Free Trial
Book a demo

Auftragsverarbeitungsvertrag

zwischen

dem Kunden, wie in der zugrundeliegenden Order Form definiert, (nachfolgend “Verantwortlicher“) und

der BRYTER GmbH, Biebergasse 2, 60313 Frankfurt am Main, Deutschland (nachfolgend “Auftragsverarbeiter”)

(zusammen auch als “Parteien” und einzeln auch als “Partei” bezeichnet).

1. Begriffsbestimmungen

Die in diesem Zusatz zur Datenverarbeitung („DPA“) verwendeten Begriffe haben die in den Definitionen (Anhang 1) und im Rahmenvertrag festgelegte Bedeutung.

2. Allgemeine Bestimmungen

2.1 Sofern nicht anders angegeben (z. B. durch den Kontext einer Referenz oder durch ausdrückliche Angabe), bezieht sich „DSGVO“ sowohl auf die EU-Datenschutz-Grundverordnung als auch auf die britische Datenschutz-Grundverordnung.

2.3. Der Verantwortliche ist der Verantwortliche gemäß Artikel 4 7 DSGVO. Der Auftragsverarbeiter ist der Auftragsverarbeiter gemäß Artikel 4 Nr. 8 DSGVO. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen für die Bereitstellung der BRYTER-Software und/oder der professionellen Dienstleistungen im Sinne des Rahmen-Servicevertrags, der Definitionen (Anhang 1) und der geltenden Bestellung und/oder Leistungsbeschreibung (zusammenfassend als „MSA“ bezeichnet) gemäß Art. 4 Nr. 2 und Art. 28 DSGVO ausschließlich auf der Grundlage dieser DPA.

2.4 Der Gegenstand der Verarbeitung ist im MSA

2.5 Die Dauer der Verarbeitung richtet sich nach den Anweisungen des Verantwortlichen und den Bestimmungen des MSA einschließlich der DPA.

3. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Daten

3.1 Der Umfang und die Dauer sowie die detaillierten Bestimmungen zu Art und Zweck der Verarbeitung richten sich nach dem MSA einschließlich der DPA. Die Verarbeitung umfasst insbesondere die folgenden personenbezogenen Daten:

Art personenbezogener Daten Betroffene  VerarbeitungszweckVerarbeitungsdauer 
IP-Addresse Autorisierte NutzerEndnutzer, wenn eine Anmeldung erforderlich ist Funktionalität und Sicherheit 90 Tage nach der letzten Anmeldung
Vorname Autorisierte Nutzer Endnutzer, wenn eine Anmeldung erforderlich ist Funktionalität und SicherheitBis zur Beendigung des MSA 
Nachname Autorisierte Nutzer Endnutzer, wenn eine Anmeldung erforderlich istFunktionalität und SicherheitBis zur Beendigung des MSA
E-Mail AddresseAutorisierte Nutzer Endnutzer, wenn eine Anmeldung erforderlich istFunktionalität und SicherheitBis zur Beendigung des MSA
PasswortAutorisierte Nutzer Endnutzer, wenn eine Anmeldung erforderlich istFunktionalität und SicherheitBis zur Beendigung des MSA

3.2 Zusätzlich kann die Software des Bearbeiters vom Verantwortlichen verwendet werden, um personenbezogene Daten zu verarbeiten, die vom Verantwortlichen bestimmt oder freiwillig vom Endnutzer und/oder Autorisierten bereitgestellt wurden Benutzer. Der Bearbeiter hat keinen Einfluss auf den Umfang der Verarbeitung solcher zusätzlichen personenbezogenen Daten. Die Art der personenbezogenen Daten, die zusätzlich zu den oben in 3.1 genannten Daten mit der Software des Bearbeiters verarbeitet werden, liegt allein in der Verantwortung des Verantwortlichen für die Feststellung ihrer Rechtmäßigkeit und Zweck gemäß der DSGVO. Dies schränkt nicht die Verpflichtungen des Bearbeiters ein, geeignete technische und organisatorische Maßnahmen umzusetzen und alle personenbezogenen Daten ausschließlich auf dokumentierte Anweisungen des Verantwortlichen gemäß der DSGVO zu verarbeiten.

4. Umfang und Verantwortung

Der Bearbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen. Diese Verarbeitung umfasst die im MSA festgelegten Maßnahmen. Im Rahmen des MSA ist der Verantwortliche allein verantwortlich für die Einhaltung der gesetzlichen Anforderungen bezüglich der Rechtsmäßigkeit der Bearbeitung, insbesondere hinsichtlich der Übertragung personenbezogener Daten an den Bearbeiter (als “Verantwortlicher” gemäß Artikel 4 Nr. 7 der DSGVO).

