Vertrag zur Auftragsverarbeitung (AVV)

Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen im Bereich Mentaltraining zur Wiederherstellung und Steigerung der Leistungsfähigkeit, insbesondere unter Anwendung der propriätären Technik für Mentale Transformation (TMT). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers.

Die gesamte Datenverarbeitung erfolgt ausschließlich auf der Infrastruktur des deutschen Sovereign-Cloud-Anbieters STACKIT (Schwarz IT KG) mit Rechenzentren in Deutschland. Es werden keine US-amerikanischen Cloud-Dienste eingesetzt. Zur Verarbeitung kommen unter anderem eine lokale Whisper-AI-Transkription von Coaching-Sitzungen sowie eine lokale Named Entity Recognition (NER) zur Anonymisierung personenbezogener Daten zum Einsatz.

Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrages über die Erbringung von Mentaltraining-Leistungen (nachfolgend „Hauptvertrag“) und ergänzt diesen.

(1) Gegenstand: Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Erbringung von Mentaltraining-Dienstleistungen gem. dem Hauptvertrag.

(2) Dauer: Dieser AVV gilt für die Dauer des Hauptvertrages. Er endet automatisch mit Beendigung des Hauptvertrages, sofern sich aus den Bestimmungen dieses AVV nichts anderes ergibt (insbesondere § 10 zur Löschung und Rückgabe). Die Pflichten des Auftragnehmers aus diesem AVV, die ihrer Natur nach über das Vertragsende hinaus fortbestehen (insbesondere Vertraulichkeit und Löschpflichten), gelten auch nach Beendigung fort.

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

(2) Weisungen werden in der Regel in Textform erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis der Auftraggeber die Weisung bestätigt oder ändert.

(4) Die Weisungen werden für ihre Geltungsdauer und anschließend noch für die Dauer von drei vollen Kalenderjahren dokumentiert und aufbewahrt.

(1) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung personenbezogener Daten befassten Personen auf die Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO (vgl. § 6 dieses AVV).

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte gem. Kapitel III der DSGVO.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gem. Art. 32 bis 36 DSGVO, insbesondere bei:

• a) der Sicherstellung eines angemessenen Schutzniveaus (Art. 32 DSGVO),
• b) der Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO),
• c) der Benachrichtigung betroffener Personen (Art. 34 DSGVO),
• d) der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
• e) einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

(5) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten mit. Die Mitteilung enthält mindestens:

• a) eine Beschreibung der Art der Verletzung,
• b) die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze,
• c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
• d) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.

(6) Der Auftragnehmer korrigiert, löscht oder sperrt die vertragsgegenständlichen personenbezogenen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrecht umfasst ist.

(1) Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.

(2) Der Auftraggeber erteilt alle Weisungen bezüglich der Datenverarbeitung in Textform und dokumentiert diese.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er bei der Prüfung der Ergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten feststellt.

(4) Der Auftraggeber benennt dem Auftragnehmer einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

(5) Der Auftraggeber stellt sicher, dass er für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) eine wirksame ausdrückliche Einwilligung der betroffenen Personen gem. Art. 9 Abs. 2 lit. a DSGVO einholt.

Der Auftragnehmer hat gem. Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(1) Der Auftragnehmer setzt zum Zeitpunkt des Abschlusses dieses AVV folgenden Unterauftragsverarbeiter ein:

(2) Es werden keine Unterauftragsverarbeiter außerhalb Deutschlands eingesetzt.

(3) Der Auftraggeber erteilt eine allgemeine schriftliche Genehmigung zur Beauftragung weiterer Unterauftragsverarbeiter, beschränkt auf solche mit Sitz und Rechenzentrumsstandorten in Deutschland. Der Auftragnehmer informiert den Auftraggeber mindestens 14 Tage vor der geplanten Änderung in Textform.

(4) Der Auftraggeber hat das Recht, gegen die beabsichtigte Änderung Einspruch zu erheben. Der Einspruch ist innerhalb von 14 Tagen in Textform einzulegen.

(5) Der Auftragnehmer stellt vertraglich sicher, dass die Bestimmungen dieses AVV auch gegenüber Unterauftragsverarbeitern gelten.

(6) Der Auftragnehmer haftet für die Einhaltung der datenschutzrechtlichen Verpflichtungen durch den Unterauftragsverarbeiter wie für eigenes Handeln.

(1) Die Verarbeitung personenbezogener Daten findet ausschließlich in der Bundesrepublik Deutschland statt.

