Auftragsverarbeitungsvertrag (AVV) für Meister AI

Dieser Auftragsverarbeitungsvertrag ("AVV") wird geschlossen zwischen:

Nutzer(im Folgenden der „Verantwortliche“)

und

MeisterLabs GmbHZugspitzstraße 285591 Vaterstetten, Deutschland(im Folgenden der „Auftragsverarbeiter“)

(einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet)

Dieser AVV regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen in Verbindung mit der Bereitstellung des Meister AI-Produkts durchführt.

1. Präambel und Definitionen

1.1. Zweck: Dieser AVV ist ein wesentlicher Bestandteil der Meister AI Beta-Nutzungsbedingungen und stellt sicher, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen in Übereinstimmung mit den anwendbaren Datenschutzgesetzen, insbesondere der EU-Datenschutz-Grundverordnung (EU/2016/679) („DSGVO“), erfolgt.

1.2. Definitionen: In den Meister AI Beta-Nutzungsbedingungen definierte Begriffe haben im vorliegenden AVV dieselbe Bedeutung.

1.2.1. „Datenschutzgesetze“ umfassen die DSGVO sowie alle nationalen Datenschutzgesetze und -bestimmungen, die die in diesem AVV beschriebenen Datenverarbeitungsaktivitäten regeln.

1.2.2. „Personenbezogene Kundendaten“ umfassen alle personenbezogenen Daten, die der Auftragsverarbeiter und alle von ihm eingesetzten Unterauftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen dieses AVV verarbeiten.

1.2.3. Die in diesem AVV verwendeten Begriffe sind im Sinne der DSGVO auszulegen, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

2. Rechte und Pflichten des Verantwortlichen

2.1. Einhaltung der Gesetze: Der Verantwortliche verpflichtet sich, die dem Auftragsverarbeiter offengelegten personenbezogenen Kundendaten in Übereinstimmung mit den einschlägigen und geltenden Datenschutzgesetzen und -vorschriften zu verarbeiten.

2.2. Rechtmäßigkeit der Verarbeitung: Es liegt in der alleinigen Verantwortung des Verantwortlichen, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Kundendaten sicherzustellen, einschließlich der Einholung aller erforderlichen Einwilligungen oder der Festlegung anderer Rechtsgrundlagen für die Verarbeitung, bevor Daten in das Produkt importiert werden.

2.3. Weisungen: Die Weisungen des Verantwortlichen für alle Verarbeitungsschritte, die für die Funktionalitäten des Produkts erforderlich sind, gelten mit Abschluss der Beta-Nutzungsbedingungen und der Nutzung des Produkts als erteilt.

3. Rechte und Pflichten des Auftragsverarbeiters

3.1. Verarbeitung auf Weisung: Der Auftragsverarbeiter verarbeitet Personenbezogene Kundendaten nur gemäß den dokumentierten Weisungen des Verantwortlichen, diesem AVV, den Meister AI Beta-Nutzungsbedingungen und seinen gesetzlichen Pflichten.

3.2. Meldung von Rechtsverstößen: Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne schuldhaftes Zögern, wenn er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen geltende Datenschutzgesetze verstößt.

3.3. Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung personenbezogener Kundendaten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.

3.4. Unterstützung des Verantwortlichen: Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß der DSGVO, einschließlich (1) der Beantwortung von Anfragen betroffener Personen (z. B. Auskunfts-, Berichtigungs-, Löschungs-, Widerspruchs- und Datenübertragbarkeitsrechte); (2) der Gewährleistung der Verarbeitungssicherheit (Art. 32 DSGVO); (3) der Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen (Art. 33, 34 DSGVO); und (4) der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorheriger Konsultationen (Art. 36 DSGVO).

3.5. Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die personenbezogene Kundendaten direkt betrifft, in Übereinstimmung mit den gesetzlichen Anforderungen.

3.6. Datenlöschung/-rückgabe: Nach Beendigung des AVV oder Abschluss der Verarbeitungsdienste löscht oder gibt der Auftragsverarbeiter auf schriftliche Anforderung des Verantwortlichen alle personenbezogenen Kundendaten an den Verantwortlichen zurück, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

4. Unterauftragsverarbeiter

4.1. Generelle Genehmigung: Der Verantwortliche erteilt hiermit dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) zur Verarbeitung personenbezogener Kundendaten im Rahmen dieses AVV einzusetzen.