5. Rechte und Pflichten des Verantwortlichen

5.1 Es liegt in der alleinigen Verantwortung des Verantwortlichen, die Rechtmäßigkeit der Verarbeitung zu bewerten. Dazu gehört die Sicherstellung, dass jede Verarbeitung besonderer personenbezogener Datenkategorien gemäß Artikel 9 DSGVO rechtmäßig ist und auf einer anwendbaren Ausnahme nach Artikel 9(2) beruht und dass geeignete Schutzmaßnahmen umgesetzt werden. Sofern nicht anders im MSA festgelegt, schließt dies auch die Behandlung von Anträgen auf die Rechte von Datenpersonen ein. Der Prozessor muss jede derartige, eindeutig an den Controller gerichtete Anfrage umgehend weiterleiten.

5.2 Der Controller stimmt zu, dass die MSA einschließlich der DPA sowie die Nutzung der Software durch den Controller vollständige dokumentierte Anweisungen an den Prozessor zur Verarbeitung personenbezogener Daten sind. Der Verantwortliche kann zusätzliche Anweisungen erteilen, wenn es Datenschutzbestimmungen erfordern.

5.3 Alle vom Controller gegebenen Anweisungen müssen schriftlich oder in einer dokumentierten elektronischen Form erfolgen. Mündliche Anweisungen werden umgehend schriftlich oder in einer dokumentierten elektronischen Form bestätigt. Änderungen des Gegenstands der Bearbeitung oder der Verfahren werden zwischen Verantwortlichem und Bearbeiter koordiniert und schriftlich oder in einer dokumentierten elektronischen Form festgelegt.

5.4 Der Bearbeiter stellt sicher, dass der Verantwortliche oder eine vom Verantwortlichen beauftragte qualifizierte Dritte, die zur Wahrung der Vertraulichkeit verpflichtet ist, die Einhaltung der in den geltenden Datenschutzgesetzen und -vorschriften festgelegten Pflichten des Bearbeiters und dieses DPA sowie die Umsetzung und Angemessenheit der technischen und organisatorischen Maßnahmen des Bearbeiters vor und während der Bearbeitung überprüfen kann, indem er alle notwendigen Informationen bereitstellt und zu Audits (einschließlich vor Ort) beiträgt Inspektionen).

5.5 Prüfungen und Inspektionen dürfen, soweit möglich, den Prozessor nicht in seinem normalen Geschäftsbetrieb behindern und keine unzumutbare Belastung für den Prozessor darstellen. Insbesondere dürfen Inspektionen an den Räumlichkeiten des Bearbeiters nicht mehr als einmal pro Kalenderjahr und nur während der regulären Geschäftszeiten des Bearbeiters ohne triftigen Grund stattfinden. Die Parteien einigen sich auf Inspektionstermine auf dem Gelände des Bearbeiters. Termine werden umgehend auf Wunsch des Controllers und während der regulären Geschäfts- und Betriebszeiten vereinbart, wobei die geschäftlichen Interessen des Bearbeiters berücksichtigt werden. Der Prozessor ist berechtigt, Prüfer abzulehnen, die Konkurrenten von BRYTER sind, nicht ausreichend qualifiziert sind, eine solche Prüfung durchzuführen, oder nicht unabhängig sind. Der Controller bestätigt, dass der Großteil der Verarbeitung über Cloud Computing auf dem Gelände von Amazon AWS und Microsoft Azure erfolgt (siehe Anhang 1). Daher ist jede Inspektion direkt am oder vor Ort des Bearbeiters von begrenztem Nutzen. Auf Anfrage des Verantwortlichen wird der Bearbeiter Inspektionen von Amazon AWS, Microsoft Azure oder anderen Unterbearbeitern gemäß den jeweiligen DPAs einleiten, die mit diesen Unterbearbeitern abgeschlossen wurden und wie durch die geltenden Datenschutzgesetze und -vorschriften vorgeschrieben.

5.6 Der Kontrolleur informiert den Bearbeiter umgehend, wenn während der Prüfung Fehler oder Unregelmäßigkeiten festgestellt werden.

5.7 Der Controller zahlt für alle Kosten des Processors Aufgrund einer Vor-Ort-Inspektion nach Abschnitt vernünftigerweise verursacht 4 oder 2.5 .

5.8 Der Verantwortliche informiert den Bearbeiter ausreichend detailliert und ohne unnötige Verzögerung über jeglichen vom Verantwortlichen festgestellten Mangel oder Unregelmäßigkeiten in der Bereitstellung der Software durch den Bearbeiter bezüglich Datenschutz.

6. Die Verpflichtungen des Bearbeiters

6.1 Der Bearbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen des MSA und dieses DPA und nach dokumentierten Anweisungen des Verantwortlichen, sofern dies nicht gesetzlich vorgeschrieben ist, dem der Bearbeiter unterliegt. In einem solchen Fall informiert der Bearbeiter den Verantwortlichen vor der Bearbeitung über diese gesetzliche Anforderung, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.

6.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Betreuer den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Rechte der betroffenen Personen gemäß Art. 12 bis 22 DSGVO durch den Verantwortlichen.

6.3 Unter Berücksichtigung der Art der Verarbeitung und der dem Bearbeiter zur Verfügung stehenden Informationen unterstützt der Bearbeiter den Verantwortlichen bei seinen Verpflichtungen gemäß Art. 32 DSGVO sowie in seiner Verpflichtung, gegebenenfalls eine Datenschutz-Folgenabschätzung und vorherige Konsultation durchzuführen (Art. 35, 36 DSGVO). Der Prozessor muss die erforderlichen Informationen umgehend an den Controller weiterleiten.

