1. Gegenstand und Laufzeit des DPA

   1.1 Gegenstand

   • 1.1.1 Der Gegenstand des DPA ergibt sich aus den Nutzungsbedingungen, die zwischen dem Verarbeiter und dem Verantwortlichen über die Bereitstellung der Anwendung Beam (im Folgenden als "Hauptvertrag" bezeichnet) abgeschlossen wurden.

   1.2 Laufzeit

   • 1.2.1 Die Laufzeit dieses DPA wird durch die Laufzeit des Hauptvertrags bestimmt. Das Recht, dieses DPA aus wichtigem Grund fristlos zu kündigen, bleibt unberührt. Kündigungen müssen schriftlich erfolgen, um wirksam zu sein. Die Datenverarbeitung gemäß diesem DPA darf nur außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums erfolgen, sofern die erforderlichen datenschutzrechtlichen Anforderungen gemäß Artikel 44 ff. DSGVO erfüllt sind.

   
   

2. Festlegung des Umfangs des DPA

   2.1 Art und Zweck der beabsichtigten Datenverarbeitung

   • 2.1.1 Die Daten des Verantwortlichen werden vom Verarbeiter zum Zweck der Ausführung des Hauptvertrags verarbeitet.

   2.2 Art der Daten und Kategorien der betroffenen Personen

   • 2.2.1 Gegenstand der Verarbeitung personenbezogener Daten sind die im Anhang 1 spezifizierten Arten/Kategorien von Daten und die darin angegebenen Personenkategorien.

3. Technische und organisatorische Maßnahmen

   3.1 Der Verarbeiter stellt gemäß Artikel 28 (3) (c) und 32 DSGVO Sicherheit her, insbesondere im Zusammenhang mit Artikel 5 (1), (2) DSGVO.

   3.2 Der Verarbeiter hat vor Beginn der Verarbeitung die erforderlichen technischen und organisatorischen Maßnahmen dokumentiert, insbesondere hinsichtlich der speziellen Ausführung des DPA in Anhang 2. Der Verantwortliche stimmt den im Anhang 2 aufgeführten Maßnahmen zu und hat sie als angemessen akzeptiert. Soweit die Prüfung/Überprüfung des Verantwortlichen Anpassungsbedarf ergibt, sollen die notwendigen Anpassungen einvernehmlich umgesetzt werden.

   3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. In diesem Zusammenhang ist der Verarbeiter berechtigt, alternative angemessene Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

   3.4 Die Verarbeitung der Daten durch Mitarbeiter des Verarbeiters außerhalb der Räumlichkeiten des Verarbeiters (mobiles Arbeiten) ist gestattet. Der Verantwortliche erkennt an, dass in diesen Fällen die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen nicht vollständig passen. Der Verarbeiter gewährleistet jedoch, dass er auch angemessene technische und organisatorische Maßnahmen für die Datenverarbeitung gemäß diesem DPA außerhalb seiner eigenen Geschäftsräume trifft. Auf Anfrage des Verantwortlichen legt der Verarbeiter die unternehmenseigene Richtlinie zum mobilen Arbeiten vor.

4. Berichtigung, Einschränkung und Löschung von Daten

   4.1 Der Verarbeiter darf die unter diesem DPA verarbeiteten Daten nicht eigenmächtig berichtigen, löschen oder die Verarbeitung einschränken, sondern nur gemäß den Anweisungen des Verantwortlichen. Wenn sich eine betroffene Person direkt an den Verarbeiter wendet, um das Recht auf Berichtigung, Löschung oder Einschränkung geltend zu machen, leitet der Verarbeiter die Anfrage an den Verantwortlichen weiter.

   
   

5. Qualitätssicherung und andere Pflichten des Verarbeiters

   5.1 Zusätzlich zur Einhaltung der Bestimmungen dieses DPA hat der Verarbeiter gesetzliche Verpflichtungen gemäß den Artikeln 28 bis 33 der DSGVO; in diesem Zusammenhang stellt der Verarbeiter insbesondere sicher, dass folgende Anforderungen eingehalten werden:

   • 5.1.1 Der Verarbeiter ist sich bewusst, dass der Verarbeiter Unternehmensdaten verarbeiten kann, die besondere Vertraulichkeit erfordern und gegebenenfalls auch Geschäftsgeheimnisse des Verantwortlichen beinhalten. Bei der Durchführung der Verarbeitung beschäftigt der Verarbeiter daher nur Mitarbeiter, die zur Geheimhaltung verpflichtet wurden und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Der Verarbeiter informiert seine Mitarbeiter über den außergewöhnlich vertraulichen Charakter solcher Daten und sensibilisiert und schult alle Mitarbeiter entsprechend. Der Verarbeiter und jede Person unter seiner Kontrolle, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeiten, einschließlich der in diesem DPA erteilten Autorisierungen, es sei denn, sie sind gesetzlich verpflichtet, dies zu tun. Die weiterreichenden Geheimhaltungspflichten gemäß Abschnitt 9 bleiben unberührt.

