgabe der personenbezogenen Daten in einem gängigen maschinenlesbaren Format ist ausschließlich auf schriftliche Anweisung des Kunden und im Rahmen eines gesondert zu beauftragenden, kostenpflichtigen Zusatzauftrags möglich. Bei Kündigung durch den Kunden muss der Auftrag zur Rückgabe spätestens bis zum Wirksamwerden der Vertragsbeendigung erfolgen. Andernfalls erfolgt ausschließlich die vollständige Löschung der Daten gemäß den oben genannten Vorgaben.

§12 Audit- und Kontrollrechte

Der SaaS-Anbieter unterstützt den Kunden bei der Überprüfung der Sicherheitsmaßnahmen und Datenschutzpraktiken, die im Rahmen der Auftragsverarbeitung umgesetzt werden. Der Kunde hat jederzeit die Möglichkeit, diese Maßnahmen zu prüfen, um sicherzustellen, dass sie den geltenden Datenschutzanforderungen entsprechen.

Zur Untermauerung der Sicherheitspraktiken stellt der Cloud-Anbieter Zertifizierungen sowie externe Prüfberichte zur Verfügung, die als Nachweis für die Umsetzung der Sicherheitsmaßnahmen dienen. Eine detaillierte Übersicht der AWS-Zertifizierungen ist unter den AWS Compliance & Certifications zu finden und bietet Transparenz über die Sicherheitsstandards, die bei der Verarbeitung von personenbezogenen Daten angewendet werden.

§13 Haftung & Schlussbestimmungen

Änderungen dieses Vertrags bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrags unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame und durchführbare Regelung zu ersetzen, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung möglichst nahekommt.

Für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag gilt das Recht der Republik Österreich. Ausschließlicher Gerichtsstand ist Wien.