4.2. Benachrichtigung und Widerspruch: Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über jede Änderung bezüglich der Beauftragung oder des Ersatzes von Unterauftragsverarbeitern zu informieren. Der Verantwortliche kann solchen Änderungen innerhalb von vierzehn (14) Tagen schriftlich unter Anführung vernünftiger, datenschutzbezogener Gründe widersprechen. Sollte ein Widerspruch berechtigt sein und es nicht wirtschaftlich zumutbar sein, die Dienste ohne den beanstandeten Unterauftragsverarbeiter bereitzustellen, kann jede Partei die betroffenen Dienste kündigen.

4.3. Pflichten der Unterauftragsverarbeiter: Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, stellt er durch eine schriftliche Vereinbarung sicher, dass der Unterauftragsverarbeiter an Datenschutzpflichten gebunden ist, die im Wesentlichen den Pflichten entsprechen, die diesem Auftragsverarbeiter unter diesem AVV auferlegt sind. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen haftbar, wenn ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht erfüllt.

5. Internationale Datenübermittlungen

5.1. Einhaltung von Kapitel V der DSGVO: Der Auftragsverarbeiter darf personenbezogene Kundendaten nur dann an Unterauftragsverarbeiter in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR) oder in Ländern, für die die Europäische Kommission keinen Angemessenheitsbeschluss erlassen hat, übermitteln, wenn diese Übermittlungen den Anforderungen von Kapitel V der DSGVO entsprechen.

5.2. Angemessene Garantien: Der Auftragsverarbeiter stellt die Einhaltung dieser Vorgaben durch die Implementierung angemessener Garantien für die Übermittlung sicher, wie etwa Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften (BCRs). Sollte eine Garantie, auf die sich für eine rechtmäßige Übermittlung gestützt wurde, ihre Gültigkeit verlieren oder anderweitig unzureichend sein, kann sie durch eine andere gültige Garantie gemäß Kapitel V der DSGVO ersetzt werden.

6. Technische und Organisatorische Maßnahmen (TOMs)

6.1. Sicherheitsmaßnahmen: Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, um ein dem Risiko der Verarbeitung personenbezogener Kundendaten angemessenes Sicherheitsniveau gemäß Art. 32 DSGVO zu gewährleisten. Diese Maßnahmen dienen dem Schutz der Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Eine Übersicht über die vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Maßnahmen ist in Anhang 2 enthalten. Der Verantwortliche bestätigt, dass die in Anhang 2 dargelegten technischen und organisatorischen Maßnahmen angemessen sind.

6.2. Aktualisierungen der Sicherheitsmaßnahmen: Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen über alle wesentlichen Änderungen an den technischen oder organisatorischen Maßnahmen zu informieren, sofern diese Änderung nicht zu einer verbesserten Gesamtsicherheit der vom Auftragsverarbeiter bereitgestellten Dienste führt. Der Auftragsverarbeiter wird sicherstellen, dass solche Änderungen nicht zu einem geringeren Schutzniveau führen.

7. Audit

7.1. Überprüfung der Einhaltung: Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem AVV festgelegten Pflichten nachzuweisen. Der Auftragsverarbeiter kann die Einhaltung nachweisen, indem er eine angemessene Dokumentation über seine Sicherheitsmaßnahmen und relevante aktuelle Zertifizierungen vorlegt.

7.2. Vor-Ort-Audits: Soweit die Dokumentation die Einhaltung nicht angemessen belegt und der Verantwortliche dokumentierte Beweise für einen begründeten Verdacht auf einen wesentlichen Verstoß vorlegt oder ein Audit ausdrücklich von einer Aufsichtsbehörde gefordert wird, gestattet der Auftragsverarbeiter ein Vor-Ort-Audit durch den Verantwortlichen oder einen zugelassenen unabhängigen Dritten, der vom Verantwortlichen beauftragt und vom Auftragsverarbeiter genehmigt wurde, vorbehaltlich der Einhaltung angemessener, von beiden Parteien vereinbarter Verfahren.