   • 5.1.2 Der Verantwortliche und der Verarbeiter kooperieren auf Anfrage mit der Aufsichtsbehörde bei der Wahrnehmung von Aufgaben.

   • 5.1.3 Die Kontrollaktionen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf dieses DPA beziehen, werden dem Verantwortlichen unverzüglich mitgeteilt. Dies gilt auch, soweit eine zuständige Behörde im Rahmen von Ordnungswidrigkeiten oder Strafverfahren im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses DPA beim Verarbeiter ermittelt.

   • 5.1.4 Für den Fall, dass der Verantwortliche einer Inspektion durch die Aufsichtsbehörde, Verwaltungs- oder Strafverfahren, einer Haftungsklage einer betroffenen Person oder eines Dritten oder einer anderen Forderung im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Verarbeiter im Auftrag des Verantwortlichen unterliegt, unterstützt der Verarbeiter den Verantwortlichen nach besten Kräften.

   • 5.1.5 Der Verarbeiter überwacht regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Bereich des Verarbeiters gemäß den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist.

   5.2 Der Verarbeiter unterstützt den Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 der DSGVO festgelegten Verpflichtungen hinsichtlich der Sicherheit personenbezogener Daten, der Meldepflichten bei Datenverletzungen, der Datenschutz-Folgenabschätzungen und der Vorab-Konsultationen. Dazu gehört unter anderem die Verpflichtung,:

   • 5.2.1 Ein angemessenes Datenschutzniveau durch technische und organisatorische Maßnahmen sicherzustellen, die die Umstände und Zwecke der Verarbeitung sowie die vorhergesehene Wahrscheinlichkeit und Schwere eines potenziellen Sicherheitsvorfalls adressieren und eine sofortige Erkennung relevanter Ereignisse ermöglichen.

   • 5.2.2 Persönliche Datenverletzungen dem Verantwortlichen unverzüglich zu melden

   • 5.2.3 Den Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen zur Information der betroffenen Personen zu unterstützen und alle relevanten Informationen in diesem Zusammenhang unverzüglich zur Verfügung zu stellen

   • 5.2.4 Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen

   • 5.2.5 Den Verantwortlichen bei Vorab-Konsultationen mit der Aufsichtsbehörde zu unterstützen.

   5.3 Für Unterstützungsleistungen, die im Hauptvertrag nicht vereinbart sind oder aufgrund falschen Verhaltens des Verarbeiters notwendig werden, kann der Verarbeiter eine angemessene Vergütung verlangen.

   
   

6. Unterauftragnehmer

   6.1 „Unterauftragnehmer“ im Sinne dieser Bestimmung sind Dienstleister, die Dienstleistungen erbringen, die direkt mit der Erbringung der Hauptdienstleistung im Rahmen dieses DPA zusammenhängen. Nicht durch den Begriff Unterauftragnehmer abgedeckt sind Dienstleister, die dem Verarbeiter Nebendienstleistungen erbringen, z.B. Telekommunikationsdienste, Post-/Transportdienste, Wartungs- und Benutzerdienste oder die Entsorgung von Datenträgern sowie andere Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Widerstandsfähigkeit der Hardware- und Software-Systeme der Datenverarbeitung. Der Verarbeiter ist jedoch verpflichtet, angemessene und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen umzusetzen, um den Datenschutz und die Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebendienstleistungen sicherzustellen.

   6.2 Der Verantwortliche stimmt der Beauftragung der im Anhang 3 aufgeführten Unterauftragnehmer zu, sofern eine vertragliche Vereinbarung zwischen dem Verarbeiter und dem jeweiligen Unterauftragnehmer gemäß Artikel 28 (2) bis (4) der DSGVO abgeschlossen wird.

