Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Auftragsverarbeitung personenbezogener Daten nach Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und der Datargo GmbH als Auftragsverarbeiterin.
1. Präambel und Rollenverteilung
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, die die Datargo GmbH, Frankfurt am Main (nachfolgend “Datargo” oder “Auftragsverarbeiterin”), im Auftrag und nach Weisung des Kunden (nachfolgend “Kunde” oder “Verantwortlicher”) im Rahmen der Bereitstellung der Module Datargo Monitor, Datargo CRM, Datargo ID, Datargo ERP und NextPKI sowie des Bündelangebots Datargo One (einzeln und gemeinsam nachfolgend “Leistungen”) erbringt.
(2) Der Kunde ist hinsichtlich der von ihm in die Leistungen eingebrachten oder über die Leistungen verarbeiteten personenbezogenen Daten Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Datargo ist insoweit Auftragsverarbeiterin im Sinne des Art. 4 Nr. 8 DSGVO und verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Kunden.
(3) Dieser AVV richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, an juristische Personen des öffentlichen Rechts und an öffentlich-rechtliche Sondervermögen.
(4) Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten, die Datargo im Auftrag des Kunden im Rahmen des zwischen den Parteien geschlossenen Hauptvertrages (nachfolgend “Hauptvertrag”), bestehend aus den Allgemeinen Geschäftsbedingungen , den jeweils einschlägigen besonderen Modulbedingungen, dem Service Level Agreement und etwaigen Einzelverträgen, durchführt. Dieser AVV ist Bestandteil des Hauptvertrages.
(5) Begriffe, die in diesem AVV mit der Bedeutung der DSGVO verwendet werden (etwa “personenbezogene Daten”, “Verarbeitung”, “betroffene Person”, “Verletzung des Schutzes personenbezogener Daten”, “Aufsichtsbehörde”), sind im Sinne des Art. 4 DSGVO zu verstehen. “DSGVO” bezeichnet die Verordnung (EU) 2016/679. “Datenschutzrecht” bezeichnet die DSGVO sowie das jeweils anwendbare Datenschutzrecht der Mitgliedstaaten, insbesondere das Bundesdatenschutzgesetz (BDSG).
2. Gegenstand, Art, Zweck und Dauer der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Verarbeitung personenbezogener Daten durch Datargo, soweit sie zur Erbringung der im Hauptvertrag vereinbarten Leistungen erforderlich ist.
(2) Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag und der jeweiligen Leistungsbeschreibung des genutzten Moduls. Datargo verarbeitet personenbezogene Daten ausschließlich zu dem Zweck, dem Kunden die vertraglich vereinbarten Leistungen bereitzustellen, zu betreiben, zu warten, zu pflegen, abzusichern und zu unterstützen. Eine Verarbeitung zu eigenen Zwecken von Datargo, insbesondere zu Werbe-, Analyse- oder Trainingszwecken, findet nicht statt.
(3) Die typischen Verarbeitungstätigkeiten je Modul sind in der folgenden Übersicht dargestellt; maßgeblich ist die jeweilige Leistungsbeschreibung:
| Modul | Typische Verarbeitungstätigkeit |
|---|---|
| Datargo Monitor | Speichern und Auswerten von Kontakt- und Eskalationsdaten zur Zustellung von Benachrichtigungen sowie Vorhalten der zugehörigen Vorfall- und Zustellhistorie. |
| Datargo CRM | Erfassen, Strukturieren, Speichern und Versenden von Kontakt-, Interessenten- und Kundendaten sowie der zugehörigen Kommunikation. |
| Datargo ID | Verwalten von Identitäts-, Authentifizierungs- und Berechtigungsdaten der Nutzer des Kunden. |
| Datargo ERP | Verarbeiten von Stamm-, Bewegungs- und Belegdaten einschließlich darin enthaltener personenbezogener Daten (etwa von Ansprechpartnern, Beschäftigten oder Geschäftspartnern des Kunden). |
| NextPKI | Verarbeiten von Zertifikats-, Schlüssel- und Antragsdaten einschließlich darin enthaltener personenbezogener Daten. |
| Datargo One | Verarbeitungen der gebündelten Module nach Maßgabe des jeweiligen Einzelvertrages. |
(4) Dauer der Verarbeitung: Die Verarbeitung beginnt mit Bereitstellung der Leistungen und endet mit Beendigung des Hauptvertrages, vorbehaltlich der Regelungen zu Löschung und Rückgabe nach Ziffer 11. Dieser AVV gilt für die gesamte Laufzeit des Hauptvertrages und über dessen Beendigung hinaus, solange Datargo personenbezogene Daten des Kunden verarbeitet.