6.4 Der Bearbeiter stellt sicher, dass jede Person, die berechtigt ist, personenbezogene Daten des Verantwortlichen zu verarbeiten, an angemessene vertragliche oder gesetzliche Vertraulichkeitspflichten gebunden ist, informiert sie über alle relevanten Datenschutzverpflichtungen gemäß diesem DPA und ergreift Maßnahmen, um sicherzustellen, dass sie diese nur auf Anweisung des Verantwortlichen bearbeiten, außer wenn sie gemäß dem Recht der Europäischen Union oder eines Mitgliedstaates oder des Vereinigten Königreichs zur Bearbeitung verpflichtet sind.

6.5 Wenn der Controller Funktionen auf Basis großer Sprachmodelle als Teil der BRYTER-Software verwendet, übernimmt der Prozessor keine Verantwortung für die Genauigkeit, Zuverlässigkeit oder rechtliche Gültigkeit eines erzeugten Outputs. Diese Ausgabe (“KI-Ausgabe”) wird automatisch basierend auf den Eingaben des Controllers generiert, und der Controller bleibt allein verantwortlich für die Prüfung, Validierung und Nutzung dieses Outputs in Übereinstimmung mit den geltenden Gesetzen. Der Bearbeiter verarbeitet KI-Ausgaben im Namen des Verantwortlichen nicht, es sei denn, sie enthalten personenbezogene Daten im Sinne der DSGVO.

7. Benachrichtigungspflichten des Bearbeiters

7.1 Der Bearbeiter informiert den Verantwortlichen umgehend, wenn eine Anweisung seiner Meinung nach gegen die DSGVO oder andere Datenschutzbestimmungen der Europäischen Union, eines Mitgliedstaats oder Großbritanniens verstößt. Der Prozessor ist berechtigt, die Ausführung einer solchen Anweisung auszusetzen, bis der Controller sie schriftlich bestätigt. Wenn der Verantwortliche trotz der vom Bearbeiter geäußerten Vorbehalte auf der Ausführung einer Anweisung besteht, entschädigt er den Bearbeiter für alle Schäden und Kosten, die dem Bearbeiter bei der Ausführung der Anweisung entstehen. Der Prozessor wird den Verantwortlichen über die gegen ihn erhobenen Schäden und Kosten informieren und keine Ansprüche von Dritten ohne Zustimmung des Verantwortlichen anerkennen und die Verteidigung nach Ermessen des Verantwortlichen in angemessener Zusammenarbeit mit dem Verantwortlichen führen oder sie dem Verantwortlichen überlassen.

7.2 Unter Berücksichtigung der Art der Bearbeitung und der dem Bearbeiter zur Verfügung stehenden Informationen unterstützt der Bearbeiter den Verantwortlichen hinsichtlich der Pflichten des Verantwortlichen gemäß Art. 33 und 34 DSGVO.

7.3 Der Verantwortliche übernimmt alle nicht unerheblichen Kosten, die durch die Nutzung der Verpflichtung des Bearbeiters zur Unterstützung des Verantwortlichen gemäß Abschnitt 7.2 entstehen, sofern die Verpflichtung nicht durch einen Verstoß gegen das Datenschutzgesetz durch den Bearbeiter entsteht.

8. Die Verpflichtung des Bearbeiters, die berufliche Geheimhaltung zu wahren, ist verpflichtet

8.1 Dieser Abschnitt gilt nur, wenn der Controller dem Abschnitt 203 des deutschen Strafgesetzbuches (StGB) unterliegt.

8.2 Nach dem MSA und diesem DPA kann der Prozessor professionelle Geheimnisse verarbeiten. Der Verantwortliche ist dafür verantwortlich zu prüfen, ob dem Bearbeiter übermittelte Daten als berufliches Geheimnis gelten und den Bearbeiter entsprechend zu benachrichtigen. Der Bearbeiter behandelt jedoch alle Daten als potenziell beruflichen Geheimhaltungspflichten, sofern nicht eindeutig anders festgelegt ist.

8.3 Der Prozessor verpflichtet sich, berufliche Geheimnisse nur in dem Umfang zu erhalten, der für die Erfüllung der im MSA festgelegten Verpflichtungen, einschließlich dieses DPA, unbedingt notwendig ist. Für die Zwecke dieser Klausel umfasst das “Erlangen von Wissen” auch jeglichen technischen oder organisatorischen Zugang zu Berufsgeheimnissen, unabhängig davon, ob tatsächlich eine menschliche Überprüfung stattfindet.

8.4 Der Bearbeiter verpflichtet sich, die Vertraulichkeit bezüglich beruflicher Geheimnisse zu wahren, professionelle Geheimnisse streng vertraulich zu halten und angemessene Maßnahmen zu ergreifen, um professionelle Geheimnisse vor unbefugtem Zugriff durch Dritte zu schützen.

