1. Gegenstand und Laufzeit der ADV

   1.1 Gegenstand

   • 1.1.1 Der Gegenstand der ADV ergibt sich aus den Nutzungsbedingungen, die zwischen dem Auftragsverarbeiter und dem Verantwortlichen über die Bereitstellung der Anwendung Beam (nachfolgend "Hauptvertrag") geschlossen wurden.

   1.2 Laufzeit

   • 1.2.1 Die Laufzeit dieser ADV wird durch die Laufzeit des Hauptvertrags bestimmt. Das Recht zur fristlosen Kündigung dieser ADV aus wichtigem Grund bleibt unberührt. Kündigungen müssen schriftlich erfolgen, um wirksam zu sein. Die Datenverarbeitung gemäß dieser ADV darf nur außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums erfolgen, sofern die erforderlichen Datenschutzanforderungen nach Artikel 44 ff. DSGVO erfüllt sind.

   
   

2. Festlegung des Umfangs der ADV

   2.1 Art und Zweck der beabsichtigten Datenverarbeitung

   • 2.1.1 Die Daten des Verantwortlichen werden vom Auftragsverarbeiter zum Zweck der Ausführung des Hauptvertrags verarbeitet.

   2.2 Art der Daten und Kategorien der betroffenen Personen

   • 2.2.1 Gegenstand der Verarbeitung personenbezogener Daten sind die in Anlage 1 aufgeführten Datenarten/-kategorien sowie die dort genannten Personenkategorien.

3. Technische und organisatorische Maßnahmen

   3.1 Der Auftragsverarbeiter trifft Sicherheitsvorkehrungen gemäß Artikel 28 (3) (c) und 32 DSGVO, insbesondere im Zusammenhang mit Artikel 5 (1), (2) DSGVO.

   3.2 Der Auftragsverarbeiter hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung dokumentiert, insbesondere hinsichtlich der spezifischen Ausführung der ADV in Anlage 2. Der Verantwortliche stimmt den in Anlage 2 aufgeführten Maßnahmen zu und hat sie als angemessen akzeptiert. Soweit die Prüfung/Auditierung des Verantwortlichen Anpassungsbedarf aufzeigt, werden die notwendigen Anpassungen einvernehmlich umgesetzt.

   3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. In dieser Hinsicht ist der Auftragsverarbeiter berechtigt, alternative geeignete Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

   3.4 Die Verarbeitung von Daten durch Mitarbeiter des Auftragsverarbeiters außerhalb der Geschäftsräume des Auftragsverarbeiters (mobiles Arbeiten) ist zulässig. Der Verantwortliche erkennt an, dass in diesen Fällen die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen nicht vollständig passen. Allerdings gewährleistet der Auftragsverarbeiter, dass er auch außerhalb seiner eigenen Geschäftsräume angemessene technische und organisatorische Maßnahmen für die Datenverarbeitung nach dieser ADV ergreift. Der Auftragsverarbeiter legt dem Verantwortlichen auf dessen Aufforderung hin die firmeninterne Richtlinie zum mobilen Arbeiten vor.

4. Berichtigung, Einschränkung und Löschung von Daten

   4.1 Der Auftragsverarbeiter darf die Daten, die gemäß dieser ADV verarbeitet werden, nicht eigenmächtig berichtigen, löschen oder die Verarbeitung einschränken, sondern nur gemäß den Weisungen des Verantwortlichen. Sollte eine betroffene Person direkt den Auftragsverarbeiter kontaktieren, um das Recht auf Berichtigung, Löschung oder Einschränkung geltend zu machen, leitet der Auftragsverarbeiter die Anfrage an den Verantwortlichen weiter.

   
   

5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

   5.1 Neben der Einhaltung der Bestimmungen dieser ADV hat der Auftragsverarbeiter gesetzliche Pflichten nach den Artikeln 28 bis 33 der DSGVO; der Auftragsverarbeiter stellt insbesondere sicher, dass folgenden Anforderungen entsprochen wird:

   • 5.1.1 Der Auftragsverarbeiter ist sich bewusst, dass er Unternehmensdaten verarbeitet, die besonderer Vertraulichkeit bedürfen, und ggf. auch Geschäftsgeheimnisse des Verantwortlichen. Bei der Verarbeitung setzt der Auftragsverarbeiter deshalb nur Mitarbeiter ein, die zur Vertraulichkeit verpflichtet und mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Der Auftragsverarbeiter informiert seine Mitarbeiter über die außerordentlich vertrauliche Natur solcher Daten und sensibilisiert und schult alle Mitarbeiter entsprechend. Der Auftragsverarbeiter und jede Person unter seiner Kontrolle, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich gemäß den Weisungen des Verantwortlichen verarbeiten, einschließlich der in dieser ADV erteilten Berechtigungen, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet. Die weitergehenden Vertraulichkeitspflichten nach Abschnitt 9 bleiben unberührt.