(5) Ort der Verarbeitung: Die im Auftrag des Kunden nach diesem AVV verarbeiteten personenbezogenen Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet. Das Hosting erfolgt in einem Rechenzentrum in Frankfurt am Main. Eine Verarbeitung dieser Daten in einem Drittland im Sinne der Art. 44 ff. DSGVO erfolgt nicht (siehe Ziffer 9).
3. Kategorien betroffener Personen und Arten personenbezogener Daten
(1) Die konkreten Kategorien betroffener Personen und Arten personenbezogener Daten werden durch den Kunden bestimmt, indem er die Leistungen nutzt und personenbezogene Daten einbringt. Datargo hat hierauf keinen Einfluss. Die nachstehende Übersicht beschreibt den typischen Rahmen; verbindlich ist die jeweilige Nutzung durch den Kunden sowie die in Anlage 1 dokumentierte Festlegung.
(2) Kategorien betroffener Personen (typisch):
| Kategorie | Beispiele |
|---|---|
| Beschäftigte und Nutzer des Kunden | Mitarbeitende, Administratoren, benannte Bevollmächtigte. |
| Kontakte, Interessenten und Kunden des Kunden | Ansprechpartner, Endkunden, Leads. |
| Geschäftspartner und Dienstleister des Kunden | Lieferanten, externe Dienstleister, Ansprechpartner. |
| Empfänger von Benachrichtigungen | Personen, die im Rahmen von Eskalations- und Alarmierungsabläufen kontaktiert werden. |
(3) Arten personenbezogener Daten (typisch):
| Datenart | Beispiele |
|---|---|
| Stammdaten | Name, Anrede, Funktion, Organisationszugehörigkeit. |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer, Anschrift. |
| Vertrags- und Geschäftsdaten | Belege, Vorgänge, Kommunikationsinhalte (im Rahmen von Datargo ERP/CRM). |
| Identifikations- und Zugangsdaten | Benutzerkennungen, Authentifizierungsmerkmale, Berechtigungen (im Rahmen von Datargo ID/NextPKI). |
| Nutzungs- und Protokolldaten | Zugriffs-, Aktivitäts- und Sicherheitsprotokolle, soweit personenbeziehbar. |
| Inhaltsdaten | Vom Kunden eingestellte oder versandte Inhalte. |
(4) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Leistungen. Bringt der Kunde gleichwohl solche Daten ein, geschieht dies in seiner alleinigen Verantwortung; der Kunde hat in diesem Fall die nach Art. 9 DSGVO erforderlichen zusätzlichen Voraussetzungen sicherzustellen und Datargo hierüber vorab in Textform zu informieren, damit angemessene zusätzliche Schutzmaßnahmen geprüft werden können.
4. Weisungsrecht und Weisungsbindung
(1) Datargo verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrages und nach den dokumentierten Weisungen des Kunden, einschließlich in Bezug auf die Übermittlung in ein Drittland, es sei denn, Datargo ist hierzu nach dem Recht der Union oder der Mitgliedstaaten verpflichtet, dem Datargo unterliegt. In einem solchen Fall teilt Datargo dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Die im Hauptvertrag und in diesem AVV getroffenen Festlegungen gelten als dokumentierte Erstweisung des Kunden. Spätere Weisungen sind in Textform zu erteilen oder unverzüglich in Textform zu bestätigen. Datargo dokumentiert die erteilten Weisungen.
(3) Weisungsbefugt auf Seiten des Kunden sind die hierzu benannten Personen. Der Kunde benennt Datargo eine weisungsberechtigte Person sowie deren Vertretung in Anlage 2. Datargo darf auf den Bestand der Weisungsbefugnis vertrauen.
(4) Hinweis bei rechtswidriger Weisung: Ist Datargo der Auffassung, dass eine Weisung des Kunden gegen das Datenschutzrecht verstößt, informiert Datargo den Kunden unverzüglich (Art. 28 Abs. 3 S. 3 DSGVO). Datargo ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Kunden auszusetzen. Datargo ist nicht verpflichtet, eine umfassende Rechtmäßigkeitsprüfung der Weisungen vorzunehmen.
(5) Geht eine Weisung über den vertraglich vereinbarten Leistungsumfang hinaus oder verursacht ihre Umsetzung einen nicht unerheblichen Mehraufwand, kann Datargo die Umsetzung von einer gesonderten, angemessenen Vergütung abhängig machen, sofern es sich nicht um eine zwingende gesetzliche Pflicht handelt.
