Book a demo

Auftragsverarbeitungsvertrag

Language:

Aktuelle Version

Auftragsverarbeitungsvertrag

zwischen

dem Kunden, der in der jeweils geltenden Leistungs- bzw. Bestellvereinbarung („Order Form“) namentlich benannt ist (nachfolgend „Kunde“ oder „Verantwortlicher„)

und

der BRYTER GmbH, Biebergasse 2, 60313 Frankfurt am Main, Deutschland (nachfolgend „BRYTER“ oder “Auftragsverarbeiter”)

(Kunde und BRYTER gemeinsam die „Parteien“, jeweils eine „Partei“).

Zwischen dem Verantwortlichen und BRYTER besteht ein Vertrag über die Nutzung der BRYTER-Software sowie etwaiger weiterer Dienstleistungen („Rahmenvertrag“). Im Rahmen der Erfüllung dieses Rahmenvertrags kann der Verantwortliche personenbezogene Daten an BRYTER übermitteln, damit diese im Auftrag des Verantwortlichen verarbeitet werden. Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung solcher personenbezogener Daten gemäß Art. 28 DSGVO.

Darüber hinaus enthält der AVV in Abschnitt 6 diejenigen ergänzenden Regelungen, die im Hinblick auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten – insbesondere nach §§ 43a, 43e BRAO und § 203 StGB – erforderlich sind, sofern der Verantwortliche derartige Pflichten zu beachten hat. Soweit im Rahmen dieses AVV personenbezogene Daten verarbeitet werden, die zugleich berufsrechtlich geschützte Geheimnisse im Sinne der genannten Vorschriften darstellen, finden die Regelungen dieses AVV zum Schutz personenbezogener Daten ergänzend Anwendung, soweit sie mit den berufsrechtlichen Verschwiegenheitspflichten vereinbar sind. Abschnitt 6 dieses AVV bleibt vorrangig anwendbar.

1.              Allgemeine Bestimmungen

1.1             Der Kunde ist der Verantwortliche gemäß Artikel 4 Nr. 7 der DSGVO. BRYTER ist der Auftragsverarbeiter gemäß Artikel 4 Nr. 8 der DSGVO.

1.2            BRYTER verarbeitet personenbezogene Daten ausschließlich zur Erfüllung des Rahmenvertrags, einschließlich der jeweils geltenden Order Forms und etwaiger Pro-jekt- oder Leistungsbeschreibungen (Statements of Work), sowie auf dokumentierte Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

1.3            Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Rahmenvertrag und den genannten Vereinbarungen.

1.4           Dauer und Umfang der Verarbeitung richten sich nach den Vorgaben des Rahmenvertrags, einschließlich der jeweils geltenden Order Forms und den Weisungen des Verantwortlichen, soweit in diesem AVV nichts Abweichendes bestimmt ist

1.5            Soweit in diesem AVV Begriffe verwendet werden, die in der DSGVO definiert sind, gelten die gesetzlichen Definitionen.

2.              Art der personenbezogenen Daten und Kategorien betroffener Personen

2.1            Die im Rahmen der BRYTER-Software verarbeiteten personenbezogenen Daten ergeben sich aus den Inhalten und Informationen, die der Verantwortliche in die BRYTER-Software eingibt oder an BRYTER übermittelt. BRYTER hat keinen Einfluss auf die Art, den Umfang oder die Kategorien der personenbezogenen Daten, die der Verantwortliche zur Verarbeitung bereitstellt. Dementsprechend können alle Arten personenbezogener Daten verarbeitet werden, einschließlich besonderer Kategorien personenbezogener Daten, sofern deren Verarbeitung durch den Verantwortlichen zulässig ist.

2.2  Die typischerweise im Rahmen der Nutzung der BRYTER-Dienste verarbeiteten personenbezogenen Daten sowie die betroffenen Personengruppen ergeben sich aus folgender Übersicht:

Art der personenbezogenen DatenKategorien der betroffenen PersonenZweck der VerarbeitungVerarbeitungsdauer
IP-Adresse·       Autorisierte Nutzer
·       Endnutzer, falls eine Anmeldung erforderlich ist		Funktionalität und Sicherheit90 Tage nach letzter Anmeldung
Vorname·       Autorisierte Nutzer
·       Endnutzer, falls eine Anmeldung erforderlich ist		Funktionalität und SicherheitBis zur Kündigung des Rahmenvertrags
Nachname·       Autorisierte Nutzer
·       Endnutzer, falls eine Anmeldung erforderlich ist		Funktionalität und SicherheitBis zur Kündigung des Rahmenvertrags
E-Mail-Adresse·       Autorisierte Nutzer
·       Endnutzer, falls eine Anmeldung erforderlich ist		Funktionalität und SicherheitBis zur Kündigung des Rahmenvertrags
Passwort·       Autorisierte Nutzer
·       Endnutzer, falls eine Anmeldung erforderlich ist		Funktionalität und SicherheitBis zur Kündigung des Rahmenvertrags

