1. Gegenstand und Laufzeit der DPA

   1.1 Gegenstand

   • 1.1.1 Der Gegenstand der DPA ergibt sich aus den Nutzungsbedingungen, die zwischen dem Auftragsverarbeiter und dem Verantwortlichen über die Bereitstellung der Anwendung Beam geschlossen wurden (im Folgenden "Hauptvertrag" genannt).

   1.2 Laufzeit

   • 1.2.1 Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Hauptvertrages. Das Recht, diese DPA aus wichtigem Grund ohne Einhaltung einer Frist zu kündigen, bleibt unberührt. Kündigungen müssen schriftlich erfolgen, um wirksam zu sein. Die Datenverarbeitung nach dieser DPA darf nur außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums durchgeführt werden, sofern die erforderlichen Datenschutzvoraussetzungen gemäß Artikel 44 ff. DSGVO erfüllt sind.

   
   

2. Festlegung des Umfangs der DPA

   2.1 Art und Zweck der beabsichtigten Datenverarbeitung

   • 2.1.1 Die Daten des Verantwortlichen werden vom Auftragsverarbeiter zum Zweck der Ausführung des Hauptvertrags verarbeitet.

   2.2 Art der Daten und Kategorien von betroffenen Personen

   • 2.2.1 Gegenstand der Verarbeitung personenbezogener Daten sind die in Anhang 1 genannten Arten/Kategorien von Daten und die dort genannten Kategorien von Personen.

3. Technische und organisatorische Maßnahmen

   3.1 Der Auftragsverarbeiter wird Sicherheit gemäß Artikel 28 (3) (c) und 32 DSGVO schaffen, insbesondere im Zusammenhang mit Artikel 5 (1), (2) DSGVO.

   3.2 Der Auftragsverarbeiter hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung dokumentiert, insbesondere im Hinblick auf die spezifische Durchführung der DPA in Anhang 2. Der Verantwortliche stimmt den in Anhang 2 aufgeführten Maßnahmen zu und hat diese als angemessen akzeptiert. Soweit die Überprüfung/Audit des Verantwortlichen einen Anpassungsbedarf ergibt, sollen die erforderlichen Anpassungen einvernehmlich umgesetzt werden.

   3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insofern ist dem Auftragsverarbeiter gestattet, alternative geeignete Maßnahmen vorzunehmen. Dabei darf der Sicherheitsstandard der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

   3.4 Die Datenverarbeitung durch Mitarbeiter des Auftragsverarbeiters außerhalb der Räumlichkeiten des Auftragsverarbeiters (mobiles Arbeiten) ist gestattet. Der Verantwortliche erkennt an, dass in diesen Fällen die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen nicht vollständig passen. Der Auftragsverarbeiter garantiert jedoch, dass er auch für die Datenverarbeitung nach dieser DPA außerhalb seiner Geschäftsräume geeignete technische und organisatorische Maßnahmen ergreifen wird. Der Auftragsverarbeiter wird dem Verantwortlichen auf dessen Wunsch die unternehmensinterne Richtlinie zum mobilen Arbeiten vorlegen.

4. Berichtigung, Einschränkung und Löschung von Daten

   4.1 Der Auftragsverarbeiter darf Daten, die im Rahmen dieser DPA verarbeitet werden, nicht eigenmächtig berichtigen, löschen oder die Verarbeitung einschränken, sondern nur gemäß den Anweisungen des Verantwortlichen. Sollte eine betroffene Person den Auftragsverarbeiter direkt kontaktieren, um das Recht auf Berichtigung, Löschung oder Einschränkung geltend zu machen, wird der Auftragsverarbeiter das Ersuchen an den Verantwortlichen weiterleiten.

   
   

5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

   5.1 Neben der Einhaltung der Bestimmungen dieser DPA hat der Auftragsverarbeiter gesetzliche Pflichten gemäß Artikel 28 bis 33 DSGVO; in diesem Zusammenhang hat der Auftragsverarbeiter insbesondere folgende Anforderungen zu gewährleisten:

   • 5.1.1 Der Auftragsverarbeiter ist sich bewusst, dass er Unternehmensdaten verarbeiten kann, die einer besonderen Vertraulichkeit bedürfen, und gegebenenfalls auch Geschäftsgeheimnisse des Verantwortlichen. Daher setzt der Auftragsverarbeiter für die Durchführung der Verarbeitung nur Mitarbeiter ein, die zur Verschwiegenheit verpflichtet wurden und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht worden sind. Der Auftragsverarbeiter wird seine Mitarbeiter über die außerordentlich vertrauliche Natur solcher Daten informieren und alle Mitarbeiter entsprechend sensibilisieren und schulen. Der Auftragsverarbeiter und jede Person unter seiner Kontrolle, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich in Übereinstimmung mit den Anweisungen des Verantwortlichen, einschließlich der in dieser DPA eingeräumten Berechtigungen, verarbeiten, es sei denn, sie sind gesetzlich dazu verpflichtet. Die weitergehenden Verschwiegenheitspflichten gemäß Abschnitt 9 bleiben unberührt.