5. Vertraulichkeit und Verpflichtung der Beschäftigten
(1) Datargo gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
(2) Datargo verpflichtet die mit der Verarbeitung befassten Personen vor Aufnahme der Tätigkeit auf die Vertraulichkeit und das Datengeheimnis und unterweist sie in angemessenem Umfang über die sich aus dem Datenschutzrecht ergebenden Pflichten sowie über die bestehende Weisungsgebundenheit. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.
(3) Datargo stellt sicher, dass der Zugang zu personenbezogenen Daten auf solche Personen beschränkt ist, die diesen zur Erfüllung ihrer vertraglichen Aufgaben benötigen (Grundsatz der Erforderlichkeit, “need to know”).
(4) Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Benennungspflicht nach § 38 BDSG besteht; Anfragen zum Datenschutz sind an privacy@datargo.com zu richten.
6. Technische und organisatorische Maßnahmen (TOM)
(1) Datargo trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 28 Abs. 3 lit. c DSGVO). Die Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Personen.
(2) Die konkreten technischen und organisatorischen Maßnahmen sind in Anlage 3 (TOM) beschrieben und Bestandteil dieses AVV. Sie umfassen insbesondere Maßnahmen in den folgenden Bereichen:
| Schutzbereich | Maßnahmen (Überblick) |
|---|---|
| Vertraulichkeit | Zutritts-, Zugangs- und Zugriffskontrolle, strikte Mandantentrennung, rollenbasierte Berechtigungen, Mehr-Faktor-Authentifizierung. |
| Integrität | Verschlüsselung bei Übertragung und Speicherung, manipulationssicherer Audit-Trail, Eingabe- und Änderungskontrolle. |
| Verfügbarkeit und Belastbarkeit | Redundanz, Datensicherung, Wiederherstellungsverfahren, Schutz vor unbefugter Beeinträchtigung. |
| Pseudonymisierung und Datentrennung | Trennung nach Zweck und Mandant, Pseudonymisierung, soweit angemessen. |
| Verfahren zur regelmäßigen Überprüfung | regelmäßige Bewertung, Prüfung und Evaluierung der Wirksamkeit der Maßnahmen. |
| Auftragskontrolle | Sicherstellung weisungsgemäßer Verarbeitung. |
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Datargo ist berechtigt, alternative angemessene Maßnahmen zu treffen, sofern das Schutzniveau der vereinbarten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen, die das Schutzniveau betreffen, dokumentiert Datargo und macht sie dem Kunden auf Anfrage zugänglich.
(4) Die für die Sicherheit der Verarbeitung maßgeblichen Standards werden, soweit zutreffend, durch anerkannte Zertifizierungen und Prüfberichte nachgewiesen (siehe Ziffer 12).
7. Inanspruchnahme weiterer Auftragsverarbeiter (Sub-Prozessoren)
(1) Der Kunde erteilt Datargo die allgemeine Genehmigung zur Inanspruchnahme weiterer Auftragsverarbeiter (nachfolgend “Sub-Prozessoren”) im Sinne des Art. 28 Abs. 2 S. 1 und Abs. 4 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Prozessoren sind unter Sub-Prozessoren abrufbar und gelten als genehmigt.
(2) Datargo verpflichtet die Sub-Prozessoren vertraglich auf datenschutzrechtliche Pflichten, die denen dieses AVV entsprechen, insbesondere auf hinreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 28 Abs. 4 DSGVO). Kommt der Sub-Prozessor seinen Datenschutzpflichten nicht nach, haftet Datargo gegenüber dem Kunden für die Einhaltung der Pflichten des Sub-Prozessors.
(3) Änderungsanzeige und Widerspruchsrecht: Datargo unterrichtet den Kunden über jede beabsichtigte Hinzuziehung oder Ersetzung eines Sub-Prozessors mit einer Frist von mindestens 30 Tagen vor der beabsichtigten Beauftragung. Die Unterrichtung erfolgt durch Aktualisierung der Liste unter Sub-Prozessoren und, soweit der Kunde dies eingerichtet hat, durch Benachrichtigung über den hinterlegten Kontakt. Der Kunde kann der Änderung innerhalb von 14 Tagen ab Unterrichtung aus wichtigem, datenschutzrechtlich begründetem Grund in Textform widersprechen.
(4) Widerspricht der Kunde fristgerecht und aus wichtigem Grund, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann eine solche nicht erreicht werden und hält Datargo am Einsatz des betreffenden Sub-Prozessors fest, ist der Kunde berechtigt, den von der Änderung betroffenen Teil der Leistungen mit angemessener Frist außerordentlich zu kündigen. Weitergehende Ansprüche bestehen insoweit nicht.