2.3. Die Kategorien betroffener Personen hängen von den jeweiligen Daten ab, die der Verantwortliche übermittelt. Betroffen sein können insbesondere autorisierte Nutzer des Verantwortlichen sowie weitere Personen, deren Daten der Verantwortliche in die BRYTER-Software eingebracht hat (z. B. Kunden, Mitarbeiter, Geschäftspartner oder sonstige Dritte).

3.              Rechte und Pflichten des Verantwortlichen

3.1            Der Verantwortliche ist allein dafür verantwortlich, dass die Verarbeitung personenbezogener Daten nach Maßgabe dieses AVV, des Rahmenvertrags sowie der jeweils geltenden Order Form rechtmäßig erfolgt. Dies umfasst insbesondere die Prüfung und Sicherstellung der datenschutzrechtlichen Zulässigkeit der Verarbeitung, einschließlich der Einhaltung der Voraussetzungen der Art. 6 und – sofern einschlägig – Art. 9 DSGVO.

3.2         Sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden, stellt der Verantwortliche sicher, dass hierfür eine einschlägige Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO besteht und geeignete Schutzmaßnahmen ergriffen werden.

3.3           Soweit im Rahmenvertrag nichts Abweichendes geregelt ist, ist der Verantwortliche für die Bearbeitung von Anfragen betroffener Personen nach Art. 12 bis 22 DSGVO zuständig. BRYTER wird Anfragen betroffener Personen, die erkennbar an den Verantwortlichen gerichtet sind, unverzüglich an diesen weiterleiten.

3.4           Der Rahmenvertrag sowie die jeweils geltenden Order Form einschließlich dieses AVV sowie die vertragsgemäße Nutzung der BRYTER-Software gelten als die vollständigen dokumentierten Weisungen des Verantwortlichen im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Der Verantwortliche ist berechtigt, BRYTER ergänzende Weisungen zu erteilen, soweit diese zur Einhaltung datenschutzrechtlicher Vorgaben erforderlich sind und den Regelungen des Rahmenvertrags sowie dieses AVV nicht widersprechen.eßlich vor Ort) beiträgt.

3.5           Weisungen des Verantwortlichen bedürfen der Textform oder einer dokumentierten elektronischen Form. Mündliche Weisungen sind unverzüglich in Textform oder dokumentierter elektronischer Form zu bestätigen. Änderungen des Gegenstands oder der Modalitäten der Verarbeitung sind zwischen den Parteien abzustimmen und entsprechend zu dokumentieren.

3.6           Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen von BRYTER nach Maßgabe der geltenden Datenschutzgesetze und dieses AVV zu überprüfen oder durch einen zur Vertraulichkeit verpflichteten und fachlich geeigneten Dritten überprüfen zu lassen. BRYTER stellt dem Verantwortlichen die hierfür erforderlichen Informationen zur Verfügung und unterstützt Prüfungen nach Maßgabe dieses AVV.

3.7            Prüfungen und Inspektionen sind so durchzuführen, dass sie den Geschäftsbetrieb von BRYTER nicht unangemessen beeinträchtigen. Vor-Ort-Prüfungen finden – vorbehaltlich eines berechtigten Anlasses – höchstens einmal pro Kalenderjahr, während der üblichen Geschäftszeiten und nach vorheriger Abstimmung statt. BRYTER ist berechtigt, Prüfer abzulehnen, die Wettbewerber von BRYTER sind, nicht über die erforderliche Fachkunde verfügen oder nicht unabhängig sind.

3.8           Ein wesentlicher Teil der Verarbeitung personenbezogener Daten erfolgt unter Einsatz von Cloud-Infrastrukturen, insbesondere durch Amazon Web Services und Microsoft Azure. Vor-Ort-Prüfungen in den Geschäftsräumen von BRYTER sind daher nur eingeschränkt geeignet, die Einhaltung der datenschutzrechtlichen Anforderungen zu überprüfen. Auf Verlangen des Verantwortlichen wird BRYTER Prüfungen bei Unterauftragsverarbeitern im Rahmen der jeweils bestehenden Auftragsverarbeitungsverträge sowie der geltenden datenschutzrechtlichen Vorgaben veranlassen

3.9 Der Verantwortliche unterrichtet BRYTER unverzüglich, wenn er im Rahmen von Prüfungen oder auf sonstige Weise Mängel oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten feststellt oder datenschutzrechtliche Beanstandungen erhebt.