8.5 Der Prozessor darf berufliche Geheimnisse an Subprozessoren offenlegen, soweit dies zur Erfüllung der im MSA festgelegten Verpflichtungen einschließlich des DPA erforderlich ist, vorausgesetzt, (i) jedem Subprozessor ist vertraglich schriftlich (digital ausreichend) untersagt, berufliche Geheimnisse an unbefugte Dritte preiszugeben, und (ii) der Subprozessor seine Unterprozessoren entsprechend verpflichtet.

8.6 Der Bearbeiter stellt sicher, dass alle Mitarbeiter und andere für den Bearbeiter tätigen Personen, die an der Bearbeitung von Berufsgeheimnissen beteiligt sind, sich schriftlich (digital ausreichend) verpflichtet haben, keine beruflichen Geheimnisse, von denen sie im Verlauf oder anlässlich ihrer Arbeit erfahren haben, nicht an unbefugte Dritte weiterzugeben.

8.7 Der Bearbeiter erkennt an, dass in Fällen, in denen der Verantwortliche Abschnitt 203 StGB unterliegt, jede unbefugte Weitergabe von Berufsgeheimnissen eine Straftat nach den Abschnitten 203 und 204 StGB darstellen kann. Der Bearbeiter informiert seine Mitarbeiter, Vertreter und Unterabwickler, die an der Verarbeitung von Berufsgeheimnissen beteiligt sind, über die strafrechtliche Haftung, die sich aus unbefugtem Zugriff auf oder Offenlegung solcher Informationen ergibt.

9. Subprozessoren

9.1 Mit der Unterzeichnung dieses DPA autorisiert der Controller die Nutzung der in Anhang 1 aufgeführten Unterprozessoren durch den Prozessor. Je nach im Vertrag festgelegten Dienstleistungen verwendet der Bearbeiter unterschiedliche Unterprozessoren.

9.2 Der Controller autorisiert hiermit in der Regel die Nutzung von Subprozessoren durch den Prozessor. Der Prozessor informiert den Controller vor der Nutzung zusätzlicher Subprozessoren oder deren Ersatz zu jedem Zeitpunkt während der Laufzeit des MSA schriftlich darüber, sofern er sich für eine Mailingliste anmeldet über: subprocessors@bryter.io, über die solche Mitteilungen per E-Mail zugestellt werden.

9.3 Der Verantwortliche ist berechtigt, innerhalb von 15 Werktagen gegen jede vom Bearbeiter gemeldete Änderung aus wesentlichen Gründen zu widersprechen. Wenn der Controller innerhalb dieser Frist keine Einwände gegen eine solche Änderung erhebt, gilt er als autorisiert für diese Änderung. Falls ein wesentlich wichtiger Grund für den Einspruch des Verantwortlichen vorliegt und die Parteien diese Angelegenheit nicht einvernehmlich beilegen können, ist der Prozessor berechtigt, nach eigenem Ermessen die Dienstleistungen gemäß der MSA ohne die Nutzung des jeweiligen Subprozessors zu erbringen oder die MSA zum Zeitpunkt der geplanten Nutzung des jeweiligen Subprozessors zu beenden.

9.4 Der Prozessor stellt vertraglich sicher, dass die in diesem DPA vereinbarten Verpflichtungen des Prozessors auch für alle genehmigten Unterprozessoren gelten.

9.5 Der Prozessor bleibt gegenüber dem Verantwortlichen für die Verpflichtungen seiner Unterprozessoren haftbar.

9.6 Der Controller stimmt der Ausführung dieses DPA zur Nutzung von Amazon Web Services (AWS), EMEA SARL (“AWS“) UND Microsoft Azure als Subprozessor zu. In der Beziehung zwischen Processor und AWS gilt das AWS DSGVO Data Processing Addendum. In der Beziehung zwischen Processor und Microsoft Azure gilt das Datenschutz-Addendum Microsoft Products and Services. Sowohl das AWS GDPR Data Processing Addendum als auch das Data Protection Addendum von Microsoft Products and Services werden dem Verantwortlichen auf ausdrückliche Anfrage des Verantwortlichen per Prozessor eingereicht.

9.7 Der Controller erkennt an, dass die Nutzung von AWS (oder einem Ersatz-Sub-Prozessor) und Microsoft Azure (oder einem Ersatz-Sub-Prozessor) für die Leistung des vom Prozessor erbrachten Dienstes entscheidend ist. Sollte der Verantwortliche seine Zustimmung zur Nutzung von AWS (oder einem Ersatz-Subprozessor) und/oder Microsoft Azure (oder einem Ersatz-Subprozessor) als Sub-Prozessoren zurückziehen, ist der Prozessor berechtigt, das MSA und dieses DPA sowie alle anderen möglichen Vereinbarungen zwischen den Parteien unverzüglich zu kündigen. Im Falle einer solchen Kündigung ist der Bearbeiter berechtigt, die vollen Gebühren zu verlangen, die vom Controller gemäß dem MSA oder einer anderen Vereinbarung beendet werden, für die zwischen den Parteien vereinbarte volle Laufzeit zu verlangen.