   6.3 Die Auslagerung der Datenverarbeitung an weitere Unterauftragnehmer oder der Wechsel der beauftragten Unterauftragnehmer wird unter folgenden Bedingungen gestattet:

   • 6.3.1 Der Verarbeiter informiert den Verantwortlichen innerhalb einer angemessenen Frist im Voraus schriftlich oder in Textform über die Auslagerung an Unterauftragnehmer

   • 6.3.2 Der Verantwortliche erhebt keinen schriftlichen Einspruch und

   • 6.3.3 Als vertragliche Grundlage wird eine vertragliche Vereinbarung gemäß Artikel 28 (2) bis (4) der DSGVO verwendet.

   6.4 Der Einspruch gemäß Abschnitt 6.3.2 muss innerhalb eines Zeitraums von einem Monat nach Bereitstellung der Informationen erfolgen. Im Falle eines Einspruchs trägt der Verantwortliche die Konsequenzen (z.B. subjektive Unmöglichkeit der Leistung) und etwaige zusätzliche Kosten, die sich daraus ergeben, dass der Unterauftragnehmer nicht beauftragt werden kann. Wenn der Verarbeiter aufgrund des Einspruchs die im Hauptvertrag vereinbarte Leistung nicht erbringen kann oder nur zu wirtschaftlich unzumutbaren Kosten erbringen kann, hat der Verarbeiter ein außerordentliches Kündigungsrecht.

   6.5 Die Übertragung personenbezogener Daten des Verantwortlichen an den Unterauftragnehmer und die erstmalige Beauftragung des Unterauftragnehmers ist nur gestattet, nachdem alle Anforderungen für die Auslagerung der Datenverarbeitung an Unterauftragnehmer erfüllt wurden.

   6.6 Für den Fall, dass der Unterauftragnehmer den vereinbarten Dienst außerhalb der EU/EWR erbringt, stellt der Verarbeiter sicher, dass der vom Unterauftragnehmer erbrachte Dienst durch geeignete Maßnahmen mit den Datenschutzbestimmungen übereinstimmt. Gleiches gilt, wenn Dienstleister, die Nebendienstleistungen im Sinne von Abschnitt 6.1 erbringen, beauftragt werden.

   6.7 Weitere Auslagerungen durch den Unterauftragnehmer sind nur im Rahmen der gesetzlichen Bestimmungen gestattet.

   
   

7. Kontrollrechte des Verantwortlichen

   7.1 Der Verantwortliche hat das Recht, in Absprache mit dem Verarbeiter, Inspektionen in den Geschäftsräumen des Verarbeiters durchzuführen oder Inspektionen von benannten Prüfern durchführen zu lassen. Der Verantwortliche hat das Recht, sich während der Geschäftszeiten durch Stichproben, die mindestens vier Wochen im Voraus angekündigt werden müssen, in den Geschäftsräumen des Verarbeiters von der Einhaltung des DPA zu überzeugen. Solche Inspektionen finden nicht öfter als einmal im Jahr statt.

   7.2 Der Verarbeiter stellt sicher, dass der Verantwortliche sich von der Einhaltung seiner Pflichten gemäß Art. 28 DSGVO durch den Verarbeiter überzeugen kann. Der Verarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage die notwendigen Informationen zur Verfügung zu stellen und insbesondere den Nachweis der Implementierung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu erbringen.

   7.3 Der Nachweis dieser Maßnahmen, die sich nicht nur auf die spezifische Datenverarbeitung gemäß diesem DPA beziehen, kann erbracht werden durch

   • 7.3.1 Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 DSGVO

   • 7.3.2 Zertifizierung gemäß einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO

   • 7.3.3 Aktuelle Bescheinigungen, Berichte oder Auszüge aus Berichten von unabhängigen Organisationen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheitsabteilungen, Datenschutzauditoren, Qualitäts-Auditoren)

   • 7.3.4 Geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. gemäß den Standards für IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik).

   7.4 Der Verarbeiter kann für die Ermöglichung der Inspektionen eine angemessene Vergütung verlangen.

   
   

8. Ermächtigung des Verantwortlichen zur Erteilung von Weisungen

   8.1 Der Verantwortliche bestätigt sofort mündliche Weisungen mindestens in Textform (dokumentierte Weisung). Der Verantwortliche kann keine Ansprüche aus Weisungen ableiten, die nicht rechtzeitig in Textform bestätigt wurden.

   8.2 Der Verarbeiter informiert den Verantwortlichen, wenn der Verarbeiter der Meinung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Verarbeiter ist berechtigt, die Ausführung der betroffenen Weisung auszusetzen, bis die Weisung vom Verantwortlichen bestätigt oder geändert wurde.

   8.3 Der Verarbeiter ist verpflichtet, alle Kenntnis über persönliche Daten, Geschäftsgeheimnisse und Datenschutzmaßnahmen des Verantwortlichen, die im Rahmen der Vertragsbeziehung erlangt wurden, vertraulich zu behandeln.