3.10 Der Verantwortliche trägt die angemessenen und nachweislich entstandenen Kosten, die BRYTER im Zusammenhang mit Prüfungen oder Vor-Ort-Inspektionen nach dieser Ziffer entstehen, soweit diese nicht auf einen Verstoß von BRYTER gegen datenschutzrechtliche Pflichten zurückzuführen sind.

4.              Pflichten des Auftragsverarbeiters

4.1            BRYTER verarbeitet personenbezogene Daten ausschließlich im Rahmen des Rahmenvertrags und dieses AVV sowie ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern BRYTER nicht aufgrund zwingender unionsrechtlicher oder mitgliedstaatlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen eines wichtigen öffentlichen Interesses untersagt.

4.2           Unter Berücksichtigung der Art der Verarbeitung unterstützt BRYTER den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen dabei, seinen Verpflichtungen zur Wahrung der Rechte betroffener Personen gemäß Art. 12 bis 22 DSGVO nachzukommen, soweit dies BRYTER möglich ist.

4.3           Unter Berücksichtigung der Art der Verarbeitung und der BRYTER zur Verfügung stehenden Informationen unterstützt BRYTER den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 DSGVO sowie – soweit erforderlich – bei der Durchführung einer Datenschutz-Folgenabschätzung und einer etwaigen vorherigen Konsultation gemäß Art. 35 und 36 DSGVO. BRYTER stellt dem Verantwortlichen die hierfür erforderlichen Informationen unverzüglich zur Verfügung.

4.4           BRYTER stellt sicher, dass alle Personen, die unter seiner Verantwortung personenbezogene Daten des Verantwortlichen verarbeiten, (i) einer angemessenen vertraglichen oder gesetzlichen Verschwiegenheitspflicht unterliegen, (ii) über die einschlägigen datenschutzrechtlichen Pflichten nach diesem AVV informiert sind und (iii) personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten. Abweichend hiervon ist eine Verarbeitung ohne Weisung des Verantwortlichen nur zulässig, soweit und sofern BRYTER hierzu aufgrund zwingenden Unionsrechts oder des Rechts eines Mitgliedstaates verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung über die entsprechende rechtliche Verpflichtung, sofern das anwendbare Recht eine solche Information nicht untersagt. Im Hinblick auf die auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten gelten ergänzend die Bestimmungen von Abschnitt 6 des AVV.

4.5        Soweit der Verantwortliche im Rahmen der BRYTER-Software Funktionen nutzt, die auf maschinellem Lernen oder anderen Verfahren künstlicher Intelligenz beruhen, bleibt der Verantwortliche für die Rechtmäßigkeit der Eingaben sowie für die Prüfung, Bewertung und Nutzung der durch diese Funktionen erzeugten Ergebnisse verantwortlich. Ergänzend gelten für die Nutzung solcher KI-gestützter Funktionen die in Abschnitt 12 (KI-Bestimmungen) des Rahmenvertrags enthaltenen Regelungen, die durch Bezugnahme Bestandteil dieses AVV werden und entsprechend Anwendung finden.

5.              Benachrichtigungspflichten des Auftragsverarbeiters

5.1            BRYTER informiert den Verantwortlichen unverzüglich, wenn BRYTER der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige anwendbare datenschutzrechtliche Vorschriften verstößt. BRYTER ist berechtigt, die Ausführung einer solchen Weisung bis zu deren Bestätigung oder Anpassung durch den Verantwortlichen auszusetzen, soweit dies zur Vermeidung eines Rechtsverstoßes erforderlich ist.

5.2           Besteht der Verantwortliche trotz eines entsprechenden Hinweises von BRYTER auf der Durchführung einer Weisung, stellt der Verantwortliche BRYTER von sämtlichen Schäden, Kosten und Aufwendungen frei, die BRYTER aus der Ausführung dieser Weisung entstehen. BRYTER wird den Verantwortlichen über geltend gemachte Ansprüche Dritter unverzüglich informieren und keine solchen Ansprüche ohne vorherige Zustimmung des Verantwortlichen anerkennen. Die Verteidigung gegen solche Ansprüche erfolgt nach Wahl von BRYTER in Abstimmung mit dem Verantwortlichen oder durch den Verantwortlichen selbst.