10. Übertragung personenbezogener Daten in Drittländer

Personenbezogene Daten werden in der Regel in den Mitgliedstaaten der Europäischen Union in einem anderen Staat verarbeitet, der Vertragspartei des Abkommens über das Europäische Wirtschaftsraum ist (“EWR“) oder im Vereinigten Königreich. Vorbehaltlich der Einhaltung der Bestimmungen dieses DPA ist es dem Bearbeiter auch gestattet, personenbezogene Daten außerhalb des EWR und des Vereinigten Königreichs zu verarbeiten oder sie von Unterbearbeitern gemäß Abschnitt bearbeiten zu lassen6 dieser DPA, wenn die Bedingungen der Artikel 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme gemäß Art. 49 DSGVO besteht.

11. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

11.1 Unter Berücksichtigung des Stand der Technik, der Implementierungskosten und – soweit dem Bearbeiter bekannt ist – der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen muss der Bearbeiter geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Sicherheitsniveau für die personenbezogenen Daten zu gewährleisten.

11.2 Vor Beginn der Bearbeitung muss der Bearbeiter die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, die in Anhang 2 aufgeführt sind, umsetzen und diese für die Dauer des MSA aufrechterhalten.

11.3 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Prozessor berechtigt und verpflichtet, alternative, angemessene Maßnahmen umzusetzen, um nicht unter das Sicherheitsniveau der in Anhang 2 festgelegten Maßnahmen zu fallen. Wenn der Prozessor wesentliche Änderungen an den in Anhang 2 festgelegten Maßnahmen vornimmt, wird er den Controller im Voraus über diese Änderungen informieren.

11.4 Der Verantwortliche ist dafür verantwortlich, die technischen und organisatorischen Maßnahmen des Bearbeiters zu überprüfen, insbesondere ob diese auch im Hinblick auf die Umstände der Verarbeitung ausreichen.

12. Verpflichtungen des Bearbeiters nach Beendigung des MSA

12.1 Nach Beendigung des MSA löscht der Bearbeiter auf Wunsch des Verantwortlichen gemäß Datenschutzbestimmungen oder gibt bestehende Kopien aller personenbezogenen Daten, Dokumente und der Verarbeitung oder Nutzung im Zusammenhang mit dem Besitz der Verarbeitung zurück und löscht – es sei denn, die Gesetze der Europäischen Union, eines Mitgliedstaates oder des Vereinigten Königreichs verlangen die Speicherung der personenbezogenen Daten.

12.2 Der Bearbeiter ist jedoch berechtigt, Sicherungskopien solcher personenbezogenen Daten oder Informationen für einen Zeitraum von 30 Tagen aufzubewahren, sofern die Löschung der Daten des Verantwortlichen aus solchen Sicherungskopien im Sinne von Art. 32 DSGVO technisch nicht möglich ist. Ungeachtet Abschnitt5.gelten die Rechte und Pflichten der Parteien gemäß diesem DPA in Bezug auf die Sicherungskopien weiterhin für diesen Zeitraum.

13. Haftung

Alle im MSA festgelegten Bestimmungen zur Haftung der Parteien gelten auch für die Bearbeitung gemäß diesem DPA, sofern nicht ausdrücklich anders vereinbart.

14. Schlussbestimmungen

14.1 Wenn personenbezogene Daten der Durchsuchung und Beschlagnahmung, einer Pfändungsanordnung, der Beschlagnahmung während eines Insolvenz- oder Insolvenzverfahrens oder ähnlichen Ereignissen oder Maßnahmen durch Dritte während der Kontrolle des Bearbeiters unterliegen, soll der Bearbeiter den Verantwortlichen ohne unzumutbare Verzögerung über diese Maßnahme informieren. Der Bearbeiter soll ohne unzumutbare Verzögerung allen relevanten Parteien in dieser Maßnahme mitteilen, dass alle dadurch betroffenen Daten ausschließlich im Eigentum und Zuständigkeitsbereich des Verantwortlichen liegen, dass die Daten ausschließlich dem Verantwortlichen zur Verfügung stehen und dass der Verantwortliche im Sinne der DSGVO die verantwortliche Instanz ist.

14.2 Abschnitt 16 (Allgemeine Bestimmungen) des MSA gilt entsprechend für dieses DPA.

14.3 Widerspricht dieses DPA anderen zwischen den Parteien geschlossenen Vereinbarungen, haben die Bestimmungen dieses DPA Vorrang. Sind einzelne Vorschriften dieses DPA ungültig oder nicht durchsetzbar, bleibt die Gültigkeit und Durchsetzbarkeit der anderen Vorschriften dieses DPA unbeeinträchtigt. 

