Auftragsverarbeitungs-Vertrag

Die nachfolgenden Allgemeine Geschäftsbedingungen zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO (nachfolgend „AGB-AVV“) konkretisieren die Verpflichtungen zum Datenschutz, die sich aus einem zwischen dem Verantwortlichen (nachfolgend ge-schlechtsneutral „Auftraggeber“) und der Curacaru UG (haftungsbeschränkt), vertreten durch Geschäftsführerin Sara Schlüter, Schulstraße 16, 47179 Duisburg, Deutschland (nachfolgend geschlechtsneutral „Auftragnehmer“, gemeinsam mit dem Auftraggeber auch „Parteien“) geschlossenen Dienstleistungsvertrag gem. Ziffer 2.1. (nachfolgend „Hauptvertrag“) ergeben.

2.1. Im Rahmen der Leistungserbringung nach den Allgemeinen Geschäftsbedingungen der Curacaru UG (haftungsbeschränkt) vom 23. September 2024 abrufbar unter dem Link https://curacaru.de/agb (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vor-schriften fungiert (nachfolgend „Auftraggeberdaten“ genannt). Dieser Vertrag konkreti-siert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeberdaten zur Durchführung des Hauptvertrags.

2.2. Der Auftragnehmer verarbeitet die Auftraggeberdaten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

2.3. Die Verarbeitung von Auftraggeberdaten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Anlage 1 („Gegenstand der Auftragsverarbeitung“) zu diesem Vertrag spezifiziert, die Verarbeitung betrifft die dort näher bezeich-neten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.4. Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeberdaten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin über-ein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeberdaten nicht mehr als Auftraggeberdaten im Sinne dieses Vertrags gelten.

2.5.Der Auftragnehmer darf die Auftraggeberdaten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Hiernach ist der Auftragnehmer insbesondere berechtigt, Informationen über die Nutzung des Dienstes durch den Auftraggeber und seine Mitarbeiter (nachfol-gend „Nutzungsdaten“) zu erfassen und diese zu Zwecken der Erfüllung des Hauptver-trags, der bedarfsgerechten Gestaltung des Dienstes, der Bereitstellung von Nutzungs-übersichten, der IT- und Datensicherheit und der Fehlerdiagnose und -behebung zu verarbeiten. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

2.6. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkom-mens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeberdaten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44–48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

3.1. Der Auftragnehmer verarbeitet die Auftraggeberdaten gemäß den Weisungen des Auf-traggebers, sofern der Auftragnehmer nicht durch das Recht der Europäischen Union oder ihrer Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftragge-ber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2. Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmun-gen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festle-gungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentie-ren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.

3.3. Der Auftragnehmer gewährleistet, dass er die Auftraggeberdaten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftrag-geber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwor-tung für die weisungsgemäße Verarbeitung der Auftraggeberdaten beim Auftraggeber liegt.

4.1. Die folgenden Verpflichtungen des Abschnitts „Wahrung des Geheimnisses“ dieses Auf-tragsverarbeitungsvertrages, kommen zur Anwendung, falls die im Auftrag verarbeite-ten Daten Berufsgeheimnisse im Sinne des § 203 StGB umfassen. Die Verpflichtungen gelten unabhängig von den zeitlichen Regelungen dieses Auftragsverarbeitungsvertra-ges auch nach Vertragsende zeitlich unbeschränkt.

4.2. Der Auftragnehmer darf sich nur insoweit Kenntnis von Berufsgeheimnissen verschaf-fen, als dies für die Durchführung des Hauptvertrages sowie dieses Auftragsverarbei-tungsvertrages und Erfüllung der vertraglichen Verpflichtungen erforderlich ist.

4.3. Der Auftraggeber belehrt den Auftragnehmer darüber, dass der Verstoß gegen die Ver-traulichkeitsverpflichtungen entsprechend dem Gesetz und diesem Auftragsverarbei-tungsvertrag durch Bruch der Verschwiegenheit oder die Verwertung fremder Ge-heimnisse gem. §§ 203 Abs. 1, Abs. 4 S. 1 StGB, § 204 StGB zur Bestrafung des Auftrag-nehmers, womit auch für den Auftraggeber handelnde Personen mit umfasst sind, mit einer Freiheitsstrafe bis zu einem Jahr, im Fall von § 204 StGB mit Freiheitsstrafe bis zu zwei Jahren, oder mit Geldstrafe bestraft werden kann. Die Strafandrohung erhöht sich auf eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern der Täter in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, handelt, oder die Absicht hat, durch die Tat einen anderen zu schädigen.