   • 5.1.2 Der Verantwortliche und der Auftragsverarbeiter kooperieren auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung von Aufgaben.

   • 5.1.3 Der Verantwortliche wird unverzüglich über Kontrollmaßnahmen und Maßnahmen der Aufsichtsbehörde informiert, sofern diese diese ADV betreffen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen von Ordnungswidrigkeiten- oder Strafverfahren in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser ADV seitens des Auftragsverarbeiters ermittelt.

   • 5.1.4 Soweit der Verantwortliche einer Überprüfung durch die Aufsichtsbehörde, einem Verwaltungs- oder Strafverfahren, einer Haftungsforderung eines Betroffenen oder eines Dritten oder einer sonstigen Forderung im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen unterliegt, unterstützt der Auftragsverarbeiter den Verantwortlichen mit besten Kräften.

   • 5.1.5 Der Auftragsverarbeiter überwacht regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Auftragsverarbeiters in Übereinstimmung mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist.

   5.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 der DSGVO festgelegten Verpflichtungen bezüglich der Sicherheit personenbezogener Daten, der Verpflichtungen zur Meldung von Datenschutzverletzungen, der Datenschutz-Folgenabschätzungen und der vorherigen Konsultationen. Dies umfasst unter anderem die Verpflichtung:

   • 5.2.1 Das sicherzustellen eines angemessenen Datenschutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung berücksichtigen, sowie die vorhergesagte Wahrscheinlichkeit und Schwere eines möglichen Sicherheitsvorfalls und eine sofortige Erkennung relevanter Vorfälle ermöglichen.

   • 5.2.2 Datenschutzverletzungen unverzüglich an den Verantwortlichen zu melden

   • 5.2.3 Den Verantwortlichen bei der Erfüllung der Auskunftspflicht gegenüber den Betroffenen zu unterstützen und dem Verantwortlichen in diesem Zusammenhang unverzüglich alle relevanten Informationen bereitzustellen

   • 5.2.4 Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen

   • 5.2.5 Den Verantwortlichen bei vorherigen Konsultationen mit der Aufsichtsbehörde zu unterstützen.

   5.3 Für Unterstützungsleistungen, die im Hauptvertrag nicht vereinbart sind oder durch ein Fehlverhalten des Auftragsverarbeiters erforderlich werden, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen.

   
   

6. Unterauftragsverarbeiter

   6.1 „Unterauftragsverarbeiter“ im Sinne dieser Bestimmung sind Dienstleister, die direkt mit der Erbringung der Hauptleistung nach dieser ADV in Verbindung stehende Leistungen erbringen. Nicht unter den Begriff Unterauftragsverarbeiter fallen Dienstleister, die Nebenleistungen für den Auftragsverarbeiter erbringen, z. B. Telekommunikationsdienstleistungen, Post-/Transportdienste, Wartungs- und Benutzerbetreuung oder die Vernichtung von Datenträgern sowie andere Maßnahmen zur Gewährleistung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungssystemen. Der Auftragsverarbeiter ist jedoch verpflichtet, geeignete und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen umzusetzen, um den Datenschutz und die Datensicherheit der Daten des Verantwortlichen auch im Falle ausgelagerter Nebenleistungen sicherzustellen.

   6.2 Der Verantwortliche stimmt der Beauftragung der in Anlage 3 aufgeführten Unterauftragsverarbeiter zu, vorausgesetzt, es wird eine vertragliche Vereinbarung zwischen dem Auftragsverarbeiter und dem jeweiligen Unterauftragsverarbeiter gemäß Artikel 28 (2) bis (4) der DSGVO geschlossen.

   6.3 Die Auslagerung der Datenverarbeitung an weitere Unterauftragsverarbeiter oder der Wechsel der beauftragten Unterauftragsverarbeiter ist zulässig, sofern:

   • 6.3.1 Der Auftragsverarbeiter den Verantwortlichen schriftlich oder in Textform in angemessener Frist im Voraus über die Auslagerung an Unterauftragsverarbeiter informiert

   • 6.3.2 Der Verantwortliche dies nicht schriftlich ablehnt und

   • 6.3.3 Eine vertragliche Vereinbarung gemäß Artikel 28 (2) bis (4) der DSGVO als vertragliche Grundlage genutzt wird.