5.3           BRYTER unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der BRYTER zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten gemäß Art. 33 und 34 DSGVO durch geeignete technische und organisatorische Maßnahmen.

5.4 Soweit die Unterstützung nach diesem Abschnitt einen über die vertraglich geschuldeten Umfang hinausgehenden Aufwand erfordert und dieser nicht auf einen Verstoß von BRYTER gegen datenschutzrechtliche Pflichten zurückzuführen ist, trägt der Verantwortliche die BRYTER hierdurch entstehenden angemessenen Kosten.

6.              Wahrung von Berufsgeheimnissen und berufsrechtlicher Verschwiegenheit

6.1           Dieser Abschnitt gilt ergänzend, soweit der Verantwortliche berufsrechtlichen Verschwiegenheitspflichten unterliegt, insbesondere als Rechtsanwalt oder Angehöriger eines rechts- oder steuerberatenden Berufs gemäß §§ 43a, 43e BRAO sowie § 203 StGB. deutschen Strafgesetzbuches (StGB) unterliegt.

6.2            Im Rahmen des Rahmenvertrags sowie der jeweils geltenden Order Form und dieses AVV kann BRYTER Zugriff auf oder Kenntnis von Daten erlangen, die berufsrechtlich geschützte Geheimnisse im Sinne der vorgenannten Vorschriften darstellen („Berufsgeheimnisse“). Der Verantwortliche bleibt dafür verantwortlich zu beurteilen, ob und in welchem Umfang die von ihm übermittelten Daten Berufsgeheimnisse darstellen. Unbeschadet dessen behandelt BRYTER sämtliche im Auftrag verarbeiteten Daten vorsorglich als potenziell berufsgeheimnisgeschützt, sofern nicht eindeutig etwas anderes feststeht.

6.3            BRYTER verpflichtet sich, Berufsgeheimnisse streng vertraulich zu behandeln und diese ausschließlich in dem Umfang zur Kenntnis zu nehmen oder technisch zugänglich zu machen, der zur ordnungsgemäßen Erfüllung der vertraglichen Pflichten zwingend erforderlich ist. Als „Kenntnisnahme“ gilt dabei auch jede technische oder organisatorische Zugriffsmöglichkeit, unabhängig davon, ob eine tatsächliche inhaltliche Einsichtnahme durch natürliche Personen erfolgt.t.

6.4            BRYTER stellt sicher, dass sämtliche Personen, die bei BRYTER mit der Verarbeitung von Berufsgeheimnissen befasst sind, wirksam zur Verschwiegenheit verpflichtet wurden und über die sich aus diesem AVV sowie aus den einschlägigen berufs- und strafrechtlichen Vorschriften ergebenden Pflichten informiert sind.

6.5            BRYTER ist berechtigt, zur Erfüllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen, soweit dies erforderlich ist. BRYTER stellt sicher, dass sämtliche Unterauftragsverarbeiter sowie die mit der Verarbeitung von Berufsgeheimnissen befassten Personen vorab in Textform zur Wahrung der berufsrechtlichen Verschwiegenheit entsprechend diesem Abschnitt verpflichtet werden und dass diese Verpflichtung auch für etwaige weitere Unterauftragsverhältnisse fortwirkt. BRYTER stellt zudem sicher, dass die betroffenen Personen über die sich aus den einschlägigen berufs- und strafrechtlichen Vorschriften, insbesondere § 203 StGB, ergebenden Pflichten und strafrechtlichen Konsequenzen informiert sind.

6.6            Die Verpflichtungen nach diesem Abschnitt bestehen zeitlich unbegrenzt fort, auch über die Beendigung des Rahmenvertrags und dieses AVV hinaus.en.

6.7            Soweit der Verantwortliche Berufsgeheimnisträger im Sinne von § 53a StPO ist, können die im Rahmen dieses AVV verarbeiteten Berufsgeheimnisse dem Zeugnisverweigerungsrecht nach § 53a StPO sowie dem Beschlagnahmeschutz, insbesondere nach § 97 Abs. 2 StPO, unterliegen. BRYTER wird im Fall einer behördlichen Vernehmung oder Maßnahme, die auf die Herausgabe solcher Informationen gerichtet ist, soweit rechtlich zulässig widersprechen und den Verantwortlichen unverzüglich informieren, damit dieser über das weitere Vorgehen entscheiden kann.t.