9. Vertraulichkeit

   9.1 Der Verarbeiter ist verpflichtet, Kenntnis von vertraulichen Informationen nur in dem Maße zu erlangen, wie dies zur Erfüllung seiner Aufgaben gegenüber dem Verantwortlichen erforderlich ist. Soweit der Verarbeiter Mitarbeiter oder Dienstleister zur Erfüllung des Vertrags einsetzt, legt der Verarbeiter diesen Personen dieselben Verpflichtungen aus diesem DPA auf. Entsprechende Erklärungen werden dem Verantwortlichen auf Anfrage vorgelegt. Der Verarbeiter kann auch Mustererklärungen vorlegen, sofern die Vorlage aller eingereichten Erklärungen im Einzelfall aufgrund rechtlicher oder tatsächlicher Gründe unverhältnismäßig ist und sofern der Verarbeiter schriftlich zusichert, dass alle relevanten Mitarbeiter / Dienstleister gemäß diesem Muster verpflichtet wurden. Abschnitt 6 und insbesondere Abschnitt 6.1 bleiben in jedem Fall unberührt.

   9.2 Soweit bereits eine Geheimhaltungsverpflichtung zwischen dem Verantwortlichen und dem Verarbeiter im Hauptvertrag oder anderweitig vereinbart wurde, gelten die Bestimmungen zur Vertraulichkeit aus diesem Abschnitt 9 zusätzlich zu dieser Geheimhaltungsverpflichtung. Im Fall eines Konflikts hinsichtlich einer bestimmten Situation gilt für den Verarbeiter die strengere Bestimmung.

   9.3 Die Verpflichtung zur Geheimhaltung gemäß diesem Abschnitt 9 bleibt über die vertragliche Beziehung hinaus zeitlich unbegrenzt bestehen.

10. Löschung und Rückgabe personenbezogener Daten

    10.1 Kopien oder Duplikate der Daten dürfen ohne Kenntnis des Verantwortlichen nicht erstellt werden. Dies gilt nicht für Sicherungskopien, soweit diese erforderlich sind, um eine ordnungsgemäße Datenverarbeitung sowie eine gesetzlich vorgeschriebene Datenverarbeitung sicherzustellen.

    10.2 Nach Abschluss der vertraglich vereinbarten Leistungen oder auf Anfrage durch den Verantwortlichen - spätestens bei Beendigung des Hauptvertrags - ist der Verarbeiter verpflichtet, alle Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Rahmen der Vertragsbeziehung in seinen Besitz gelangt sind, an den Verantwortlichen zurückzugeben oder nach vorheriger Zustimmung gemäß Datenschutzrecht zu vernichten. Gleiches gilt für Test- und Ablehnungsmaterial. Der Nachweis der Löschung wird auf Anfrage vorgelegt.

    10.3 Dokumentationen, die als Nachweis der ordnungsgemäßen Verarbeitung gemäß diesem DPA dienen, werden vom Verarbeiter über die Laufzeit des DPA hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufbewahrt. Der Verarbeiter kann sie am Ende der Laufzeit des DPA dem Verantwortlichen übergeben zur Entlastung des Verarbeiters.

11. Haftung

    11.1 Im Falle der Drohung oder Verhängung von Schadenersatzansprüchen gemäß Artikel 82 der DSGVO, Bußgeldern gemäß Artikel 83 der DSGVO und/oder anderen Sanktionen gemäß Artikel 84 der DSGVO im Zusammenhang mit den durch dieses DPA abgedeckten Verarbeitungstätigkeiten informiert die jeweilige Partei die andere Partei unverzüglich in Textform darüber. Der Verantwortliche und der Verarbeiter sind verpflichtet, sich gegenseitig bei der Abwehr der vorgenannten Ansprüche zu unterstützen.

    11.2 Der Verantwortliche und der Verarbeiter haften für die Verarbeitung von Daten im Außenverhältnis gemäß den einschlägigen Gesetzen. Die Haftung im Innenverhältnis zwischen dem Verantwortlichen und dem Verarbeiter richtet sich nach den Bestimmungen des Hauptvertrags.

12. Schlussbestimmungen

    12.1 Die Bestimmungen dieses DPA gelten nur für die Verarbeitung personenbezogener Daten gemäß Artikel 28 DSGVO und haben Vorrang vor jeglichen widersprüchlichen oder abweichenden Bestimmungen aus dem Hauptvertrag in diesem Umfang.