8. Laufzeit und Kündigung

8.1. Laufzeit: Dieser AVV tritt mit Ihrer Annahme der Meister AI Beta-Nutzungsbedingungen in Kraft und bleibt so lange gültig, wie der Auftragsverarbeiter personenbezogene Kundendaten im Auftrag des Verantwortlichen in Verbindung mit der Bereitstellung des Produkts verarbeitet.

8.2. Kündigung: Dieser AVV endet automatisch mit der Beendigung der Meister AI Beta-Nutzungsbedingungen oder früher, wenn die Parteien dies einvernehmlich vereinbaren.

9. Allgemeine Bestimmungen

9.1. Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen davon nicht berührt. Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem wirtschaftlich am nächsten kommt, was die Parteien beabsichtigt haben.

9.2. Anwendbares Recht und Gerichtsstand: Dieser AVV unterliegt deutschem Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem AVV ergeben, ist München, Deutschland.

Wenn der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung zusätzlicher personenbezogener Daten beauftragen möchte, die über die nachstehend genannten personenbezogenen Daten hinausgehen, muss er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird den Antrag prüfen und – wenn möglich – die Änderungen bestätigen.

Datensubjekte

Die verarbeiteten personenbezogenen Daten sind abhängig von den vom Verantwortlichen zur Verfügung gestellten personenbezogenen Daten und können sich auf die folgenden Kategorien von Betroffenen beziehen:

  • Kunden des Verantwortlichen

  • Kunden von Kunden des Verantwortlichen

  • Mitarbeiter des Verantwortlichen

  • Mitarbeiter von Kunden des Verantwortlichen

  • Ansprechpartner von Lieferanten des Verantwortlichen

  • Ansprechpartner von Lieferanten von Kunden des Verantwortlichen

  • Interessenten des Verantwortlichen

  • Interessenten von Kunden des Verantwortlichen

Datenkategorien

Die verarbeiteten Datenkategorien hängen von den vom Verantwortlichen zur Verfügung gestellten personenbezogen Daten ab und können folgende Datenkategorien beinhalten:

  • Personalstammdaten (zB Anrede, Nachname, Vorname, Anschrift, Titel, Beruf)

  • Kommunikationsdaten (Kommunikationsinhalte)

  • Planungs- und Steuerungsdaten

  • Daten aus Drittanbieterquellen, einschließlich, aber nicht beschränkt auf Kalendereinträge und E-Mails.

Besondere Datenkategorien

Nein. Die Verwendung von Daten besonderer Kategorien ist gemäß den geltenden Nutzungsbedingungen untersagt.

Umfang, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten und Datensubjekte

Personenbezogene Kundendaten werden gemäß dieses AVV zum Zweck der Erbringung der Dienstleistungen und zur Erfüllung der Verpflichtungen des Auftragsverarbeiters gemäß geltendem Recht, den Meister AI Beta-Nutzungsbedingungen und dieses AVV verarbeitet.

Die Art der Verarbeitung hängt von der Nutzung des Produkts durch den Verantwortlichen ab und kann je nach Nutzung des Produkts durch den Verantwortlichen die Speicherung, Änderung, Anzeige, Strukturierung, Organisation und Kombination umfassen.

Der Auftragsverarbeiter kann diese technischen und organisatorischen Maßnahmen jederzeit aktualisieren, vorausgesetzt, dass eine solche Aktualisierung die Sicherheit der vom Auftragsverarbeiter erbrachten Leistungen insgesamt nicht vermindert.

Datenschutz / Sicherheitskonzept 

Die Datenschutzrichtlinien des Verantwortlichen und des Auftragsverarbeiters (einschließlich aller einschlägigen Sicherheitsrichtlinien) betreffen die Sicherheit personenbezogener Daten.

Organisatorische Sicherheitsmaßnahmen 

Die interne Organisation ist so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

  • Es gelten Richtlinien und Verfahren, welche regelmäßig geprüft werden.

  • Risiken werden bewertet und dokumentiert.

  • Informationen werden gemäß einer Richtlinie klassifiziert.

  • Es wurde ein Security Manager ernannt.

  • Geeignete Messungen der Leistung und Wirksamkeit des Sicherheitsmanagement werden durchgeführt. 