4.4. Sofern der Auftragnehmer Dritte (z. B. Subunternehmer) beauftragt, die an der Auf-tragsverarbeitung des Auftragnehmers mitwirken und Kenntnis von den Berufsgeheim-nissen erlangen können, verpflichtet er die Dritten entsprechend zumindest in Text-form zur Verschwiegenheit. Ferner unterrichtet der Auftragnehmer die Dritten über deren Pflichten. Unabhängig von der vorstehenden Verpflichtung, muss der Auftragge-ber den Einsatz von Dritten erlaubt haben. Der Auftraggeber belehrt den Auftragneh-mer vorsorglich, dass eine Einschaltung Dritter zu einer Freiheitsstrafe von bis zu ei-nem Jahr oder Geldstrafe führen kann, wenn ein Dritter die Verschwiegenheit bricht, und der Auftragnehmer zugleich nicht dafür Sorge getragen hat, dass der Dritte zur Verschwiegenheit verpflichtet wurde (§§ 203 Abs. 1, Abs. 4 S. 2 Nr. 2 StGB). Die Straf-drohung erhöht sich auf Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern der Täter in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, han-delt, oder die Absicht hat, durch die Tat einen anderen zu schädigen.

5.1. Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeberdaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zuei-nander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeberdaten nach Maßgabe dieses Vertrages Ansprüche gel-tend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

5.2. Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeberdaten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist ver-antwortlich für die Qualität der Auftraggeberdaten. Der Auftraggeber hat den Auftrag-nehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auf-tragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich daten-schutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

5.3. Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

5.4. Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflich-tet, Auskünfte über die Verarbeitung von Auftraggeberdaten zu erteilen oder mit die-sen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfül-lung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

6.1. Der Auftragnehmer gewährleistet gemäß Art. 29 DSGVO, dass die ihm unterstellten Personen die Auftraggeberdaten nach Maßgabe dieses Vertrags sowie den Weisungen des Auftraggebers verarbeiten. Der Auftragnehmer hat alle Personen, die Auftraggeberdaten verarbeiten, bezüglich der Verarbeitung von Auftraggeberdaten zur Vertraulichkeit zu verpflichten.

7.1. Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeberdaten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzni-veau für die Auftraggeberdaten zu gewährleisten.

7.2. Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen, insbesondere die näher in Anlage 3 („Technisch-organisatorische Maßnahmen“) zu die-sem Vertrag aufgeführten Maßnahmen, während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.

8.1. Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeberdaten hin-zuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auf-tragsverarbeiter ergeben sich aus Anlage 4 („Unterauftragsverarbeiter“). Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeberdaten nicht ausgeschlossen werden kann, solange der Auftragnehmer an-gemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeberdaten trifft.

8.2. Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auf-traggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Be-nachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entspre-chenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer be-rechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 1 Monaten zu kündigen.

8.3. Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Ver-trages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

8.4. Unter Einhaltung der Anforderungen der Ziffer 2.6. dieses Vertrags gelten die Regelun-gen in dieser Ziffer 8. auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Die Parteien stimmen in diesem Fall überein, dass die Anforderun-gen der vorstehenden Ziffer 8.3.erfüllt sind, wenn mit dem weiteren Auftragsverarbei-ter im Drittstaat die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß Beschluss der EU-Kommission vom 4. Juni 2021 („Stan-dardvertragsklauseln“) abgeschlossen werden. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.

9.1. Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

9.2. Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

9.3. Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auf-traggeberdaten, die Empfänger von Auftraggeberdaten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auf-traggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

9.4. Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehen-den nachzuweisenden Aufwände und Kosten, Auftraggeberdaten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftrag-gebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

9.5. Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenüber-tragbarkeit bezüglich der Auftraggeberdaten nach Art. 20 DSGVO besitzt, wird der Auf-tragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwän-de und Kosten bei der Bereitstellung der Auftraggeberdaten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

10.1. Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeberdaten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige melde-pflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.