(5) Sub-Prozessoren werden ausschließlich innerhalb der Europäischen Union eingesetzt. Ein Einsatz von Sub-Prozessoren mit Verarbeitung in einem Drittland erfolgt nur nach Maßgabe der Ziffer 9.
(6) Nicht als Sub-Prozessoren im Sinne dieser Ziffer gelten Nebenleistungen, die Datargo bei Dritten als Annextätigkeit in Anspruch nimmt (etwa Telekommunikations-, Wartungs- oder Reinigungsdienstleistungen), sofern diese keinen wesentlichen Bezug zur Verarbeitung der personenbezogenen Daten des Kunden haben. Datargo trifft auch insoweit angemessene Maßnahmen zur Wahrung der Vertraulichkeit.
8. Unterstützung des Verantwortlichen
8.1 Unterstützung bei Betroffenenrechten
(1) Datargo unterstützt den Kunden im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) nachzukommen (Art. 28 Abs. 3 lit. e DSGVO).
(2) Wendet sich eine betroffene Person mit einem solchen Antrag unmittelbar an Datargo, leitet Datargo den Antrag unverzüglich an den Kunden weiter und beantwortet ihn nicht selbst, es sei denn, der Kunde hat hierzu eine abweichende Weisung erteilt.
8.2 Unterstützung bei Sicherheit, Datenschutz-Folgenabschätzung und Meldepflichten
(1) Datargo unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der Datargo zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. f DSGVO), insbesondere bei der Sicherheit der Verarbeitung (Art. 32), der Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34), der Datenschutz-Folgenabschätzung (Art. 35) und der vorherigen Konsultation (Art. 36).
(2) Meldung von Datenschutzverletzungen: Datargo informiert den Kunden unverzüglich, in der Regel ohne schuldhaftes Zögern, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten des Kunden bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt an den vom Kunden hinterlegten Kontakt und enthält, soweit verfügbar, die in Art. 33 Abs. 3 DSGVO genannten Angaben (Art der Verletzung, betroffene Kategorien und Anzahl, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen, Kontaktstelle). Stehen nicht alle Angaben sofort zur Verfügung, werden sie ohne unangemessene weitere Verzögerung schrittweise nachgereicht.
(3) Die Meldung an die zuständige Aufsichtsbehörde und gegebenenfalls die Benachrichtigung der betroffenen Personen obliegt allein dem Kunden als Verantwortlichem; Datargo nimmt eine solche Meldung nicht eigenständig vor.
(4) Soweit die Unterstützungsleistungen nach dieser Ziffer 8 über den vertraglich vereinbarten Leistungsumfang hinausgehen oder auf einem dem Kunden zuzurechnenden Umstand beruhen, kann Datargo hierfür eine angemessene Vergütung verlangen. Unterstützungsleistungen im Zusammenhang mit einer von Datargo zu vertretenden Datenschutzverletzung erfolgen unentgeltlich.
9. Datenort, Drittlandtransfer und internationale Übermittlung
(1) Die im Auftrag des Kunden nach diesem AVV verarbeiteten personenbezogenen Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet, mit Hosting in Frankfurt am Main. Eine Übermittlung dieser Daten in ein Drittland oder an eine internationale Organisation im Sinne der Art. 44 ff. DSGVO findet nicht statt; insoweit besteht kein Zugriff nach Maßgabe des US-CLOUD-Act. Nicht Gegenstand dieses Auftragsverarbeitungsverhältnisses ist die Abwicklung der Zahlungs- und Rechnungsbeziehung zwischen Datargo und dem Kunden; hierfür ist Datargo eigenständig Verantwortliche und setzt den Zahlungsdienstleister Stripe (Stripe, LLC, USA) ein, dessen Übermittlung personenbezogener Daten in die USA über das EU-US Data Privacy Framework (Art. 45 DSGVO) und ergänzende Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 abgesichert ist (Einzelheiten in der Datenschutzerklärung ).
(2) Sollte ausnahmsweise und nach gesonderter Vereinbarung eine Verarbeitung in einem Drittland in Betracht kommen, erfolgt diese nur, wenn die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind, insbesondere ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder geeignete Garantien, insbesondere die Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission, vereinbart sind und, soweit erforderlich, eine Risikobewertung der Übermittlung (Transfer Impact Assessment) durchgeführt und durch ergänzende Maßnahmen abgesichert wurde.
(3) Region-Pinning sowie weitergehende Betriebs- und Souveränitätsoptionen können über Datargo One vereinbart werden.
