Januar 2024

Vereinbarung zur Auftragsveratbeitung für SaaS-Services (AVV).

Präambel

Der Kunde hat die branchly GmbH, Auerfeldstraße 18, 81541 München („branchly“) mit dem SaaS-Betrieb eines KI-Content-Navigationssystems beauftragt. Bei der Vertragsdurchführung erhält branchly Zugriff auf personenbezogene Daten des Kunden. Art. 28 Datenschutz-Grundverordnung (DSGVO) stellt besondere Anforderungen an eine solche Auftragsvereinbarung. Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.

1. Vertragsgegenstand, Inhalt des Auftrags

1.1 branchly erbringt die SaaS-Bereitstellung auf Grundlage der Beauftragung des Kunden gemäß Angebot der branchly und den AGB für SaaS-Services („Hauptvertrag“).

1.2 Zur Konkretisierung der datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung zur Auftragsverarbeitung. Gegenstand und Dauer der Leistungserbringung durch branchly richten sich nach dem Hauptvertrag. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

2. Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten und Kreis der Betroffenen; Weisungsgebundenheit

2.1 Umfang und Zweck der Datenverarbeitung durch branchly ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung.

2.2 branchly hat im Rahmen der Leistungserbringung potenziell Zugriff auf der SaaS-Plattform gespeicherten Daten. Dabei handelt es sich um folgende Datenarten:

– "Suchanfragen des Kunden; diese können in selten Fällen ggf. auch personenbezogene Angaben (z.B. E-Mail-Adresse, Telefonnummer des Kunden) enthalten".

2.3 branchly darf personenbezogene Daten des Kunden ausschließlich zu Zwecken der Erfüllung des Hauptvertrags im Auftrag des Kunden oder aufgrund von Einzelweisungen des Kunden verarbeiten. Sofern branchly Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt branchly dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

2.4 branchly hat Einzelweisungen des Kunden über die Erhebung, Verarbeitung oder Nutzung von Daten zu beachten und umzusetzen. Der Kunde ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst auch Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Ist branchly der Ansicht, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt, wird er den Kunden darauf hinweisen. Die angemessenen Kosten der Durchführung von Weisungen, die über die vertraglichen Leistungen des Hauptvertrags hinausgehen, werden vom Kunden nach Maßgabe der jeweils geltenden Stundensätze der branchly erstattet.

3. Unterauftragsverhältnisse

3.1 branchly ist zur Einschaltung von weiteren Auftragsverarbeitern („Subunternehmern“) berechtigt. Derzeit setzt branchly die folgenden Subunternehmer ein.

Vertragliche Vereinbarungen mit Subunternehmern werden durch branchly so gestaltet, dass sie den Bestimmungen der DSGVO entsprechen.

3.2. branchly informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer, wodurch der Kunde die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Sollte der Kunde begründete Einwände gegen den Einsatz eines solchen neuen Subunternehmers dahingehend haben, dass der Einsatz den Anforderungen der DSGVO nicht entspricht, ist der Kunde berechtigt, gegenüber branchly innerhalb von 14 Tagen nach Erhalt der Änderungsmitteilung Einspruch gegen den Einsatz des Subunternehmers zu erheben. Sofern branchly daraufhin trotz berechtigten Einspruchs gegenüber dem Kunden erklärt, nicht auf den Einsatz des Subunternehmers zu verzichten, ist der Kunde berechtigt, den Hauptvertrag mit einer Frist von vier Wochen schriftlich zu kündigen.

3.3 Als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören insbesondere Nebenleistungen, die branchly z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern in Anspruch nimmt. branchly ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

4. Datengeheimnis und Vertraulichkeit

branchly stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Mitarbeiter zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung des Arbeitsverhältnisses zwischen dem Mitarbeiter und branchly bestehen bleiben.