10.2. Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderli-chen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuwei-senden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Daten-schutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

11.1. Der Auftragnehmer wird die Auftraggeberdaten nach Abschluss der Erbringung der Verarbeitungsleistungen löschen, sofern nicht nach dem Recht der Europäischen Union oder ihrer Mitgliedstaaten, dem der Auftragnehmer unterliegt, eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeberdaten besteht.

11.2. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbei-tung von Auftraggeberdaten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

12.1. Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

12.2. Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Rege-lungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisato-rischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

12.3. Zur Durchführung von Inspektionen nach Ziffer 12.2. ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10:00 bis 18:00 Uhr unter Ausnahme gesetzlicher Feiertage am Sitz des Auftragnehmers) nach rechtzeitiger Vorankündigung gemäß Ziffer 12.5. auf eigene Kosten, ohne Störung des Betriebsab-laufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeberdaten verarbeitet werden.

12.4. Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auf-tragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Re-gelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hin-sichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar re-levant für die vereinbarten Überprüfungszwecke sind, zu erhalten.

12.5. Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängen-den Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.

12.6. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftrag-geber aufgrund von dieser Ziffer 12. dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Ver-schwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auf-traggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

12.7. Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigne-ten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Da-tenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

14.1. Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüs-se und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutz-rechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von die-sen Ansprüchen auf erstes Anfordern frei.

14.2. Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geld-bußen, die gegen den Auftragnehmer verhängt werden, in dem Umfang auf erstes An-fordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

15.1. Das geltende Recht bestimmt sich nach den gesetzlichen Vorschriften.

15.2. Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.

15.3. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

15.4. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Partei-en verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässi-ge Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

15.5. Dieser Auftragsverarbeitungsvertrag ist ein Teil des Hauptvertrages und wird mit des-sen Abschluss wirksam.

Zwecke der Auftragsverarbeitung

Personenbezogene Daten des Auftraggebers werden auf Grundlage dieses Auftragsverarbei-tungsvertrages zu den folgenden Zwecken verarbeitet:

Vertragsgegenstand ist die entgeltliche und auf die Vertragslaufzeit begrenzte Bereitstellung der Software „Curacaru-App“ (nachfolgend „Software“) in digitaler Form im Unternehmen des Auftraggebers über das Internet sowie die Bereitstellung von Speicherplatz auf den Servern des Auftragnehmers.

Arten und Kategorien von Daten

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Arten und Kategorien von personenbezogenen Daten gehören:
• Bestandsdaten.
• Kontaktdaten.
• Bild- und/ oder Videoaufnahmen.
• Vertragsdaten.
• Zahlungsdaten und Abrechnungsdaten.
• Protokolldaten.
• Meta- und Verbindungsdaten.
• Beschäftigtendaten.
• Gehaltsdaten.
• Leistung- und Verhaltensdaten.
• Geschäftsinformationen.

Verarbeitung besonderer Kategorien von Daten

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten besonderen Katego-rien von personenbezogenen Daten (gem. Art. 9 Abs. 1 DSGVO) gehören:
• Gesundheitsdaten

Kategorien der betroffenen Personen

Zu den durch die Verarbeitung von personenbezogenen Daten auf Grundlage dieses Auftragsver-arbeitungsvertrages betroffenen Personengruppen gehören:
• Softwarenutzer und Anwender.
• Abonnenten.
• Interessenten.
• Verbraucher.
• Geschäftskunden.
• Beschäftigte/ Arbeitnehmer.

Quellen der verarbeiteten Daten

Die auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Daten werden aus den im Folgenden genannten Quellen, bzw. im Rahmen genannter Verfahren erhoben oder sonst empfangen:
• Erhebung bei betroffenen Personen.
• Eingaben, bzw. Angaben des Auftraggebers.
• Erhebung im Rahmen der Nutzung von Software, Applikationen, Webseiten und anderen Onlinediensten.
• Erhebung über Schnittstellen zu Diensten anderer Anbieter.
• Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch oder im Auf-trag des Auftraggebers.