7.              Unterauftragsverarbeiter

7.1            BRYTER nimmt derzeit die in Anlage 1 genannten externen Unterauftragsverarbeiter in Anspruch. Der Verantwortliche erteilt hiermit explizit seine Zustimmung zur Beauftragung der in der Anlage 1 aufgeführten externen Unterauftragsverarbeiter.

7.2           BRYTER ist zudem grundsätzlich berechtigt, weitere Unterauftragsverarbeiter in Anspruch zu nehmen oder bestehende Unterauftragsverarbeiter zu ersetzen. BRYTER wird den Verantwortlichen zuvor in Textform über die beabsichtigte Änderung informieren. Die Mitteilung erfolgt an die vom Verantwortlichen für Mitteilungen im Zusammenhang mit diesem AVV benannte E-Mail-Adresse.

7.3           Gegen derartige Änderungen kann der Verantwortliche innerhalb von fünfzehn (15) Werktagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund Widerspruch erheben. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Zustimmung zur beabsichtigten Änderung als erteilt. Erhebt der Verantwortliche Widerspruch und kann zwischen den Parteien keine einvernehmliche Lösung erzielt werden, ist BRYTER berechtigt, nach eigener Wahl (i) die betroffenen Leistungen ohne Einsatz des betreffenden Unterauftragsverarbeiters zu erbringen oder (ii) den Rahmenvertrag und diesen AVV mit Wirkung zum Zeitpunkt des geplanten Einsatzes des Unterauftragsverarbeiters zu kündigen.

7.4          Nimmt BRYTER die Dienste eines Unterauftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, stellt BRYTER sicher, dass dem Unterauftragsverarbeiter im Wege eines schriftlich abzuschließenden Vertrags im Wesentlichen dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem Vertrag festgelegt sind. Der Vertrag kann auch elektronisch abgeschlossen werden und muss insbesondere hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

7.5           Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet BRYTER gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

7.6           BRYTER setzt für den Betrieb der BRYTER-Dienste sowie für die Verarbeitung personenbezogener Daten im Rahmen dieses AVV insbesondere Amazon Web Services (AWS) und Microsoft Azure als Unterauftragsverarbeiter ein. Diese Unterauftragsverarbeiter sind für die technische und organisatorische Bereitstellung der BRYTER-Dienste wesentlich und nicht ohne Weiteres austauschbar. BRYTER hat mit Amazon Web Services (AWS) sowie mit Microsoft Azure jeweils eine den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechende Vereinbarung zur Auftragsverarbeitung abgeschlossen. Die jeweiligen Vereinbarungen werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

7.7            Die Regelungen der Ziffer 7.3 finden auf den Einsatz von Amazon Web Services (AWS), Microsoft Azure sowie auf deren jeweilige Nachfolge- oder Ersatzanbieter entsprechende Anwendung, mit der Maßgabe, dass BRYTER im Falle eines aus wichtigem datenschutzrechtlichem Grund erhobenen Widerspruchs des Verantwortlichen nicht verpflichtet ist, die betroffenen Leistungen ohne Einsatz dieser Unterauftragsverarbeiter oder unter Nutzung einer alternativen Infrastruktur zu erbringen. Kann in einem solchen Fall zwischen den Parteien keine einvernehmliche Lösung erzielt werden, ist BRYTER berechtigt, den Rahmenvertrag und dieses AVV aus wichtigem Grund mit Wirkung zum Zeitpunkt des geplanten Einsatzes des jeweiligen Unterauftragsverarbeiters zu kündigen.

8.              Übertragung personenbezogener Daten in Drittländer

Die Verarbeitung personenbezogener Daten und Berufsgeheimnisse erfolgt in der Regel in Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR). BRYTER ist berechtigt, personenbezogene Daten auch außerhalb der Europäischen Union bzw. des EWR verarbeiten zu lassen oder durch Unterauftragsverarbeiter verarbeiten zu lassen, sofern und soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind oder ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Insbesondere stellt BRYTER sicher, dass bei einer Übermittlung personenbezogener Daten in Drittländer geeignete Garantien im Sinne von Art. 46 DSGVO bestehen, etwa durch den Abschluss von Standarddatenschutzklauseln der Europäischen Kommission, oder dass ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt. Soweit personenbezogene Daten im Rahmen der Beauftragung von Unterauftragsverarbeitern in Drittländern verarbeitet werden, stellt BRYTER sicher, dass diese Unterauftragsverarbeiter vertraglich zur Einhaltung eines der DSGVO entsprechenden Datenschutzniveaus verpflichtet sind.

