Auftragsdatenverarbeitung Usecaise
Zwischen den Vertragsparteien
– im folgendem Anbieter genannt
– im folgendem Kunde genannt
wird folgende Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DS-GVO geschlossen:
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz. Sie findet Anwendung auf alle
Tätigkeiten, die mit dem Vertrag / der Beauftragung in Zusammenhang stehen und bei denen Beschäftigte des Anbieters oder
durch den Anbieter Beauftragte personenbezogene Daten (»Daten«) des Kunden verarbeiten.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Diese Vereinbarung zum Datenschutz ist als Ergänzung zum bestehenden Liefervertrag, Servicevertrag oder sonstigem
Auftragsverhältnis zu verstehen. Der Auftragsgegenstand, Auftragsdauer sowie der Zweck der Datenverarbeitung werden hier
nicht noch einmal gesondert aufgeführt. Diese Informationen ergeben sich aus dem bestehenden Vertragsverhältnis.
Die Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der Anbieter im Auftrag des Kunden
verarbeitet. Kategorien betroffener Personen können insbesondere sein: Kunden, Interessenten, Mitarbeiter von Kunden und
Interessenten, Geschäftspartner (Kreditoren, Debitoren).
1.1
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person.
1.2
Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener
Daten durch den Anbieter im Auftrag des Kunden.
1.3
Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung,
Herausgabe) des Anbieters mit personenbezogenen Daten gerichtete schriftliche Anordnung des Kunden. Die Weisungen
werden anfänglich durch den Hauptvertrag festgelegt und können vom Kunden danach in schriftlicher Form durch einzelne
Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
§ 2 Anwendungsbereich und Verantwortlichkeit
2.1
Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden. Dies umfasst Tätigkeiten, die im Vertrag, in der
Beauftragung und/oder in der Leistungsbeschreibung konkretisiert sind. Der Kunde ist im Rahmen dieses Vertrages für die
Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenweitergabe an den Anbieter sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher«
im Sinne des Art. 4 Nr. 7 DS-GVO
2.2
Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Kunden danach in schriftlicher Form oder in
einem elektronischen Format (Textform) an die vom Anbieter bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt
oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf
Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
§ 3 Pflichten des Anbieters
3.1
Der Anbieter darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Kunden verarbeiten
außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Anbieter informiert den Kunden
unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Anbieter darf die
Umsetzung der Weisung solange aussetzen, bis sie vom Kunde bestätigt oder abgeändert wurde.
3.2
Der Anbieter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Kunden treffen, die den Anforderungen der Datenschutz- Grundverordnung (Art. 32 DS-GVO) genügen. Der Anbieter hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Kunden sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Die vom Anbieter etablierten Maßnahmen sind in einer Datenschutzerklärung dokumentiert und werden fortlaufend aktualisiert.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Anbieter vorbehalten, wobei jedoch sichergestellt sein muss, dass jegliche Sicherheitsmaßnahmen dem Stand der Technik entsprechen sowie das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.3
Der Anbieter unterstützt den Kunden im verhältnismäßigen Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.
3.4
Der Anbieter gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeitern und andere für den Anbieter tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Anbieter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
3.5
Der Anbieter unterrichtet den Kunden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Kunden bekannt werden. Der Anbieter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Kunden ab.
3.6
Der Anbieter hat, sofern eine gesetzliche Verpflichtung hierzu besteht, einen Datenschutzbeauftragten benannt. Dieser kann vom Kunde über folgende Kontaktdaten erreicht werden:
Markus Olbring, externer Datenschutzbeauftragter
comdatis it-consulting, Deventer Weg 8, 48683 Ahaus
E-Mail: datenschutz@ambifox.de
Telefon: 02561-7569986 bzw. 0173-9799897
3.7
Der Anbieter gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.8
Der Anbieter berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Kunde dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Anbieter die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Kunden oder gibt diese Datenträger an den Kunden zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Kunden zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.
3.9
Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Kunden entweder herauszugeben oder zu löschen. Das Protokoll zur Vernichtung oder Löschung ist dem Verantwortlichen auf Verlangen zur Verfügung zu stellen. Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Kunde.
3.10
Im Falle einer Inanspruchnahme des Kunden durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Anbieter den Kunden bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
3.11
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschafts-raum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Kunden.
§ 4 Pflichten des Kunden
4.1
Der Kunde hat den Anbieter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
4.2
Im Falle einer Inanspruchnahme des Kunden durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 10 entsprechend.
4.3
Der Kunde nennt dem Anbieter den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
4.4
Der Kunde und der Anbieter sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.
4.5
Der Kunde akzeptiert die durch den Anbieter standardisierten Verfahren zur Herausgabe und Löschung von Daten nach Beendigung des Auftrags.
4.6
Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Kunde.
4.7
Erteilt der Kunde Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch
begründeten Kosten vom Kunden zu tragen.
§ 5 Anfragen Betroffener an den Kunden
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Anbieter, wird der Anbieter die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Der Anbieter leitet den Antrag der betroffenen Person unverzüglich an den Kunden weiter. Der Anbieter unterstützt den Kunden im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Anbieter haftet nicht, wenn das Ersuchen der betroffenen Person vom Kunde nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten und Kontrollrechte
6.1
Der Anbieter weist dem Kunden die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
6.2
Der Kunde hat das Recht, im Benehmen mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Diese werden zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Anbieter darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Anbieter stehen, hat der Anbieter gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der Anbieter eine angemessene Vergütung verlangen. Der Aufwand einer Inspektion ist für den Anbieter und Kunde grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Der Anbieter erhält für Inspektionen eine angemessene Vergütung.
6.3
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Kunden eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7 Subunternehmer (weitere Auftragsverarbeiter)
7.1
Der Kunde stimmt zu, dass der Anbieter Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Anbieter den Kunden. Der Kunde kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der vom Anbieter bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Kunden und dem Anbieter ein Sonderkündigungsrecht eingeräumt. Je nach konkretem Auftragsverhältnis können Subunternehmer für den Anbieter tätig werden, zum Zeitpunkt der Unterzeichnung dieser Vereinbarung sind folgende Subunternehmer tätig:
Unternehmen – Tätigkeit (insb. KI-Modelle)
OpenAI
(https://openai.com)
ChatGPT 4.5 Preview
ChatGPT 4o
ChatGPT 40-mini
Anthropic
(https://www.anthropic.com)
Claude 3.5 Haiku Latest
Claude 3.7 Sonnet
Google
(https://www.google.com)
Gemini 1.5 pro
Gemini 2.0 flash
Mistral
(https://mistral.ai)
Mistral Codestral
Mistral Large Latest
Mistral Minstral 8b
Mistral Pixstral Large Latest
Mistral Smal Latest
Perplexity
(https://www.perplexity.ai)
self hosted ambiFOX
(https://ambifox.com)
Deepseek R1 32B
Mistral Small
Mistral Nemo
Llama 3 ChatQA
Cohere
(https://cohere.com)
Command R
Command R+
Search Engine Tools:
DuckDuckGo (https://duckduckgo.com)
Google (https://google.com)
Tavily (https://tavily.com)
Image Generation:
Flux (https://fluxaiimagegenerator.com)
Ideogram (https://ideogram.ai/t/explore)
Voice generation:
ElevenLabs (https://elevenlabs.io)
Gemini AI SDK Voice (https://ai.google.dev)
Hosting:
ambiFOX GmbH
OVH (www.ovhcloud.com)