Für die spezifische Auftragsverarbeitung und die darin verarbeiteten personenbezogenen Daten wird ein angemessenes Schutzniveau gewährleistet, das dem Risiko für die Rechte und Freihei-ten der betroffenen natürlichen Personen entspricht. Hierbei stehen insbesondere die Schutz-ziele Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste im Fokus. Die Be-lastbarkeit wird entsprechend Art, Umfang, Umständen und Zweck der Verarbeitungen berück-sichtigt, wodurch durch geeignete technische und organisatorische Maßnahmen langfristig das Risiko reduziert wird.

Organisatorische Maßnahmen

Wir treffen folgende organisatorischen Maßnahmen zur Sicherung personenbezogener Daten und zur Aufrechterhaltung und Sicherstellung eines angemessenen Datenschutzniveaus.

• Auswertung Log-Dateien – Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung von ungewöhnlichen Einträgen.
• Hardware- und Softaktualisierungen – Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines even-tuellen Prüfnotwendigkeit angemessenen Frist ausgeführt.
• Papierloses Büro – Führung eines papierlosen Büros, d. h. Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform auf-bewahrt.
• Security Reporting – Konsequente Dokumentation von Sicherheitsvorkomnisse (auch im Falle keiner externen Meldung z. B. an die Aufsichtsbehörde, betroffene Personen).
• Sicherheitskonzept nach dem Stand der Technik – Weiterentwicklung Sicherheits-konzept nach dem Stand der Technik. Der Stand der Technik sowie die Entwick-lungen, Bedrohungen und Sicherheitsmaßnahmen werden laufend beobachtet und in geeigneter Weise für das eigene Sicherheitskonzept abgeleitet.
• Sorgfältige Auswahl Dienstleister – Sorgfältige Auswahl von Dienstleistern, zur Erfül-lung nebengeschäftlicher Aufgaben (z.B. Wartungs-, Wach-, Transport- und Reini-gungsdienste, freie Mitarbeiter, etc.) und Sicherstellung der Beachtung des Schut-zes personenbezogener Daten sowie ggfs. erforderliche Verpflichtung auf Ver-schwiegenheit und Vertraulichkeit.
• Vertrauenswürdige Quellen – Standardsoftware und entsprechende Updates wer-den nur aus vertrauenswürdigen Quellen bezogen.
• Vertraulichkeitsverpflichtung – Verpflichtung auf die Vertraulichkeit gem. Art. 28 Abs. 3 S. 2 lit. b, Art. 29, Art. 32 Abs. 4 DS-GVO.

Zutrittskontrolle

Es wurden Maßnahmen zur physischen Zutrittskontrolle implementiert, die es Unbefugten un-tersagen, physisch auf die Systeme, Datenverarbeitungsanlagen oder Verfahren zuzugreifen, die zur Verarbeitung personenbezogener Daten dienen.

• Serveranlagen – Datenverarbeitung des Auftraggebers nur bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert (nur Arbeitsplatzrechner und mobile Geräte in den eigenen Geschäftsräumlichkeiten).

Zugangskontrolle

Es wurden Maßnahmen zur elektronischen Zugangskontrolle ergriffen, die sicherstellen, dass Unbefugten der Zugang zu Datenverarbeitungsanlagen, mit denen die Verarbeitung durchge-führt wird, oder Verfahren, verwehrt wird. Dies beinhaltet Maßnahmen klassischer physischer Sicherheit, die unbefugte, direkte physische Einwirkung auf Verarbeitungsanlagen verhindern. Um den Zugang zu unserem Datenverarbeitungsanlagen zu schützen, haben wir folgende Maß-nahmen getroffen.