9.           Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

9.1          BRYTER ergreift unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten.

9.2         Die von BRYTER implementierten technischen und organisatorischen Maßnahmen sind in Anlage 2 zu diesem AVV näher beschrieben und werden vor Beginn der Verarbeitung eingerichtet sowie für die Dauer des Rahmenvertrags aufrechterhalten.

9.3         Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. BRYTER ist berechtigt und verpflichtet, diese während der Laufzeit des Rahmenvertrags an den Stand der Technik anzupassen, sofern hierdurch das in Anlage 2 beschriebene Sicherheitsniveau nicht unterschritten wird.

9.4         Änderungen der technischen und organisatorischen Maßnahmen, die sich wesentlich auf das vereinbarte Sicherheitsniveau auswirken, wird BRYTER dem Verantwortlichen in geeigneter Weise zur Kenntnis bringen; dies kann auch in elektronischer Form erfolgen.

9.5 Der Kunde ist dafür verantwortlich, die Eignung der von BRYTER getroffenen technischen und organisatorischen Maßnahmen im Hinblick auf die konkreten Umstände der Verarbeitung zu beurteilen.

10.            Löschung und Rückgabe personenbezogener Daten nach Beendigung des Rahmenvertrags

10.1           Nach Beendigung des Rahmenvertrags verarbeitet BRYTER personenbezogene Daten ausschließlich, soweit und solange dies zur Abwicklung des Vertragsverhältnisses oder zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist.

10.2         Nach Wahl des Verantwortlichen wird BRYTER nach Beendigung des Rahmenvertrags sämtliche im Auftrag verarbeiteten personenbezogenen Daten entweder datenschutzkonform löschen oder an den Verantwortlichen zurückgeben und vorhandene Kopien löschen, sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht. Gesetzliche Aufbewahrungspflichten nach dem Recht der Europäischen Union oder eines Mitgliedstaates bleiben unberührt.

10.3 Abweichend von Ziffer 10.2 ist BRYTER berechtigt, Sicherungskopien personenbezogener Daten für einen Zeitraum von bis zu 30 Tagen nach Beendigung des Rahmenvertrags aufzubewahren, sofern eine sofortige Löschung aus diesen Sicherungskopien aus technischen Gründen nicht möglich ist. Für diesen Zeitraum gelten die Regelungen dieses AVV uneingeschränkt fort.

11.            Haftung

Die zwischen den Parteien im Rahmenvertrag vereinbarten Haftungsregelungen finden auf die Verarbeitung personenbezogener Daten nach diesem AVV entsprechende Anwendung, soweit zwingende datenschutzrechtliche Vorschriften dem nicht entgegenstehen

12.            Schlussbestimmungen

12.1          Werden die vom Verantwortlichen an BRYTER übermittelten personenbezogenen Daten während der Verarbeitung Gegenstand von Pfändungen, Beschlagnahmen, Insolvenz- oder Vergleichsverfahren oder sonstigen Maßnahmen Dritter, informiert BRYTER den Verantwortlichen hierüber unverzüglich, soweit dem keine gesetzliche Verpflichtung entgegensteht. BRYTER wird in einem solchen Fall die beteiligten Stellen unverzüglich darauf hinweisen, dass die Verfügungsbefugnis über die betroffenen Daten ausschließlich beim Verantwortlichen liegt, dass diese Daten dessen Verantwortungsbereich zuzuordnen sind und dass der Verantwortliche im datenschutzrechtlichen Sinne Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist.

12.2         Soweit und solange berufsrechtliche Verschwiegenheitspflichten des Verantwortlichen – insbesondere nach §§ 43a, 43e BRAO sowie § 203 StGB – betroffen sind, gelten die Regelungen dieses AVV entsprechend auch für Berufsgeheimnisse und sonstige vertrauliche Informationen im Sinne von Abschnitt 6 dieses AVV.

12.3         Soweit Bestimmungen dieses AVV im Widerspruch zu Regelungen des Rahmenvertrags stehen, gehen die Regelungen dieses AVV den Regelungen des Rahmenvertrags vor.

12.4 Im Übrigen gelten die Schlussbestimmungen des Rahmenvertrags entsprechend auch für diesen AVV.

12.5 Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame oder undurchführbare Bestimmung durch eine solche wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Anlage 1

Liste der Unterauftragsverarbeiter

Die nachfolgend aufgeführten Unterauftragsverarbeiter werden von BRYTER zur Erbringung der BRYTER-Dienste eingesetzt. Der Einsatz erfolgt ausschließlich im Rahmen der Weisungen des Verantwortlichen und gemäß den Regelungen dieses AVV.