   6.4 Der Widerspruch gemäß Abschnitt 6.3.2 muss innerhalb eines Monats nach Bereitstellung der Informationen erhoben werden. Im Falle eines Widerspruchs trägt der Verantwortliche die Konsequenzen (z. B. subjektive Unmöglichkeit der Leistungserbringung) und etwaige zusätzliche Kosten, die daraus resultieren, dass der Unterauftragsverarbeiter nicht beauftragt werden kann. Sollte der Auftragsverarbeiter aufgrund des Widerspruchs die im Hauptvertrag vereinbarte Leistung nicht erbringen können oder nur zu wirtschaftlich unzumutbaren Bedingungen erbringen können, hat der Auftragsverarbeiter ein außerordentliches Kündigungsrecht.

   6.5 Die Weitergabe personenbezogener Daten des Verantwortlichen an den Unterauftragsverarbeiter und die erstmalige Beauftragung des Unterauftragsverarbeiters dürfen erst erfolgen, nachdem alle Voraussetzungen für die Auslagerung der Datenverarbeitung an Unterauftragsverarbeiter erfüllt sind.

   6.6 Sollte der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/EWR erbringen, stellt der Auftragsverarbeiter sicher, dass die vom Unterauftragsverarbeiter erbrachte Leistung durch geeignete Maßnahmen datenschutzkonform ist. Dasselbe gilt im Falle der Beauftragung von Dienstleistern, die Nebenleistungen im Sinne von Abschnitt 6.1 erbringen.

   6.7 Eine weitere Auslagerung durch den Unterauftragsverarbeiter ist nur im Rahmen der gesetzlichen Bestimmungen zulässig.

   
   

7. Kontrollrechte des Verantwortlichen

   7.1 Der Verantwortliche hat das Recht, in Abstimmung mit dem Auftragsverarbeiter Inspektionen in den Geschäftsräumen des Auftragsverarbeiters durchzuführen oder Inspektionen durch eigens benannte Inspektoren durchführen zu lassen. Der Verantwortliche hat das Recht, sich während der Geschäftszeiten im Wege von Stichproben, die mindestens vier Wochen im Voraus anzukündigen sind, von der Einhaltung dieser ADV in den Geschäftsräumen des Auftragsverarbeiters zu überzeugen. Solche Inspektionen finden höchstens einmal im Jahr statt.

   7.2 Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche sich von der Einhaltung der Pflichten durch den Auftragsverarbeiter gemäß Art. 28 der DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage die notwendigen Informationen bereitzustellen und insbesondere den Nachweis der Umsetzung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu erbringen.

   7.3 Der Nachweis dieser Maßnahmen, nicht nur bezüglich der konkreten Datenverarbeitung nach dieser ADV, kann erbracht werden durch:

   • 7.3.1 Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO

   • 7.3.2 Zertifizierung gemäß einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO

   • 7.3.3 Aktuelle Atteste, Berichte oder Auszüge von Berichten unabhängiger Organisationen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheitsabteilungen, Datenschutzauditoren, Qualitätsauditoren)

   • 7.3.4 Geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach den Standards für IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik).

   7.4 Der Auftragsverarbeiter kann für die Ermöglichung der Durchführung von Inspektionen durch den Verantwortlichen eine angemessene Vergütung verlangen.

   
   

8. Befugnis des Verantwortlichen zur Erteilung von Weisungen

   8.1 Der Verantwortliche bestätigt mündliche Weisungen unverzüglich mindestens in Textform (dokumentierte Weisung). Der Verantwortliche kann aus Weisungen, die nicht innerhalb der vorgeschriebenen Frist in Textform bestätigt wurden, keine Ansprüche ableiten.

   8.2 Der Auftragsverarbeiter informiert den Verantwortlichen, falls der Auftragsverarbeiter der Meinung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis die Weisung vom Verantwortlichen bestätigt oder geändert wurde.

   8.3 Der Auftragsverarbeiter ist verpflichtet, jegliche Kenntnis von personenbezogenen Daten, Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Verantwortlichen, die im Rahmen der vertraglichen Beziehung erlangt wurden, vertraulich zu behandeln.