   • 5.1.2 Der Verantwortliche und der Auftragsverarbeiter werden auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung der Aufgaben zusammenarbeiten.

   • 5.1.3 Der Verantwortliche ist unverzüglich über Kontrollmaßnahmen und Prüfungen der Aufsichtsbehörde zu informieren, soweit sie sich auf diese DPA beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen von Ordnungswidrigkeiten- oder Strafverfahren im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieser DPA seitens des Auftragsverarbeiters ermittelt.

   • 5.1.4 Soweit der Verantwortliche einer Inspektion durch die Aufsichtsbehörde, Verwaltungs- oder Strafverfahren, einem Haftungsanspruch eines Betroffenen oder eines Dritten oder einer sonstigen Forderung im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen unterliegt, wird der Auftragsverarbeiter den Verantwortlichen mit besten Kräften unterstützen.

   • 5.1.5 Der Auftragsverarbeiter wird regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen überwachen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Auftragsverarbeiters in Übereinstimmung mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist.

   5.2 Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in Artikel 32 bis 36 der DSGVO festgelegten Verpflichtungen hinsichtlich der Sicherheit personenbezogener Daten, der Meldepflichten bei Datenschutzverletzungen, der Datenschutz-Folgenabschätzungen und der vorherigen Beratungen unterstützen. Dies umfasst unter anderem die Verpflichtung,:

   • 5.2.1 durch technische und organisatorische Maßnahmen ein angemessenes Datenschutzniveau zu gewährleisten, das den Umständen und Zwecken der Verarbeitung sowie der vorhergesagten Wahrscheinlichkeit und Schwere eines potenziellen Sicherheitsverstoßes Rechnung trägt und eine sofortige Erkennung relevanter Vorfälle ermöglicht.

   • 5.2.2 Datenschutzverletzungen ohne unangemessene Verzögerung an den Verantwortlichen zu melden

   • 5.2.3 den Verantwortlichen bei der Erfüllung der Verpflichtung des Verantwortlichen, den Betroffenen zu informieren, zu unterstützen und dem Verantwortlichen alle relevanten Informationen in diesem Zusammenhang unverzüglich zur Verfügung zu stellen

   • 5.2.4 den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen

   • 5.2.5 den Verantwortlichen bei vorherigen Beratungen mit der Aufsichtsbehörde zu unterstützen.

   5.3 Für Unterstützungsleistungen, die nicht im Hauptvertrag vereinbart oder durch Fehlverhalten des Auftragsverarbeiters bedingt sind, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen.

   
   

6. Sub-Auftragsverarbeitende

   6.1 „Sub-Auftragsverarbeitende“ im Sinne dieser Bestimmung sind Dienstleister, die Dienstleistungen erbringen, die direkt mit der Erbringung der Hauptdienstleistung im Rahmen dieser DPA zusammenhängen. Nicht von dem Begriff Sub-Auftragsverarbeitender erfasst sind Dienstleister, die dem Auftragsverarbeiter unterstützende Dienstleistungen erbringen, z.B. Telekommunikationsdienste, Post-/Transportrouten, Wartungs- und Benutzerservice oder die Entsorgung von Datenträgern sowie andere Maßnahmen zur Gewährleistung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungssystemen. Der Auftragsverarbeiter ist jedoch verpflichtet, geeignete und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu treffen, um den Datenschutz und die Datensicherheit der Daten des Verantwortlichen auch im Fall ausgelagerter Unterstützungsdienste sicherzustellen.

   6.2 Der Verantwortliche stimmt der Beauftragung der in Anhang 3 aufgeführten Sub-Auftragsverarbeitenden zu, sofern eine vertragliche Vereinbarung zwischen dem Auftragsverarbeiter und dem jeweiligen Sub-Auftragsverarbeitendem gemäß Artikel 28 (2) bis (4) der DSGVO geschlossen wird.