10. Pflichten und Rechte des Verantwortlichen
(1) Der Kunde ist als Verantwortlicher für die Zulässigkeit und Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen allein verantwortlich (Art. 24, 28 Abs. 3 S. 1 DSGVO). Er stellt insbesondere sicher, dass für die durch ihn veranlasste Verarbeitung eine wirksame Rechtsgrundlage besteht und die erforderlichen Informationspflichten nach Art. 13, 14 DSGVO erfüllt sind.
(2) Der Kunde ist für die Erteilung und Dokumentation der Weisungen sowie für die Festlegung der Kategorien betroffener Personen und Datenarten verantwortlich. Er informiert Datargo unverzüglich, wenn er bei der Prüfung der Verarbeitungsergebnisse Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.
(3) Der Kunde benennt Datargo die für die Auftragsverarbeitung weisungs- und kontaktberechtigten Personen sowie eine Kontaktstelle für Meldungen nach Ziffer 8.2.
(4) Soweit der Kunde gesetzlich verpflichtet ist, gegenüber Behörden oder betroffenen Personen Auskünfte zur Verarbeitung zu erteilen, unterstützt Datargo den Kunden im Rahmen der Ziffern 8 und 12.
11. Löschung und Rückgabe nach Beendigung
(1) Nach Beendigung der Verarbeitungstätigkeiten gibt Datargo dem Kunden nach dessen Wahl alle personenbezogenen Daten zurück oder löscht sie und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Datargo stellt dem Kunden die personenbezogenen Daten nach Beendigung des Hauptvertrages für einen Zeitraum von 30 Tagen in einem gängigen, strukturierten und maschinenlesbaren Format zum Export bereit. Diese Frist und die Modalitäten des Exports richten sich nach den Regelungen des Hauptvertrages, soweit dort gesonderte Vereinbarungen getroffen sind.
(3) Nach Ablauf des Export- und eines etwaigen vereinbarten Übergangszeitraums werden die personenbezogenen Daten einschließlich vorhandener Kopien innerhalb von 30 Tagen nach anerkannten Verfahren gelöscht. Datensicherungen werden im Rahmen der regulären Lösch- und Überschreibungszyklen gelöscht.
(4) Soweit gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen, werden die betreffenden Daten gesperrt und nur im Umfang der gesetzlichen Pflicht weiterverarbeitet; nach Wegfall der Aufbewahrungspflicht werden sie gelöscht.
(5) Datargo dokumentiert die Löschung oder Rückgabe und weist sie dem Kunden auf Verlangen in geeigneter Weise nach.
12. Nachweis-, Kontroll- und Auditrechte
(1) Datargo stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).
(2) Vorrang dokumentenbasierter Nachweise: Der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen kann vorrangig durch die Vorlage geeigneter, aktueller Nachweise erfolgen, insbesondere durch anerkannte Zertifizierungen, Testate oder unabhängige Prüfberichte (etwa ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC-2-Typ-II-Berichte oder ein BSI-C5-Testat), durch genehmigte Verhaltensregeln oder durch aussagekräftige Selbstauskünfte. Der Kunde akzeptiert solche Nachweise, soweit sie den geprüften Bereich abdecken und aktuell sind.
(3) Vor-Ort-Audit: Soweit dokumentenbasierte Nachweise im Einzelfall nicht ausreichen, hat der Kunde das Recht, eine Überprüfung vor Ort durchzuführen oder durch einen zur Berufsverschwiegenheit verpflichteten, von den Parteien nicht im Wettbewerb stehenden Prüfer durchführen zu lassen. Für die Durchführung gilt:
| Aspekt | Regelung |
|---|---|
| Ankündigung | Vorherige Ankündigung in Textform mit angemessener Frist, in der Regel mindestens 14 Tage, außer bei Gefahr im Verzug oder nach einer Datenschutzverletzung. |
| Häufigkeit | In der Regel höchstens einmal je Kalenderjahr; zusätzliche Prüfungen bei konkretem Anlass (etwa nach einer Datenschutzverletzung oder auf Verlangen einer Aufsichtsbehörde). |
| Geschäftsbetrieb | Durchführung zu den üblichen Geschäftszeiten und ohne unverhältnismäßige Beeinträchtigung des Betriebs von Datargo. |
| Vertraulichkeit | Wahrung der Vertraulichkeit, der Mandantentrennung und der Datenschutz- und Sicherheitsbelange anderer Kunden; keine Einsichtnahme in Daten Dritter. |
| Kosten | Routineprüfungen trägt der Kunde; durch eine von Datargo zu vertretende Pflichtverletzung veranlasste Prüfungen trägt Datargo. Über den üblichen Aufwand hinausgehende Unterstützung kann Datargo angemessen vergütet verlangen. |
(4) Erweiterte Rechte regulierter Kunden: Für Kunden, die als Finanzunternehmen im Sinne der Verordnung (EU) 2022/2554 (DORA) oder als wichtige oder kritische Einrichtung im Sinne der Richtlinie (EU) 2022/2555 (NIS2) und ihrer nationalen Umsetzung erweiterten regulatorischen Anforderungen unterliegen, gelten ergänzende Informations-, Zugangs- und Prüfrechte, einschließlich der Rechte der zuständigen Aufsichts- und Abwicklungsbehörden. Diese sind im DORA-Addendum geregelt, das für die betroffenen Kunden insoweit Vorrang vor dieser Ziffer hat.