9. Vertraulichkeit

   9.1 Der Auftragsverarbeiter ist verpflichtet, sich nur in dem Umfang Kenntnis von vertraulichen Informationen zu verschaffen, der zur Erfüllung seiner Aufgaben gegenüber dem Verantwortlichen erforderlich ist. Soweit der Auftragsverarbeiter Mitarbeiter oder Dienstleister zur Durchführung des Vertrags einsetzt, verpflichtet er diese Personen zur Einhaltung der gleichen Verpflichtungen aus dieser ADV. Entsprechende Erklärungen sind dem Verantwortlichen auf dessen Anfrage vorzulegen. Der Auftragsverarbeiter kann auch Mustererklärungen vorlegen, vorausgesetzt, die Vorlage aller abgegebenen Erklärungen ist aus rechtlichen oder tatsächlichen Gründen im Einzelfall unverhältnismäßig und der Auftragsverarbeiter versichert schriftlich, dass alle relevanten Mitarbeiter/Dienstleister gemäß diesem Muster verpflichtet wurden. Abschnitt 6 und insbesondere Abschnitt 6.1 bleiben in jedem Fall unberührt.

   9.2 Soweit zwischen dem Verantwortlichen und dem Auftragsverarbeiter bereits eine Vertraulichkeitsverpflichtung im Hauptvertrag oder an anderer Stelle vereinbart wurde, gelten die Bestimmungen über Vertraulichkeit aus diesem Abschnitt 9 zusätzlich zu dieser Vertraulichkeitsverpflichtung. Im Falle eines Konflikts im Hinblick auf eine bestimmte Situation gilt die strengere Bestimmung für den Auftragsverarbeiter.

   9.3 Die in diesem Abschnitt 9 festgelegte Verpflichtung zur Vertraulichkeit gilt auch nach Beendigung des Vertragsverhältnisses zeitlich unbegrenzt weiter.

10. Löschen und Rückgabe personenbezogener Daten

    10.1 Kopien oder Duplikate der Daten dürfen ohne Wissen des Verantwortlichen nicht erstellt werden. Dies gilt nicht für Sicherungskopien, soweit diese erforderlich sind, um eine ordnungsgemäße Datenverarbeitung sowie eine Datenverarbeitung zu gewährleisten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.

    10.2 Nach Abschluss der vertraglich vereinbarten Leistungen oder auf vorherige Anfrage durch den Verantwortlichen - spätestens bei Beendigung des Hauptvertrags - ist der Auftragsverarbeiter verpflichtet, alle Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie Datenfiles, die im Rahmen des Vertragsverhältnisses in seinen Besitz gelangt sind, an den Verantwortlichen zurückzugeben oder nach vorheriger Zustimmung gemäß den Datenschutzbestimmungen zu vernichten. Dasselbe gilt für Test- und Vorsortierungsmaterial. Der Nachweis der Löschung wird auf Anfrage bereitgestellt.

    10.3 Die Dokumentation, die als Nachweis für die ordnungsgemäße Datenverarbeitung gemäß dieser ADV dient, wird vom Auftragsverarbeiter über die Laufzeit der ADV hinaus gemäß den entsprechenden Aufbewahrungsfristen aufbewahrt. Der Auftragsverarbeiter kann sie dem Verantwortlichen am Ende der Laufzeit der ADV übergeben, um den Auftragsverarbeiter zu entlasten.

11. Haftung

    11.1 Im Falle, dass Schadenersatzansprüche im Sinne von Artikel 82 der DSGVO, Bußgelder im Sinne von Artikel 83 der DSGVO und/oder andere Sanktionen im Sinne von Artikel 84 der DSGVO einer Partei im Zusammenhang mit den von dieser ADV umfassten Verarbeitungstätigkeiten drohen oder gegen sie verhängt werden, informiert die jeweilige Partei die andere Partei unverzüglich in Textform darüber. Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, sich gegenseitig bei der Abwehr der vorgenannten Ansprüche zu unterstützen.

    11.2 Der Verantwortliche und der Auftragsverarbeiter haften für die Datenverarbeitung im Außenverhältnis gemäß den einschlägigen Gesetzen. Die Haftung im Innenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter richtet sich nach den Bestimmungen des Hauptvertrags.

12. Schlussbestimmungen

    12.1 Die Bestimmungen dieser ADV gelten nur für die Verarbeitung personenbezogener Daten gemäß Artikel 28 DSGVO und haben Vorrang vor widersprüchlichen oder abweichenden Bestimmungen des Hauptvertrags soweit dies erforderlich ist.