(2) Eine Übermittlung in Drittländer findet nicht statt und ist ohne vorherige ausdrückliche schriftliche Zustimmung des Auftraggebers und Vorliegen der Voraussetzungen gem. Art. 44 ff. DSGVO untersagt.

(3) Der Auftragnehmer setzt bewusst keine US-amerikanischen Cloud-Dienste ein (insbesondere kein AWS, Google Cloud, Microsoft Azure oder Cloudflare). Das Hosting erfolgt ausschließlich über STACKIT.

(4) Die KI-gestützte Verarbeitung (Whisper-Transkription, NER-Anonymisierung) erfolgt ausschließlich lokal auf der STACKIT-Infrastruktur in Deutschland.

(5) Der Auftragnehmer stellt sicher, dass auch Unterauftragsverarbeiter keine personenbezogenen Daten in Drittländer übermitteln.

(1) Der Auftraggeber hat das Recht, sich regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen und der sonstigen vertraglichen Pflichten des Auftragnehmers zu überzeugen.

(2) Vor-Ort-Inspektionen: Der Auftraggeber ist berechtigt, nach rechtzeitiger Ankündigung (mindestens 14 Tage im Voraus) Kontrollen durchzuführen.

(3) Auskunftsrecht: Der Auftragnehmer stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(4) Nachweise und Zertifizierungen: Anstelle einer Vor-Ort-Inspektion kann der Auftragnehmer den Nachweis auch durch Vorlage geeigneter Prüfberichte oder Zertifikate erbringen.

(5) Der Auftragnehmer verpflichtet sich, bei behördlichen Kontrollen mitzuwirken und den Auftraggeber unverzüglich über behördliche Anfragen oder Maßnahmen zu informieren.

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche personenbezogenen Daten unwiderruflich und datenschutzkonform, sofern nicht eine gesetzliche Aufbewahrungspflicht der Löschung entgegensteht.

(2) Vor der Löschung kann der Auftraggeber eine Datenrückgabe in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.

(3) Die Löschung ist spätestens innerhalb von 30 Tagen abzuschließen. Der Auftragnehmer bestätigt die vollständige Löschung in Textform.

(4) Soweit gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen, sperrt der Auftragnehmer die betreffenden Daten für die Dauer der Aufbewahrungsfrist und löscht sie unverzüglich nach deren Ablauf.

(5) Bereits anonymisierte Daten in der Vektordatenbank (RAG) sind nicht von der Löschpflicht umfasst, da sie keinen Personenbezug mehr aufweisen.

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO.

(2) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die durch eine nicht ordnungsgemäße Verarbeitung entstehen, nach Maßgabe der gesetzlichen Bestimmungen.

(3) Gegenüber dem Auftraggeber haftet der Auftragnehmer nur für vorsätzliches oder grob fahrlässiges Fehlverhalten, soweit nicht zwingende gesetzliche Regelungen dem entgegenstehen.

(4) Ein Auftragsverarbeiter ist gem. Art. 82 Abs. 3 DSGVO von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

(5) Im Falle gemeinsamer Verantwortung gilt der Innenausgleich nach Art. 82 Abs. 2 DSGVO.

(1) Dieser AVV tritt mit Unterzeichnung durch beide Parteien in Kraft und gilt für die Dauer des Hauptvertrages.

(2) Eine ordentliche Kündigung dieses AVV unabhängig vom Hauptvertrag ist ausgeschlossen.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn:

• a) der Auftragnehmer seinen Pflichten aus diesem AVV trotz Mahnung nicht nachkommt,
• b) der Auftragnehmer Weisungen des Auftraggebers beharrlich oder in schwerwiegender Weise nicht befolgt,
• c) der Auftragnehmer die vereinbarten technischen und organisatorischen Maßnahmen nicht einhält,
• d) eine zuständige Aufsichtsbehörde einen wesentlichen Verstoß des Auftragnehmers feststellt.

(1) Vorrang des AVV: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.

(2) Anwendbares Recht: Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(3) Gerichtsstand: Es gilt der Gerichtsstand gem. dem Hauptvertrag. Sofern im Hauptvertrag kein Gerichtsstand vereinbart ist, ist ausschließlicher Gerichtsstand Traunstein.

(4) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(5) Änderungen: Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB).

(6) Anlagen:

• Anlage 1: Technische und organisatorische Maßnahmen (§ 6 dieses AVV)
• Anlage 2: Genehmigte Unterauftragsverarbeiter (§ 7 Abs. 1 dieses AVV)