Anhang 1

Liste der Subprozessoren

Unterauftragsver arbeiterErbrachte DienstleistungUnternehmenssta ndortStandort desServersArt derverarbeiteten Daten
Amazon Web Services (AWS) EMEA SARLCloud-Server8 Avenue John F. Kennedy, L-1855 LuxemburgFrankfurt am Main(Deutschland)Siehe oben Abschnitt 3
UAB Convert-APIDateikonvertierungspr ozessorLauksargio g. 111, LT-10105        Vilnius, LitauenFrankfurt am Main(Deutschland)Siehe oben Abschnitt 3
DeepL SEÜbersetzungstool (Add-on)Maarweg 165,50825 Köln, DeutschlandDeutschland und SchwedenSiehe oben Abschnitt 3
DataDog Inc.Überwachungstool6208thAvenue,45thF loor, New York, NY 10019-1741, USAFrankfurt am Main(Deutschland)IP-Adresse
Microsoft AzureCloud-ServerTakeda Ireland Ltd (Grange Castle), New Nangor Road, Grange, Dublin 22, IrlandCentral-Gavle (Schweden) Schiphol (Niederlande)Siehe oben Abschnitt 3
TavilyWeb Search Processor33 W 60th St, New York, NY 10023, USAUSASiehe oben Abschnitt 3

Der Umfang und die Dauer sowie die detaillierten Bestimmungen zu Art und Zweck der Verarbeitung richten sich nach dem MSA einschließlich der DPA. Die Verarbeitung umfasst insbesondere die folgenden personenbezogenen Daten:

Anhang 2

Technische und organisatorische Maßnahmen 

Nutzung von AWS und Microsoft Azure

Für Datensicherheitsmaßnahmen in Bezug auf die Server, auf denen sich die BRYTER-Software befindet, verweisen wir auf die technischen und organisatorischen Maßnahmen von AWS und/oder Microsoft Azure.

Amazon Web Services EMEA Sarl, 8 Avenue John F. Kennedy, L-1855 Luxemburg

Microsoft Azure, Takeda Ireland Ltd (Grange Castle), New Nangor Road, Grange, Dublin 22, Irland

Alle personenbezogenen Daten werden in europäischen Rechenzentren unseres Unterauftragsverarbeiters Amazon Web Services (AWS) und/oder Microsoft Azure gespeichert und verarbeitet.

BRYTER hat mit AWS einen Zusatz zur Datenverarbeitung abgeschlossen, nämlich den „AWS GDPR DATA PROCESSING ADDENDUM”. BRYTER hat mit Microsoft Azure einen Zusatzvertrag zur Datenverarbeitung abgeschlossen, nämlich den „Microsoft Products and Services Data Protection Addendum”. Beide Vereinbarungen sind integraler Bestandteil dieser technischen und organisatorischen Maßnahmen. AWS ist nach ISO 27001, 27017 und 27018 zertifiziert. Microsoft Azure ist nach ISO 27001, ISO 27002 und ISO 27018 zertifiziert.

ISO 27018 ist ein Verhaltenskodex zum Schutz personenbezogener Daten in der Cloud. Er basiert auf der Norm ISO 27002 zur Informationssicherheit (die „Norm“) und dient als Leitfaden für die Umsetzung von ISO 27002-Kontrollen, die für personenbezogene Daten gelten, die eine Person in der öffentlichen Cloud eindeutig identifizieren. Der Standard enthält zusätzliche Kontrollen und Richtlinien für die Schutzanforderungen von personenbezogenen Daten, die von den aktuellen Kontrollen der ISO 27002 nicht berücksichtigt werden. Durch die Einhaltung dieses Standards verfügen sowohl AWS als auch Microsoft Azure über ein System von Kontrollmechanismen, die speziell auf den Schutz privater Daten ausgerichtet sind. Durch die Einhaltung dieses international anerkannten Leitfadens und dessen unabhängige Überprüfung demonstrieren sowohl AWS als auch Microsoft Azure ihr Engagement für den Schutz der Privatsphäre ihrer Kunden. Weitere Informationen zu unseren Unterauftragsverarbeitern und deren Zertifizierungen

finden       hier       hier:     https://aws.amazon.com/compliance/gdpr-center/ und https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Pro-tection-Addendum-DPA

1. Physische Zugriffskontrolle

Der Prozessor verwendet keine lokalen Server, sondern Cloud Computing, derzeit AWS und Microsoft Azure, um die Software bereitzustellen und auszuführen und die in die Software eingegebenen Daten zu verarbeiten. Zu diesem Zweck wird Folgendes angegeben, um die physische Zugangskontrolle sicherzustellen:

  • Zu den Datensicherheitsmaßnahmen hinsichtlich des physischen Standorts der Server, auf denen sich die BRYTER-Software befindet, verweisen wir auf die oben genannten technischen und organisatorischen Maßnahmen von AWS und/oder Microsoft Azure.
  • Elektronische Datenspeicher werden nach ihrer Verwendung sicher gelöscht.

Der Zugang zum Bürogebäude durch die Öffentlichkeit wird durch Türen verhindert, die über ein Öffnungssystem mit Schlüssel oder einem gleichwertigen Gerät verfügen, wobei diese Bereiche geschlossen bleiben, wenn kein Zugriff auf die in der Ablage enthaltenen Dokumente erforderlich ist.

2. Benutzerzugriffskontrolle für Datenverarbeitungssysteme

Um zu verhindern, dass Unbefugte Datenverarbeitungssysteme nutzen.