    12.2 Änderungen dieser ADV müssen schriftlich erfolgen. Dies gilt auch für eine Änderung dieser Schriftformklausel. Die Schriftform kann auch durch den Austausch von Briefen (mit Ausnahme von Kündigungen) oder durch elektronisch übermittelte Unterschriften (Fax, Übermittlung von eingescannten Unterschriften per E-Mail) eingehalten werden. Allerdings gelten Abschnitt 127 (2) und (3) des Bürgerlichen Gesetzbuchs („BGB") im Übrigen nicht.

Anlage 1: Kategorien der betroffenen Personen und Kategorien personenbezogener Daten

a) Kategorien der betroffenen Personen

• Mitarbeiter des Verantwortlichen

• Anteilseigner und Vorstandsmitglieder des Verantwortlichen

• Geschäftspartner des Verantwortlichen

• Kunden des Verantwortlichen

• Lieferanten/Dienstleister (einschließlich ihrer Mitarbeiter)

b) Auftragsbezogene Daten

Alle kundenspezifischen Daten, die zur Erfüllung des Hauptauftrags erforderlich sind

Anhang 2: Technische und organisatorische Maßnahmen 

Vertraulichkeit

a) Zutrittskontrolle

Kein unbefugter Zutritt zu Datenverarbeitungssystemen, sichergestellt durch:

• Magnet- oder Chipkarten

• Elektronische Türöffner

• Sicherheits- oder Pförtnerdienst

• Alarmsysteme

• Videosysteme

b) Zugangskontrolle

Keine unbefugte Systemnutzung, sichergestellt durch:

• (Sichere) Passwörter

• Zwei-Faktor-Authentifizierung

c) Zugriffskontrolle

Keine unbefugte Einsichtnahme, Kopieren, Änderungen oder Entfernung innerhalb des Systems, sichergestellt durch:

• Berechtigungskonzepte

• Bedarfsgerechte Zugriffsrechte

• Protokollierung von Zugriffen

d) Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, sichergestellt durch:

• Mandantenfähigkeit

• Sandboxing

e) Pseudonymisierung

Die Verarbeitung personenbezogener Daten auf eine Weise, die es unmöglich macht, die Daten einem spezifischen Betroffenen zuzuordnen, ohne auf zusätzliche Informationen zurückzugreifen, sofern diese zusätzlichen Informationen separat gespeichert und angemessenen technischen und organisatorischen Maßnahmen unterworfen sind.

Integrität

a) Übertragungskontrolle

Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen während der elektronischen Übertragung oder des Transports, sichergestellt durch:

• Verschlüsselung

• Virtuelle private Netzwerke (VPN)

• Elektronische Signatur

b) Eingangskontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, sichergestellt durch:

• Protokollierung

• Dokumentenmanagement

Verfügbarkeit und Belastbarkeit

a) Verfügbarkeitskontrolle

Schutz gegen versehentliche oder vorsätzliche Zerstörung oder Verlust, sichergestellt durch Sicherungsstrategie (online/offline; on-site/off-site)

• Unterbrechungsfreie Stromversorgung (USV)

• Virenschutz

• Firewall

• Berichterstattungskanäle

• Notfallpläne

b) Schnelle Wiederherstellbarkeit

Schnelle Wiederherstellbarkeit sichergestellt durch    

• Regelmäßige Backups und geeignete Sicherungsstrategie (online/offline; on-site/off-site).

Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung

a) Datenschutzmanagement

b) Incident-Response-Management

c) Datenschutzfreundliche Voreinstellungen

d) Vertragskontrolle

Keine Datenverarbeitung im Sinne von Artikel 4 (8), 28 DSGVO ohne entsprechende Weisungen des Verantwortlichen, sichergestellt durch:

• Klarer Vertragsentwurf

• Formalisiertes Management

• Strenge Auswahl des Dienstleisters

• Verpflichtung zur vorausgehenden Überzeugung

• Nachkontrollen

Anlage 3: Unterauftragsverarbeiter 

Der Verantwortliche stimmt der Beauftragung der in dieser Anlage 3 aufgeführten Unterauftragsverarbeiter zu, vorausgesetzt, dass eine vertragliche Vereinbarung zwischen dem jeweiligen Unterauftragsverarbeiter gemäß Artikel 28 (2) – (4) der DSGVO geschlossen wird.

• Amazon Web Services - Cloud Hosting- (Standard) - Deutschland

• Google Cloud Platform - Single-Sign On (Standard) - Deutschland

• Azure OpenAI Service - Private OpenAI Model Deployments (Standard) -Schweiz, Frankreich, Schweden, Deutschland