(5) Datargo informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstößt (siehe Ziffer 4 Abs. 4), und informiert den Kunden, soweit rechtlich zulässig, über Anfragen von Aufsichtsbehörden oder sonstigen staatlichen Stellen, die sich auf die Verarbeitung der personenbezogenen Daten des Kunden beziehen.
13. Haftung
(1) Für die Haftung der Parteien gilt die Haftungsregelung des Hauptvertrages, insbesondere Ziffer 9 der Allgemeinen Geschäftsbedingungen , die als einheitliche Kernregelung für das gesamte Vertragsverhältnis gilt. Dieser AVV begründet keine eigenständige oder erweiterte vertragliche Haftung.
(2) Die Haftung im Außenverhältnis gegenüber betroffenen Personen sowie die Verteilung der Haftung zwischen Verantwortlichem und Auftragsverarbeiter nach Art. 82 DSGVO bleiben von Absatz 1 unberührt. Die zwingende gesetzliche Haftung, insbesondere für Vorsatz und grobe Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, nach dem Produkthaftungsgesetz und aus einer übernommenen Garantie, bleibt in jedem Fall unberührt.
(3) Im Innenverhältnis tragen die Parteien etwaige nach Art. 82 DSGVO geleistete Entschädigungen entsprechend ihrem jeweiligen Anteil an der Verantwortung für den eingetretenen Schaden; im Übrigen gilt die Haftungsregelung des Hauptvertrages.
14. Schlussbestimmungen
(1) Verhältnis zum Hauptvertrag und Rangfolge: Dieser AVV ergänzt den Hauptvertrag. Im Falle von Widersprüchen zwischen diesem AVV und den übrigen Bestandteilen des Hauptvertrages geht in Fragen der Verarbeitung personenbezogener Daten dieser AVV vor. Es gilt im Übrigen die folgende Rangfolge: Individualabrede vor diesem AVV vor Service Level Agreement und besonderen Modulbedingungen vor den Allgemeinen Geschäftsbedingungen . Die Haftungsregelung nach Ziffer 13 bleibt hiervon unberührt.
(2) Anlagen: Bestandteil dieses AVV sind die folgenden Anlagen: Anlage 1, Anlage 2 und Anlage 3 (TOM) sowie die jeweils aktuelle Liste der Sub-Prozessoren .
(3) Textform und Änderungen: Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses. Individuelle Vertragsabreden haben in jedem Fall Vorrang (§ 305b BGB).
(4) Anwendbares Recht und Gerichtsstand: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist, Frankfurt am Main. Zwingende gesetzliche Gerichtsstände bleiben unberührt.
(5) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt die gesetzliche Regelung.
(6) Abruf des unterzeichnungsfertigen AVV: Den unterzeichnungsfertigen AVV einschließlich der Anlagen erhalten Geschäftskunden über hello@datargo.com oder im Trust Center .
Anlage 1: Kategorien betroffener Personen und Arten personenbezogener Daten
Diese Anlage konkretisiert die in Ziffer 3 dieses AVV beschriebenen Kategorien betroffener Personen und Arten personenbezogener Daten. Die tatsächliche Ausprägung richtet sich nach den vom Kunden genutzten Modulen und seiner Konfiguration; verbindlich ist die jeweilige Nutzung durch den Kunden.