  • Arbeitsplatzcomputer sind wie folgt gesichert:
    • Benutzeranmeldung nur über ein zentral gesteuertes Identitätsmanagementsystem.
    • Arbeitsplatzcomputer werden nach einer bestimmten Leerlaufzeit automatisch
    • Zum Entsperren der Computer ist ein persönlicher Zugangscode
  • Passwortrichtlinie:
    • Für den administrativen Zugriff (Mindestanforderungen an Passwortlänge und -komplexität, Zwei-Faktor-Authentifizierung).
    • Für den Mitarbeiterzugriff (Mindestanforderungen an Passwortlänge und -komplexität, Zwei-Faktor-Authentifizierung).
    • Für den Kundenzugang (Mindestanforderungen an Passwortlänge und -komplexität).

3. Zugriffskontrolle auf personenbezogene Daten in Datenverarbeitungssystemen.

Sicherstellen, dass die zur Nutzung eines Datenverarbeitungssystems berechtigten Personen nur auf die Daten zugreifen können, für die sie autorisiert sind, und dass Daten, insbesondere personenbezogene Daten, bei ihrer Verarbeitung oder Nutzung sowie nach ihrer Speicherung nicht unbefugt eingesehen, kopiert, verändert oder gelöscht werden können.

  • Zentrale Rechteverwaltung, getrennt für Systemzugriff und
  • Kontrollen, um zu verhindern, dass Benutzer ihre eigenen Rechte ändern.
  • Kontrollen, um zu verhindern, dass Benutzer ohne die Genehmigung der zuständigen Person gemäß dem festgelegten Genehmigungsprozess eine Änderung beantragen.
  • Externer Zugriff beschränkt auf VPN- oder SSH-gesicherte
  • Daten werden zur Speicherung verschlüsselt.

4. Trennkontrolle

Um sicherzustellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.

  • Trennung von:
    • Mitarbeiterdaten
    • Kundenkontaktdaten
    • Kundentestdaten (Projektarbeit, Kundenentwicklungen)
    • Kundendaten im BRYTER-Rechenzentrum
  • Systemebene:
    • Kundendaten im Rechenzentrum werden streng getrennt und in separaten Systemen (Datenbanken usw.) von BRYTER-Daten (einschließlich des CRM-Systems) verwaltet.
  • Unterschiedliche Anwendungen:
    • Kundendaten und Mitarbeiterdaten werden mit separaten Anwendungen verarbeitet.

5. Maßnahmen zur Pseudonymisierung und Verschlüsselung

Um sicherzustellen, dass die Rückverfolgbarkeit von Daten zu Personen zumindest eingeschränkt ist.

  • Maßnahmen zum eingebauten Datenschutz und zum standardmäßigen Datenschutz, einschließlich entsprechender Schulungen für Produktteams und basierend auf den Grundsätzen der Vermeidung und Begrenzung von Daten.
  • Alle Download-/Upload-Internetverbindungen sind entweder durch SSL/TLS oder SSH
  • Eingabekontrolle

Um sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten, insbesondere personenbezogene Daten, in Datenverarbeitungssysteme eingegeben, geändert oder gelöscht wurden.

  • Umfassende Protokollierung durch alle Systeme, die personenbezogene Daten verarbeiten, sodass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden.
  • Personalisierte Benutzerkonten, die sich auf die spezialisierten Anwendungen
  • Getrennte Systemprotokolle  und  Anwendungsprotokolle,  wodurch  eine  Manipulation  der Anwendungsprotokolle auf Systemebene ausgeschlossen wird.


6. Auftragskontrolle

Um sicherzustellen, dass personenbezogene Daten aus Aufträgen nur gemäß den Vorgaben des Kunden verarbeitet werden können:

  • Regelung der Anweisungen im Rahmen des Hauptdienstleistungs- und
  • Verwaltung von Benutzern und Rechten durch den Kunden auf
  • Übertragung/Eingabe von Daten durch den Kunden, der entscheidet, welche Daten wann übertragen
  • Zugriff auf diese Daten beschränkt auf Rollen mit entsprechenden
  • Automatisierte Verarbeitung der Daten durch zertifizierte Software, die sicherstellt, dass die Daten gemäß dem vertraglich vereinbarten Verfahren verarbeitet werden.
  • Verwendung standardisierter, gesetzlich vorgeschriebener Verträge für die Beziehungen zu Kunden und Dienstleistern.
  • Einbeziehung von Unterauftragsverarbeitern mit entsprechenden Vertraulichkeits-, Datenverarbeitungs- und Systemzugangsvereinbarungen.