• Anti-Viren-Software – Einsatz einer Anti-Viren-Software.
• Authentifikation mit Benutzer + Passwort – Datenverarbeitungsanlagen sind pass-wortgeschützt.
• Intrusion-Detection-Systeme – Einsatz von Serversystemen und Diensten, die über Angriffserkennungssysteme verfügen.
• Intrusion-Protection-Systeme – Einsatz von Serversystemen und Diensten, die über Angriffsvermeidung- und Abwehrsysteme verfügen.
• Passwörter verschlüsselt – Keine Speicherung der Passwörter im Klartext, sondern nur gehashed oder verschlüsselt Übertragung.
• Passwortkonzept – Passwörter entsprechend dem Stand der Technik und den An-forderungen an Sicherheit durch entsprechende Mindestlänge und Komplexität.
• Sperrung von Logindaten – Fehlversuche beim Login auf betriebsinterne Systeme werden auf eine angemessene Anzahl beschränkt.
• Software-Firewall – Einsatz von Software-Firewall(s).
• Zwei-Faktor-Authentifizierung – Nutzung einer Zwei-Faktor-Authentifizierung für den Zugang zu Datenverarbeitungsanlagen.

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Be-nutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsbe-rechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Daten-verarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind.

• Passwortlichtlinien – Passwortrichtlinie inkl. Länge, Komplexität und Wechselhäu-figkeit.
• Zugriffsrechte – Personenbezogene Zugriffsrechte zur Nachvollziehbarkeit der Zugriffe.

Weitergabekontrolle

Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass perso-nenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• SSL / TLS Verschlüsselung – Einsatz von SSL-/TLS-Verschlüsselung bei der Datenübertragung im Internet

Auftragskontrolle, Zweckbindung und Trennungskontrolle

Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbe-zogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auf-traggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwe-cken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verar-beitung dieser Daten erfolgt.

• Logische Trennung – Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragnehmers logisch getrennt verar-beitet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z.B. in unterschiedlichen Datenbanken oder durch an-gemessene Attribute).
• Produktiv- und Testsystem – Produktiv- und Testsystem werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrie-ben.
• Sorgfältige Auswahl – Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.
• Unterauftragsverarbeiter – Der Auftragnehmer darf keine weiteren Unterauftragsverarbeiter ohne Zustimmung oder ohne Information des Auftraggebers (die-ser hat dann ein Widerspruchsrecht) aufnehmen.

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.

• Anti-Viren Software – Einsatz von Antivirensoftware zum Schutz vor Malware
• Backup- und Wiederherstellungskonzept – Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.
• Doppelte Serversysteme – Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.
• Geographisch getrennte Backups – Es werden Serversysteme und Dienste einge-setzt, die ein Backupsystem geografisch getrennt, auf dem die aktuellen Daten vorgehalten werden und so ein lauffähiges System auch im Katastrophenfall zur Verfügung stellen, bereithalten.
• Permanente Verfügbarkeit – Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent, insbesondere auf Verfügbarkeit, Fehler sowie Sicherheitsvorfälle überwacht und kontrolliert.
• Redundante Datenhaltung – Redundante Datenhaltung (z.B. gespiegelte Festplat-ten, RAID 1 oder höher, gespiegelter Serverraum).
• Schutz vor DoS Angriffen – Die zur Verarbeitung eingesetzten Serversysteme verfü-gen über einen Schutz gegen Denial of Service (DoS) Angriffe.
• Speicherung bei externen Hosting-Anbietern – Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hin-blick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastro-phen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung.
• Systemischer Löschungsschutz – Die Datensätze des Auftraggebers werden system-seitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffs-beschränkungen, Sicherheitsabfragen und Backups).

Der Auftragsnehmer setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:

Auth0 Inc.

Anschrift:
10900 NE 8th St, Bellevue
Washington 98004

Beauftragte Leistung:
– Identity-Provider
– Accounterstellung, Login und Loginverwaltung

Server Standort:
EU

Link AVV:
https://cdn.auth0.com/website/legal/Aug-2021-Subscription-Agreement-SFDC.pdf


Hetzner Online GmbH

Anschrift:
Industriestr. 25
91710 Gunzenhausen

Beauftragte Leistung:
Hosting

Server Standort:
Falkenstein DE, Nürnberg DE

Link AVV:
https://curacaru.de/wp-con-tent/uploads/2024/10/hetzner-avv.pdf


Stand: 3. Mai 2025