5. Schutzmaßnahmen und Kontrolle

5.1 branchly trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). branchly kann die technisch-organisatorischen Maßnahmen ändern und anpassen, insbesondere an Fortentwicklungen des Standes der Technik, sofern dadurch das anfängliche Sicherheitsniveau nicht unterschritten wird.

5.2 branchly stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation. branchly ermöglicht zudem die Überprüfung durch den Kunden oder einen anderen von diesem beauftragten Prüfer. Zu diesem Zweck gestattet branchly dem Prüfer, sich nach Anmeldung zu Prüfzwecken in den Betriebsräumen der branchly zu den üblichen Geschäftszeiten ohne erhebliche Störung des Betriebsablaufes von der Einhaltung der für die Auftragsverarbeitung einschlägigen Pflichten zu überzeugen. Die angemessenen Kosten der Mitwirkung bei einer solchen Prüfung auf Seiten der branchly werden vom Kunden nach Maßgabe der Stundensätze der branchly erstattet. 5.3 Der Kunde verpflichtet sich, alle im Rahmen der vorgenannten Kontrollen und Auskünfte bekannt gewordenen oder von branchly bekannt gegebenen Informationen, Unterlagen, Daten und Erkenntnisse streng vertraulich zu behandeln, ausschließlich für die datenschutzrechtliche Kontrolle zu verwenden und nicht anderweitig zu nutzen. Vom Kunden eingeschaltete Mitarbeiter oder externe Dritte sind, sofern sie nicht von Berufs wegen zur Verschwiegenheit verpflichtet sind, einer gleichwertigen Verschwiegenheitspflicht wie der hier festgelegten zu unterwerfen.

6. Informations- und Unterstützungspflicht

6.1 Wenn branchly eine Verletzung des Schutzes personenbezogener Daten des Kunden bekannt geworden ist, meldet er diese unverzüglich dem Kunden. branchly wird im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. branchly unterstützt den Kunden bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

6.2 branchly unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erstellung von Datenschutz-Folgenabschätzungen gemäß Art. 35, 36 DSGVO.

6.3 Sollten die Daten bei branchly durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat branchly den Kunden unverzüglich darüber zu informieren. branchly wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden als „Verantwortlichem“ im Sinne der DSGVO liegen.

7. Löschung von Daten

7.1 Die Löschung der im Rahmen des Auftragsverhältnisses erhobenen, verarbeiteten und genutzten Daten erfolgt mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

7.2 Sofern im Zuge der Datenverarbeitung Datenträger vom Kunden überlassen worden sind, wird branchly diese spätestens mit Beendigung des Hauptvertrages zurückgeben.

8. Rechte der betroffenen Personen

8.1 Soweit ein Betroffener sich unmittelbar an branchly zwecks Wahrnehmung von Betroffenenrechten (z.B. bezüglich der Berichtigung, Sperrung bzw. Einschränkung der Verarbeitung oder Löschung von Daten) wenden sollte, wird branchly dieses Ersuchen unverzüglich an den Kunden weiterleiten.

8.2 branchly unterstützt den Kunden auf Anforderung bei der Wahrung dieser Rechte, z.B. im Hinblick auf die Informationspflichten (Benachrichtigung, Auskunftserteilung), Berichtigung, Sperrung bzw. Einschränkung der Verarbeitung und Löschung personenbezogener Daten. Die angemessenen Kosten der Unterstützung durch branchly werden vom Kunden nach Maßgabe der Stundensätze der branchly erstattet.

9. Laufzeit und Schlussbestimmungen

9.1 Die vorliegende Vereinbarung endet mit der Beendigung des Hauptvertrags. Sie bleibt auch über die Beendigung des Hauptvertrags hinaus so lange in Kraft, wie branchly über personenbezogene Daten des Kunden verfügt.

9.2 Die zwischen den Parteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Haftung zwischen den Parteien im Zusammenhang mit dieser Vereinbarung zur Auftragsverarbeitung.

9.3 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

9.4 Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Das einheitliche UN-Kaufrecht (UNCITRAL) findet keine Anwendung.