(a) Kategorien betroffener Personen
| Kategorie betroffener Personen | Beschreibung |
|---|---|
| Nutzer und Beschäftigte des Kunden | Mitarbeitende, Administratoren und sonstige Personen, die im Auftrag des Kunden mit den Leistungen arbeiten oder über sie verwaltet werden. |
| Ansprechpartner des Kunden | Benannte Kontakt- und Bevollmächtigte des Kunden, etwa für Vertrags-, Datenschutz- oder technische Belange. |
| Kontakte, Interessenten und Endkunden des Kunden | Natürliche Personen, deren Daten der Kunde über Datargo CRM verarbeitet, etwa Leads, Ansprechpartner und Endkunden des Kunden. |
| Betroffene aus den vom Kunden überwachten Systemen | Natürliche Personen, deren Daten, soweit personenbezogen, über Datargo Monitor im Rahmen von Überwachungs-, Eskalations- und Alarmierungsabläufen verarbeitet werden. |
| Geschäftspartner und Dienstleister des Kunden | Lieferanten, externe Dienstleister und deren Ansprechpartner, soweit der Kunde deren Daten über die Leistungen verarbeitet. |
(b) Arten personenbezogener Daten je Modul
| Modul | Typische Arten personenbezogener Daten |
|---|---|
| Datargo Monitor | Kontaktdaten, Nutzungs- und Protokolldaten, technische Verbindungsdaten sowie personenbezogene Daten aus der Vorfall- und Zustellhistorie, soweit personenbeziehbar. |
| Datargo CRM | Stammdaten, Kontaktdaten sowie Kommunikations- und Inhaltsdaten (etwa Inhalte von Vorgängen, Tickets und Chat-Kommunikation). |
| Datargo ID | Authentifizierungs- und Identitätsdaten, Benutzerkennungen und Berechtigungen sowie zugehörige Nutzungs- und Protokolldaten. |
| Datargo ERP | Stammdaten, Kontaktdaten sowie Vertrags- und Abrechnungsdaten einschließlich darin enthaltener personenbezogener Daten (etwa von Ansprechpartnern, Beschäftigten oder Geschäftspartnern des Kunden). |
| NextPKI | Identifikations- und Antragsdaten im Zusammenhang mit Zertifikaten und Schlüsseln sowie zugehörige Protokolldaten, soweit personenbeziehbar. |
| Datargo One | Arten personenbezogener Daten der gebündelten Module nach Maßgabe des jeweiligen Einzelvertrages. |
Über alle Module hinweg können ferner allgemeine Nutzungs- und Protokolldaten sowie technische Verbindungsdaten anfallen, soweit sie personenbeziehbar sind.
(c) Klarstellung zu besonderen Kategorien
Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sowie Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO sind nicht Gegenstand der Leistungen. Bringt der Kunde gleichwohl solche Daten ein, geschieht dies in seiner alleinigen Verantwortung (siehe Ziffer 3 Abs. 4). Die konkrete Ausprägung der vorstehenden Kategorien und Datenarten richtet sich nach den vom Kunden genutzten Modulen und seiner Konfiguration.
Anlage 2: Ansprech- und weisungsberechtigte Personen
Diese Anlage benennt die Ansprech- und weisungsberechtigten Personen der Parteien (siehe Ziffer 4 Abs. 3 sowie Ziffer 10 Abs. 3). Die nachstehenden Tabellen sind durch die Parteien auszufüllen.
(a) Auf Seiten des Kunden
| Funktion | Angaben |
|---|---|
| Weisungsberechtigte Person(en) und Vertretung | Andreas Mallek, Geschäftsführer, privacy@datargo.com |
| Technische Kontaktstelle | Andreas Mallek, Geschäftsführer, privacy@datargo.com |
| Datenschutz-Kontakt (Kontaktstelle für Meldungen nach Ziffer 8.2) | Andreas Mallek, Geschäftsführer, privacy@datargo.com |
(b) Auf Seiten der Datargo GmbH
| Funktion | Angaben |
|---|---|
| Kontaktstelle für Anfragen nach diesem AVV | hello@datargo.com |
| Datenschutzbeauftragter (soweit benannt) | Nicht bestellt; keine Benennungspflicht nach § 38 BDSG. Datenschutzanfragen: privacy@datargo.com |
Änderungen der vorstehenden Angaben sind den Parteien in Textform mitzuteilen. Sie gelten mit Zugang der Mitteilung und erfordern keine Änderung dieses AVV.
Anlage 3: Technische und organisatorische Maßnahmen (TOM)
Diese Anlage beschreibt die von Datargo nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen (siehe Ziffer 6). Sie ist Bestandteil dieses AVV.