    12.2 Alle Änderungen dieses DPA müssen schriftlich erfolgen. Dies gilt auch für jede Änderung dieser Schriftformklausel. Die Schriftform kann auch durch Briefverkehr (außer bei Kündigungsschreiben) oder durch elektronisch übermittelte Unterschriften (Fax, Übermittlung gescannter Unterschriften per E-Mail) eingehalten werden. Abschnitt 127 (2) und (3) BGB finden jedoch in allen anderen Fällen keine Anwendung.

Anhang 1: Kategorien betroffener Personen und Kategorien personenbezogener Daten

a) Kategorien betroffener Personen

• Mitarbeiter des Verantwortlichen

• Aktionäre und Vorstandsmitglieder des Verantwortlichen

• Geschäftspartner des Verantwortlichen

• Kunden des Verantwortlichen

• Lieferanten/Dienstleister (einschließlich ihrer Mitarbeiter)

b) Auftragsbezogene Daten

Alle kundenbezogenen Daten, die zur Erfüllung des Hauptauftrags erforderlich sind

Anlage 2: Technische und organisatorische Maßnahmen 

Vertraulichkeit

a) Zugangskontrolle

Kein unberechtigter Zugriff auf Datenverarbeitungssysteme, gewährleistet durch:

• Magnetische oder Chipkarten

• Elektrischer Türöffner

• Sicherheitsdienst oder Pförtner

• Alarmsysteme

• Videoüberwachungssysteme

b) Zugangskontrolle

Keine unberechtigte Systemnutzung, gewährleistet durch:

• (Sichere) Passwörter

• Zwei-Faktor-Authentifizierung

c) Zugangskontrolle

Kein unberechtigtes Lesen, Kopieren, Ändern oder Entfernen innerhalb des Systems, gewährleistet durch:

• Autorisierungskonzepte

• Bedarfsbasierte Zugriffsrechte

• Protokollierung von Zugriffen

d) Trennungskontrolle

Separate Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, gewährleistet durch:

• Mandantenfähigkeit

• Sandboxing

e) Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Rückgriff auf zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern solche zusätzlichen Informationen getrennt aufbewahrt und geeigneten technischen und organisatorischen Maßnahmen unterliegen.

Integrität

a) Transportkontrolle

Kein unberechtigtes Lesen, Kopieren, Ändern oder Entfernen während des elektronischen Transports, gewährleistet durch:

• Verschlüsselung

• Virtuelle private Netzwerke (VPN)

• Elektronische Signaturen

b) Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, gewährleistet durch:

• Protokollierung

• Dokumentenmanagement

Verfügbarkeit und Belastbarkeit

a) Verfügbarkeitskontrolle

Schutz gegen zufällige oder vorsätzliche Zerstörung oder Verlust, gewährleistet durch Backup-Strategie (Online/Offline; Vor-Ort/Off-Site)

• Unterbrechungsfreie Stromversorgung (USV)

• Virenschutz

• Firewall

• Meldekanäle

• Notfallpläne

b) Schnelle Wiederherstellbarkeit

Schnelle Wiederherstellbarkeit, gewährleistet durch  

• Regelmäßige Backups und geeignete Backup-Strategie (Online / Offline; Vor-Ort/Off-Site).

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

a) Datenschutzmanagement

b) Vorfallmanagement

c) Datenschutzfreundliche Voreinstellungen

d) Vertragskontrolle

Keine Datenverarbeitung im Sinne des Artikels 4 (8), 28 DSGVO ohne entsprechende Anweisungen vom Verantwortlichen, gewährleistet durch:

• Klare Vertragsgestaltung

• Formalisierte Verwaltung

• Strenge Auswahl des Dienstleisters

• Verpflichtung zur Vorabüberzeugung

• Nachfolgende Überprüfungen

Anhang 3: Unterauftragnehmer 

Der Verantwortliche stimmt der Beauftragung der im Anhang 3 aufgeführten Unterauftragnehmer zu, sofern eine vertragliche Vereinbarung gemäß Artikel 28 (2) – (4) der DSGVO zwischen dem jeweiligen Unterauftragnehmer abgeschlossen wird.

• Amazon Web Services - Cloud Hosting (Standard) - Deutschland

• Google Cloud Platform - Single-Sign On (Standard) - Deutschland

• Azure OpenAI Service - Private OpenAI Modellbereitstellungen (Standard) - Schweiz, Frankreich, Schweden, Deutschland

• Nango - Integrationen (Standard) - Vereinigte Staaten von Amerika