   6.3 Die Auslagerung von Datenverarbeitungen an weitere Sub-Auftragsverarbeitende oder die Änderung der beauftragten Sub-Auftragsverarbeitenden ist zulässig, sofern:

   • 6.3.1 Der Auftragsverarbeiter den Verantwortlichen schriftlich oder in Textform innerhalb einer angemessenen Frist im Voraus über die Auslagerung an Sub-Auftragsverarbeitende informiert

   • 6.3.2 Der Verantwortliche der Sub-Auftragsverarbeitung nicht schriftlich widerspricht und

   • 6.3.3 eine vertragliche Vereinbarung gemäß Artikel 28 (2) bis (4) der DSGVO als Vertragsgrundlage verwendet wird.

   6.4 Der Widerspruch gemäß Abschnitt 6.3.2 muss innerhalb eines Monats nach Bereitstellung der Information erfolgen. Im Falle eines Widerspruchs trägt der Verantwortliche die Folgen (z.B. subjektive Unmöglichkeit der Leistungserbringung) und etwaige zusätzliche Kosten, die sich daraus ergeben, dass der Sub-Auftragsverarbeitende nicht beauftragt werden kann. Kann der Auftragsverarbeiter die im Hauptvertrag vereinbarte Leistung aufgrund des Widerspruchs nicht erbringen oder nur unter wirtschaftlich unzumutbarem Aufwand leisten, hat der Auftragsverarbeiter ein außerordentliches Kündigungsrecht.

   6.5 Die Übermittlung personenbezogener Daten des Verantwortlichen an den Sub-Auftragsverarbeitenden und die erstmalige Beauftragung der Sub-Auftragsverarbeitenden darf erst erfolgen, wenn alle Anforderungen für die Auslagerung der Datenverarbeitung an Sub-Auftragsverarbeitende erfüllt sind.

   6.6 Sofern der Sub-Auftragsverarbeitende die vereinbarte Dienstleistung außerhalb der EU/EWR erbringt, stellt der Auftragsverarbeiter sicher, dass die vom Sub-Auftragsverarbeitenden erbrachte Leistung durch geeignete Maßnahmen den Datenschutzbestimmungen entspricht. Gleiches gilt, wenn unterstützende Dienste im Sinne von Abschnitt 6.1 von Dienstleistern erbracht werden.

   6.7 Eine weitere Auslagerung durch den Sub-Auftragsverarbeitenden ist nur im Rahmen der gesetzlichen Bestimmungen zulässig.

   
   

7. Kontrollrechte des Verantwortlichen

   7.1 Der Verantwortliche hat das Recht, in Absprache mit dem Auftragsverarbeiter Inspektionen in den Geschäftsräumen des Auftragsverarbeiters durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Verantwortliche hat das Recht, sich während der Geschäftszeiten in den Geschäftsräumen des Auftragsverarbeiters durch Stichproben davon zu überzeugen, dass der Auftragsverarbeiter die Anforderungen dieser DPA erfüllt. Solche Prüfungen sind mindestens vier Wochen im Voraus zu benachrichtigen und dürfen nicht mehr als einmal im Jahr durchgeführt werden.

   7.2 Der Auftragsverarbeiter gewährleistet, dass sich der Verantwortliche von der Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß Art. 28 der DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage die erforderlichen Informationen bereitzustellen und insbesondere den Nachweis der Umsetzung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu erbringen.

   7.3 Der Nachweis dieser Maßnahmen, die nicht nur die spezifische Datenverarbeitung nach dieser DPA betreffen, kann erbracht werden durch:

   • 7.3.1 Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 DSGVO

   • 7.3.2 Zertifizierung nach einem anerkannten Zertifizierungsverfahren gemäß Artikel 42 DSGVO

   • 7.3.3 Aktuelle Bescheinigungen, Berichte oder Auszüge aus Berichten unabhängiger Organisationen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheitsabteilungen, Datenschutzprüfer, Qualitätssicherungsprüfer)

   • 7.3.4 Geeignete Zertifizierungen durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach den IT-Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik).

   7.4 Der Auftragsverarbeiter kann eine angemessene Vergütung für die Ermöglichung von Inspektionen durch den Verantwortlichen verlangen.

   
   

8. Ermächtigung des Verantwortlichen zur Erteilung von Weisungen

   8.1 Der Verantwortliche hat mündliche Weisungen unverzüglich zumindest in Textform zu bestätigen (dokumentierte Weisung). Der Verantwortliche kann aus Weisungen, die nicht rechtzeitig in Textform bestätigt wurden, keine Ansprüche herleiten.