(1) Vertraulichkeit
| Maßnahmenbereich | Beschreibung |
|---|---|
| Zutrittskontrolle | Verarbeitung auf Eigeninfrastruktur in einem Rechenzentrum in Frankfurt am Main mit physischer Zutrittssicherung (etwa Zutrittsbeschränkung auf berechtigte Personen, Vereinzelung, Überwachung und Protokollierung der Zutritte). |
| Zugangskontrolle | Schutz vor unbefugter Systemnutzung durch persönliche Authentifizierung, Mehr-Faktor-Authentisierung für administrative und schützenswerte Zugänge sowie restriktive Voreinstellungen nach dem Grundsatz der Verweigerung im Zweifel (deny by default). |
| Zugriffskontrolle | Rollenbasierte Vergabe von Berechtigungen nach den Grundsätzen des Erforderlichen (need to know) und der geringsten Rechte (least privilege) sowie Protokollierung der Zugriffe auf personenbezogene Daten. |
| Trennungskontrolle | Strikte Trennung der Daten verschiedener Kunden (Mandantentrennung) tief in der Plattform sowie Trennung von Produktiv- und Testumgebung. |
| Pseudonymisierung und Verschlüsselung | Verschlüsselung bei der Übertragung nach dem Stand der Technik sowie Verschlüsselung ruhender Daten; Pseudonymisierung, soweit angemessen. Im Einzelnen: Transportverschlüsselung (TLS) für alle Verbindungen, Verschlüsselung ruhender Daten (at-rest) sowie Speicherung von Passwörtern ausschließlich als Hash. |
(2) Integrität
| Maßnahmenbereich | Beschreibung |
|---|---|
| Weitergabekontrolle | Verarbeitung ausschließlich innerhalb der Europäischen Union sowie verschlüsselte Übertragung personenbezogener Daten. |
| Eingabekontrolle | Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen durch einen manipulationssicheren, nur fortschreibbaren Protokoll- und Nachweispfad (append-only Audit-Trail) mit durchgängiger Nachvollziehbarkeit. |
(3) Verfügbarkeit und Belastbarkeit
| Maßnahmenbereich | Beschreibung |
|---|---|
| Verfügbarkeitskontrolle | Laufende Überwachung (Monitoring), redundante Auslegung, Schutz vor Überlast und vor Überlastungsangriffen (DDoS) sowie regelmäßige Datensicherungen, im Einzelnen tägliche Backups sowie kontinuierliche Transaktions-Logs. |
| Rasche Wiederherstellbarkeit | Wiederanlauf- und Notfallkonzept zur raschen Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall, mit Zielwerten von Wiederanlaufzeit (RTO) bis zu 4 Stunden und maximalem Datenverlust (RPO) bis zu 24 Stunden. |
(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
| Maßnahmenbereich | Beschreibung |
|---|---|
| Datenschutz-Management | Festgelegte Verantwortlichkeiten, Richtlinien und Prozesse zur Sicherstellung und Überprüfung der Einhaltung des Datenschutzrechts. |
| Vorfall- und Incident-Response-Management | Definierter Prozess zur Erkennung, Bewertung und Bearbeitung von Sicherheits- und Datenschutzvorfällen einschließlich Meldeprozess gegenüber dem Kunden (siehe Ziffer 8.2). |
| Auftrags- und Sub-Prozessor-Kontrolle | Sicherstellung weisungsgemäßer Verarbeitung sowie vertragliche Weiterverpflichtung der Sub-Prozessoren auf entsprechende Schutzmaßnahmen (siehe Ziffer 7). |
| Regelmäßige Prüfungen | Regelmäßige Überprüfung und Bewertung der Wirksamkeit der Maßnahmen, einschließlich jährlicher externer Penetrationstests sowie regelmäßigen Patch-Managements. |
| Schulung und Verpflichtung der Beschäftigten | Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit und Datengeheimnis sowie regelmäßige Sensibilisierung und Schulung (siehe Ziffer 5). |
| Datenschutz durch Technikgestaltung und Voreinstellungen | Berücksichtigung des Datenschutzes durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) nach Art. 25 DSGVO. |
Klarstellung zu weltweiten Prüf-Nodes: Die technischen Erreichbarkeits- und Verfügbarkeitsprüfungen (Prüfregionen/Check-Nodes) werden teils über Infrastruktur von Drittanbietern weltweit durchgeführt. An diesen Prüf-Nodes werden ausschließlich nicht personenbezogene Rohdaten der technischen Prüfungen (Zielsystem, Antwortzeiten, Status) verarbeitet; personenbezogene Daten der Kunden werden dort nicht gespeichert oder verarbeitet und verbleiben in der Europäischen Union.
Die vorstehenden Maßnahmen werden dem Stand der Technik fortlaufend angepasst. Änderungen dürfen das vereinbarte Schutzniveau nicht unterschreiten (siehe Ziffer 6 Abs. 3).
Maßgebliche Sprachfassung
Dieses Dokument wird in deutscher, englischer und französischer Sprache bereitgestellt. Die englische und die französische Fassung sind ausschließlich Übersetzungen zur besseren Verständlichkeit. Maßgeblich und im Streitfall sowie bei Auslegungs- oder Übersetzungsdifferenzen allein verbindlich ist die deutsche Fassung.