UnterauftragsverarbeiterErbrachter ServiceUnternehmensstandortServerstandortArt der verarbeiteten Daten
Amazon Web Services (AWS) EMEA SARLCloud-Infrastruktur (Hosting, Betrieb und Speicherung der BRYTER-Dienste)8 Avenue John F. Kennedy, L-1855 LuxemburgRechenzentrumsregionen innerhalb der Europäischen Union (insbesondere Frankfurt am Main)Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden
UAB ConvertAPIAPI-basierte Konvertierungs- und VerarbeitungsdiensteLauksargio g. 111, LT-10105 Vilnius, LitauenFrankfurt am Main (Deutschland)Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden
DeepL SEÜbersetzungsdienst (optional, Nutzung ausschließlich auf Veranlassung des Verantwortlichen)Maarweg 165, 50825 Köln, DeutschlandDeutschland und SchwedenPersonenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden
DataDog Inc.Monitoring- und Überwachungsdienst (System- und Nutzungsmetriken)620 8th Avenue, 45. Stock, New York, NY 10019-1741, USAFrankfurt am Main (Deutschland)Technische Nutzungs- und Metadaten (insbesondere IP-Adressen)
Microsoft AzureCloud-Infrastruktur (Hosting, Betrieb und Speicherung der BRYTER-Dienste)Takeda Ireland Ltd (Grange Castle), New Nangor Road, Grange, Dublin 22, IrelandRechenzentrumsregionen innerhalb der Europäischen UnionPersonenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden
TavilyAPI-basierte Zusatz- und Analysedienste33 W 60th St, New York, NY 10023, USAUSAPersonenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden

Anlage 2

Technische und organisatorische Maßnahmen

BRYTER trifft geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die im Auftrag verarbeiteten personenbezogenen Daten sicherzustellen.

Die Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und werden regelmäßig überprüft und fortentwickelt.

1. Zutritts- und physische Zugangskontrolle

Zur Verhinderung des unbefugten physischen Zugangs zu Verarbeitungsanlagen trifft BRYTER insbesondere folgende Maßnahmen:

  • Der Betrieb der BRYTER-Dienste erfolgt ausschließlich in gesicherten Rechenzentren von Cloud-Infrastrukturanbietern, die physische Sicherheitsmaßnahmen wie Zugangskontrollen, Überwachungssysteme und Zutrittsprotokollierungen einsetzen.
  • Der physische Zugang zu den von BRYTER genutzten Büroräumen ist auf berechtigte Personen beschränkt.
  • Unbefugten wird der Zutritt zu Bereichen, in denen personenbezogene Daten verarbeitet werden können, verwehrt.

2. Zugriffskontrolle (Benutzerzugriff)

Zur Verhinderung der Nutzung von Verarbeitungssystemen durch Unbefugte setzt BRYTER insbesondere folgende Maßnahmen um:

  • Einsatz eines zentralen Identitäts- und Berechtigungsmanagements zur Steuerung von Benutzerzugängen.
  • Vergabe von Zugriffsrechten nach einem rollenbasierten Berechtigungskonzept.
  • Verwendung geeigneter Authentifizierungsmechanismen, einschließlich zusätzlicher Sicherheitsfaktoren, soweit technisch und organisatorisch angemessen.
  • Sperrung oder Entzug von Benutzerkonten bei Inaktivität oder bei Beendigung des Beschäftigungs- oder Vertragsverhältnisses.

3. Zugangsbeschränkung auf personenbezogene Daten

Zur Sicherstellung, dass berechtigte Personen ausschließlich auf die für sie freigegebenen personenbezogenen Daten zugreifen können, werden insbesondere folgende Maßnahmen umgesetzt:

  • Trennung von System- und Anwendungsrechten sowie Beschränkung des Zugriffs auf personenbezogene Daten nach dem Need-to-know-Prinzip.
  • Einsatz technischer und organisatorischer Maßnahmen zur Verhinderung unbefugter Einsichtnahme, Veränderung oder Löschung personenbezogener Daten.
  • Protokollierung relevanter Zugriffe und Verarbeitungsvorgänge.
  • Verschlüsselung gespeicherter personenbezogener Daten, soweit technisch und organisatorisch angemessen.

4. Trennungskontrolle

Zur getrennten Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, setzt BRYTER insbesondere folgende Maßnahmen ein:

  • Logische Trennung von Mandanten-, Projekt- und Kundendaten.
  • Trennung von Kunden-, Test- und internen Unternehmensdaten.
  • Einsatz getrennter Systeme, Datenbanken oder Anwendungen für unterschiedliche Datenkategorien, soweit erforderlich.