   8.2 Der Auftragsverarbeiter wird den Verantwortlichen darauf hinweisen, wenn er der Meinung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragsverarbeiter darf die Ausführung der betreffenden Weisung aussetzen, bis die Weisung durch den Verantwortlichen bestätigt oder geändert wurde.

   8.3 Der Auftragsverarbeiter verpflichtet sich, alle ihm im Rahmen der Vertragsbeziehung bekannt gewordenen Kenntnisse über personenbezogene Daten, Geschäftsgeheimnisse und Maßnahmen zur Datensicherheit des Verantwortlichen vertraulich zu behandeln.

9. Vertraulichkeit

   9.1 Der Auftragsverarbeiter ist verpflichtet, Kenntnisse von vertraulichen Informationen nur insoweit zu erlangen, als dies zur Erfüllung seiner Aufgaben gegenüber dem Verantwortlichen erforderlich ist. Soweit der Auftragsverarbeiter Mitarbeiter oder Dienstleister zur Vertragserfüllung einsetzt, hat der Auftragsverarbeiter dieselben Verpflichtungen aus dieser DPA diesen Personen aufzuerlegen. Entsprechende Erklärungen sind dem Verantwortlichen auf Verlangen vorzulegen. Der Auftragsverarbeiter kann auch Mustererklärungen vorlegen, sofern die Vorlage aller abgegebenen Erklärungen im Einzelfall aus rechtlichen oder tatsächlichen Gründen unverhältnismäßig ist und der Auftragsverarbeiter schriftlich zusichert, dass alle relevanten Mitarbeiter/Dienstleister gemäß diesem Muster verpflichtet wurden. Abschnitt 6 und insbesondere Abschnitt 6.1 bleiben in jedem Fall unberührt.

   9.2 Soweit bereits eine Vertraulichkeitsverpflichtung zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Hauptvertrag oder anderweitig vereinbart wurde, gelten die Bestimmungen zur Vertraulichkeit aus diesem Abschnitt 9 zusätzlich zu dieser Vertraulichkeitsverpflichtung. Im Falle eines Konflikts in Bezug auf eine bestimmte Situation gilt für den Auftragsverarbeiter die strengere Bestimmung.

   9.3 Die in diesem Abschnitt 9 festgelegte Verpflichtung zur Vertraulichkeit gilt auch nach Beendigung der Vertragsbeziehung weiterhin unbeschränkt.

10. Löschung und Rückgabe personenbezogener Daten

    10.1 Kopien oder Duplikate der Daten dürfen ohne Wissen des Verantwortlichen nicht erstellt werden. Dies gilt nicht für Sicherungskopien, soweit diese zur ordnungsgemäßen Datenverarbeitung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    10.2 Nach Abschluss der vertraglich vereinbarten Leistungen oder auf Verlangen des Verantwortlichen früher – spätestens nach Beendigung des Hauptvertrags – ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Vertragsverhältnis in seinen Besitz gelangt sind, zurückzugeben oder nach vorheriger Zustimmung datenschutzkonform zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Der Nachweis der Löschung ist auf Anforderung vorzulegen.

    10.3 Dokumentationen, die als Nachweis für die ordnungsgemäße Datenverarbeitung im Sinne dieser DPA dienen, sind vom Auftragsverarbeiter über die Laufzeit der DPA hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufzubewahren. Der Auftragsverarbeiter kann diese Dokumentationen dem Verantwortlichen am Ende der Laufzeit der DPA zur Entlastung übergeben.

11. Haftung

    11.1 Für den Fall, dass Schadensersatzansprüche im Sinne von Artikel 82 der DSGVO, Bußgelder im Sinne von Artikel 83 der DSGVO und/oder andere Sanktionen im Sinne von Artikel 84 der DSGVO im Zusammenhang mit den von dieser DPA abgedeckten Verarbeitungstätigkeiten gegen eine Partei angedroht oder verhängt werden, wird die betreffende Partei die andere Partei unverzüglich in Textform darüber informieren. Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, sich bei der Abwehr der genannten Ansprüche gegenseitig zu unterstützen.

    11.2 Der Verantwortliche und der Auftragsverarbeiter haften für die Datenverarbeitung in ihrem äußeren Verhältnis gemäß den einschlägigen gesetzlichen Bestimmungen. Die Haftung im internen Verhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter richtet sich nach den Bestimmungen des Hauptvertrags.