7. Übertragungskontrolle

Um sicherzustellen, dass Daten, insbesondere personenbezogene Daten, während der elektronischen Übertragung, des Transports oder der Speicherung auf Speichermedien nicht unbefugt eingesehen, kopiert, verändert oder gelöscht werden können und dass es möglich ist, die vorgesehenen Bestimmungsorte von Daten, insbesondere personenbezogenen Daten, die mit Datenübertragungseinrichtungen übertragen werden, zu überprüfen und festzustellen:

  • Alle Download-/Upload-Internetverbindungen sind entweder durch SSL/TLS oder SSH
  • Keine lokale Speicherung personenbezogener Daten; alle Daten werden zentral in den Systemen von BRYTER
  • Externe Verbindungen sind nur über zugelassene Anwendungen möglich.
  • Externe Verbindungen sind nur über genehmigte Dienste möglich.
  • Alle Fernübertragungsverbindungen werden protokolliert, soweit dies technisch möglich
  • Vorschriften für die Entsorgung von Abfällen mit vertraulichen

8.Verfügbarkeit

Um sicherzustellen, dass Daten, insbesondere personenbezogene Daten, vor zufälliger Zerstörung oder Verlust geschützt sind:

  • Daten werden zur Speicherung verschlüsselt.
  • Alle Zugriffsberechtigungen und Zugriffsrechte einer Person, die das Unternehmen verlässt, werden unverzüglich gesperrt und gegebenenfalls gelöscht.
  • Alle unternehmenseigenen Gegenstände, die personenbezogene Daten enthalten, werden von einer Person, die das Unternehmen verlässt, zurückgefordert.
  • Schriftliche Datenträger werden vor und nach dem Versand so aufbewahrt, dass nur befugte Personen Zugriff darauf haben.
  • Regelmäßige Überprüfung der Datensicherheit/Backup-Systeme

9. Ausfallsicherheit

Sicherstellung, dass Datenverarbeitungssysteme ausreichend widerstandsfähig und robust sind:

  • Bestandsaufnahme der Verarbeitungsaktivitäten mit integrierter Bewertung der Folgen für den Datenschutz und Bewertung der Angemessenheit der technischen und organisatorischen Maßnahmen.
  • Integration von Privacy by Design in das Produktmanagement:

Erweiterte Kontrollen können vom Verfahrensmanager zusammen mit dem Datenschutzbeauftragten zur Bewertung der Folgen für den Datenschutz ausgelöst werden (Verwaltung von Prozessen einschließlich Kontrollen, Koordination, Analyse und Bewertung):

  • Einsatz einer Firewall der nächsten
  • Überwachung zur Früherkennung und zumindest Begrenzung oder sogar Verhinderung von Schäden durch Malware.
  • Für serverbezogene Resilienzmaßnahmen verweisen wir auf die technischen und organisatorischen Maßnahmen von AWS und/oder Microsoft Azure.
  • Incident Response

10. Sicherheitsmanagement

Zur Gewährleistung der Sicherheit während der Verarbeitung:

  • Interne und externe ISO 27001-Audits.
  • Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen mit den Verantwortlichen, einschließlich der Frage, ob sie dem Stand der Technik entsprechen.
  • Regelmäßige

11. Maßnahmen zur Verhinderung von Verkettungen

Um sicherzustellen, dass Daten nur für den Zweck verwendet werden, für den sie erhoben wurden (Grundsatz der Zweckbindung):

  • Verwendung eines Rollenkonzepts zur Einschränkung der Verarbeitungs-, Nutzungs- und Übertragungsrechte.
  • Programmierte Auslassung oder Schließung von Schnittstellen in Verfahren und
  • Regeln zum Verbot von Hintertüren, Qualitätssicherungsaudits zur Überprüfung der Einhaltung in der
  • Funktionale Trennungen auf Basis des
  • Trennung durch Rollenkonzepte mit abgestuften Zugriffsrechten auf Basis von Identitätsmanagement und einem sicheren Authentifizierungsprozess.
  • Regelmäßige

12. Management zum Schutz personenbezogener Daten

Um sicherzustellen, dass die Informationspflichten erfüllt werden:

  • Datenschutzmanagementsystem mit Berichtswegen an die Geschäftsleitung.
  • Aufzeichnungen über Verarbeitungstätigkeiten gemäß 30 DSGVO (sowohl als Verantwortlicher als auch als Auftragsverarbeiter).
  • Datenschutzerklärung auf der BRYTER-
  • Detaillierte Informationen im Datenschutzportal von
  • Dokumentation von Verträgen mit internen Mitarbeitern, Verträgen mit externen Dienstleistern und Dritten, von denen Daten erhoben werden oder an die Daten übermittelt werden.

We use cookies to make our site work and also for analytics and advertising purposes
You can enable or disable optional cookies as desired. See our Privacy Policy for more details.

Manage your cookies

Essential cookies are always on. You have the option to turn off other cookie types.

Essential cookies
These cookies are essential so that you can use the website and use its functions. They cannot be turned off. They’re set in response to requests made by you, such as setting your privacy preferences, logging in, or filling in forms.
Advertising cookies
These cookies provide advertising companies with information about your online activity to help them deliver more relevant online advertising to you or to limit how many times you see an ad. This information may be shared with other advertising companies.
Marketing cookies
These account-based marketing cookies enable us to identify future prospects and personalize sales and marketing interactions with them.
Performance cookies
These cookies are used to enhance the performance and functionality of our Websites but are non-essential to their use.
Analytics cookies
These cookies collect information to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website for you.

Book a personalized demo