5. Übertragungs- und Weitergabekontrolle

Zur Sicherstellung der Vertraulichkeit personenbezogener Daten bei der Übertragung trifft BRYTER insbesondere folgende Maßnahmen:

  • Absicherung von Datenübertragungen durch geeignete Verschlüsselungstechnologien.
  • Beschränkung externer Verbindungen auf genehmigte, kontrollierte und dokumentierte Schnittstellen.
  • Vermeidung einer unkontrollierten lokalen Speicherung personenbezogener Daten auf Endgeräten.

6. Eingabekontrolle

Zur Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden, werden insbesondere folgende Maßnahmen eingesetzt:

  • Protokollierung relevanter Verarbeitungsvorgänge in den eingesetzten Systemen.
  • Nutzung personalisierter Benutzerkonten zur eindeutigen Zuordnung von Verarbeitungshandlungen.
  • Trennung von Anwendungs- und Systemprotokollen zur Vermeidung unbefugter Manipulationen.

7. Verfügbarkeitskontrolle

Zum Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust trifft BRYTER insbesondere folgende Maßnahmen:

  • Durchführung regelmäßiger Datensicherungen.
  • Vorhaltung von Wiederherstellungsverfahren und Notfallkonzepten.
  • Regelmäßige Überprüfung der Backup- und Wiederanlaufprozesse.
  • Zeitnaher Entzug von Zugriffsrechten bei Beendigung von Beschäftigungs- oder Vertragsverhältnissen.

8. Belastbarkeit und Resilienz der Systeme

Zur Sicherstellung der Belastbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme setzt BRYTER insbesondere folgende Maßnahmen um:

  • Überwachung der Systeme zur frühzeitigen Erkennung von Sicherheitsereignissen.
  • Etablierte Verfahren zum Umgang mit Sicherheitsvorfällen (Incident Response).
  • Einsatz geeigneter Schutzmechanismen auf Infrastruktur- und Anwendungsebene.

9. Auftragskontrolle

Zur Sicherstellung, dass personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeitet werden, werden insbesondere folgende Maßnahmen getroffen:

  • Festlegung und Dokumentation von Weisungsrechten im Rahmenvertrag und in diesem AVV.
  • Vertragliche Verpflichtung von Mitarbeitenden und Unterauftragsverarbeitern auf Vertraulichkeit und Datenschutz.
  • Kontrollierte und dokumentierte Einbindung von Unterauftragsverarbeitern.

10. Datenschutzmanagement

Zur Sicherstellung der Einhaltung datenschutzrechtlicher Verpflichtungen setzt BRYTER insbesondere folgende Maßnahmen um:

  • Betrieb eines Datenschutzmanagementsystems mit definierten Verantwortlichkeiten.
  • Führung von Verzeichnissen von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
  • Regelmäßige Überprüfung und Weiterentwicklung der technischen und organisatorischen Maßnahmen.
  • Schulung und Sensibilisierung von Mitarbeitenden im Bereich Datenschutz und Informationssicherheit.

11. Einsatz von Cloud-Infrastruktur

BRYTER nutzt zur Bereitstellung der BRYTER-Dienste Cloud-Infrastrukturen, insbesondere von Amazon Web Services (AWS) und Microsoft Azure.
Diese Anbieter setzen ihrerseits geeignete technische und organisatorische Maßnahmen ein und verfügen über anerkannte Sicherheitszertifizierungen. BRYTER hat mit diesen Anbietern entsprechende Vereinbarungen zur Auftragsverarbeitung abgeschlossen.

We use cookies to make our site work and also for analytics and advertising purposes
You can enable or disable optional cookies as desired. See our Privacy Policy for more details.

Manage your cookies

Essential cookies are always on. You have the option to turn off other cookie types.

Essential cookies
These cookies are essential so that you can use the website and use its functions. They cannot be turned off. They’re set in response to requests made by you, such as setting your privacy preferences, logging in, or filling in forms.
Advertising cookies
These cookies provide advertising companies with information about your online activity to help them deliver more relevant online advertising to you or to limit how many times you see an ad. This information may be shared with other advertising companies.
Marketing cookies
These account-based marketing cookies enable us to identify future prospects and personalize sales and marketing interactions with them.
Performance cookies
These cookies are used to enhance the performance and functionality of our Websites but are non-essential to their use.
Analytics cookies
These cookies collect information to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website for you.

Book a personalized demo