12. Schlussbestimmungen

    12.1 Die Bestimmungen dieser DPA gelten nur für die Verarbeitung personenbezogener Daten gemäß Artikel 28 DSGVO und haben Vorrang vor widersprüchlichen oder abweichenden Bestimmungen des Hauptvertrags, soweit sie von diesem abweichen.

    12.2 Alle Änderungen dieser DPA müssen schriftlich erfolgen. Dies gilt auch für Änderungen dieser Schriftformklausel. Die Schriftform kann auch durch Austausch von Briefen (mit Ausnahme von Kündigungen) oder durch elektronisch übermittelte Signaturen (Fax, Übertragung gescannter Signaturen per E-Mail) erfüllt werden. § 127 Absatz 2 und 3 BGB findet in allen anderen Fällen keine Anwendung.

Anhang 1: Kategorien von betroffenen Personen und Kategorien personenbezogener Daten

a) Kategorien von betroffenen Personen

• Mitarbeiter des Verantwortlichen

• Aktionäre und Vorstand des Verantwortlichen

• Geschäftspartner des Verantwortlichen

• Kunden des Verantwortlichen

• Lieferanten/Dienstleister (einschließlich ihrer Mitarbeiter)

b) Auftragsbezogene Daten

Alle kundenspezifischen Daten, die zur Erfüllung des Hauptauftrags erforderlich sind

Anhang 2: Technische und organisatorische Maßnahmen 

Vertraulichkeit

a) Zugangskontrolle

Kein unbefugter Zugang zu Datenverarbeitungssystemen, gewährleistet durch:

• Magnet- oder Chipkarten

• Elektrische Türöffner

• Sicherheitspersonal oder Pförtner

• Alarmanlagen

• Videosysteme

b) Zugangskontrolle

Kein unbefugter Systemzugriff, gewährleistet durch:

• (Sichere) Passwörter

• Zwei-Faktor-Authentifizierung

c) Zugriffskontrolle

Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen innerhalb des Systems, gewährleistet durch:

• Autorisierungskonzepte

• Bedarfsbasierte Zugriffsrechte

• Protokollierung der Zugriffe

d) Trennungskontrolle

Getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, gewährleistet durch:

• Mietmandantenfähigkeit

• Sandboxing

e) Pseudonymisierung

Die Verarbeitung personenbezogener Daten auf eine Weise, dass die Daten ohne Rückgriff auf zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und angemessenen technischen und organisatorischen Maßnahmen unterliegen.

Integrität

a) Übertragungskontrolle

Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen während der elektronischen Übertragung oder des Transports, gewährleistet durch:

• Verschlüsselung

• Virtuelle Private Netzwerke (VPN)

• Elektronische Signatur

b) Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, gewährleistet durch:

• Protokollierung

• Dokumentenmanagement

Verfügbarkeit und Belastbarkeit

a) Verfügbarkeitskontrolle

Schutz vor zufälliger oder vorsätzlicher Zerstörung oder Verlust, gewährleistet durch Backup-Strategie (online/offline; vor Ort/auswärtig):

• Unterbrechungsfreie Stromversorgung (USV)

• Virenschutz

• Firewall

• Meldeschleifen

• Notfallpläne

b) Schnelle Wiederherstellbarkeit

Schnelle Wiederherstellbarkeit gewährleistet durch

• Regelmäßige Backups und geeignete Backup-Strategie (online/offline; vor Ort/auswärtig).

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

a) Datenschutzmanagement

b) Incident-Response-Management

c) Datenschutzfreundliche Voreinstellungen

d) Auftragskontrolle

Keine Datenverarbeitung im Sinne von Artikel 4 (8), 28 DSGVO ohne entsprechende Anweisungen des Verantwortlichen, gewährleistet durch:

• Klarer Vertragsgestaltung

• Formalisiertes Management

• Strenge Auswahl der Dienstleistenden

• Verpflichtung zur Vorabüberprüfung

• Nachweisinspektionen

Anhang 3: Sub-Auftragsverarbeitende 

Der Verantwortliche stimmt der Beauftragung der in diesem Anhang 3 aufgeführten Sub-Auftragsverarbeitenden zu, sofern zwischen dem jeweiligen Sub-Auftragsverarbeitendem eine vertragliche Vereinbarung gemäß Artikel 28 (2) – (4) der DSGVO geschlossen wird.

• Amazon Web Services - Cloud Hosting- (Standard)

• Google Cloud Platform - Single-Sign On (Standard)

• Azure OpenAI Service - Private OpenAI Model Deployments (Standard)