Sicherheitsmaßnahmen bei Änderung eines Dienstes

Der Änderungsmanagement-Prozess umfasst eine Analyse der Auswirkungen auf den Datenschutz und eine Bewertung der Informationssicherheitsrisiken.

Personenbezogene Daten dürfen für die Prozess- oder Systementwicklung und die damit verbundenen Tests nur dann verwendet werden, wenn sie vor ihrer Verwendung anonymisiert oder anderweitig geschützt wurden.

Sicherheitsmaßnahmen in der Benutzerverwaltung 

Maßnahmen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Passwörter werden mit einem Passwort Manager verwaltet.

  • Es gibt eine Passwortrichtlinie, die durch den Passwort Manager und ein System zur Verwaltung mobiler Geräte verstärkt wird.

  • Die Zwei-Faktor-Authentifizierung wird dort durchgeführt, wo es unsere Richtlinie verlangt.

Sicherheitsmaßnahmen für den logischen Zugriff

Der logische Zugriff auf personenbezogene Daten ist eingeschränkt. Maßnahmen stellen sicher, dass die zur Nutzung der Datenverarbeitungssysteme berechtigten Personen nur auf die Daten zugreifen können, für die sie berechtigt sind.

  • Der Zugriff wird nach dem Need-to-know-Prinzip (Erforderlichkeitsprinzip) gewährt. 

  • Der Zugriff wird auf Antrag gewährt/widerrufen. Der Widerruf kann auch automatisch nach einer bestimmten Zeitspanne oder manuell nach einer Überprüfung erfolgen.

  • Wir verfügen über ein Verfahren zur Beantragung von Genehmigungen, in dem der Benutzer, der Zugang benötigt, das System, die geforderten Genehmigungen, der Antragsteller und der Bevollmächtigte dokumentiert sind. 

  • Im Rahmen des HR-Onboarding- und des HR-Offboarding-Prozesses werden auch Zugriffsrechte gewährt/entzogen.

  • Wir führen regelmäßige Überprüfungen des logischen Zugriffs auf alle unsere Systeme durch, abhängig von der Klassifizierung der Informationen, und dokumentieren diese Überprüfungen. 

Aufteilung der Mandate 

Die Kundendaten sind logisch aufgeteilt und durch Sicherheitsmechanismen voneinander getrennt. Darüber hinaus gibt es Test- und Staging-Systeme, die vollständig vom Produktivsystem getrennt sind.

Sicherheitsmaßnahmen für den physischen Zugang 

Der physische Zugang zu personenbezogenen Daten in jedem Format ist begrenzt.

Personenbezogene Daten in jeglichem Format sind gegen versehentliche Offenlegung aufgrund von Naturkatastrophen und Umweltgefahren geschützt.

Personenbezogene Daten auf tragbaren Medien oder Geräten sind vor unbefugtem Zugriff geschützt. Sicherheitsmaßnahmen für Speichermedien verhindern unbefugtes Lesen, Kopieren, Ändern oder Entfernen von Speichermedien.

MeisterLabs GmbH Büro (München, Deutschland)

  • MeisterLabs GmbH Büro in München, Zugspitzstraße 2, 85591 Vaterstetten.

  • Der Zugang zum Bürogebäude ist durch eine Außentür mit Schloss gesichert.

  • Der Zugang zu den Büroräumen der MeisterLabs GmbH ist zusätzlich mit einem Schloss gesichert und nur mit den entsprechenden Schlüsseln möglich, die nur Mitarbeitern der MeisterLabs GmbH zur Verfügung stehen. Der Vermieter verfügt über keinen Schlüssel zu diesen Räumlichkeiten. Die Schlüssel werden den Mitarbeitern der MeisterLabs GmbH bei Vertragsabschluss ausgehändigt, bei Beendigung des Arbeitsverhältnisses wird der Schlüssel eingezogen. Zudem gibt es eine entsprechende Dokumentation über die im Umlauf befindlichen Schlüssel.

  • Gäste oder Besucher werden im Büro der MeisterLabs GmbH nicht empfangen.

  • Das Firmennetzwerk in den oben genannten Räumlichkeiten der MeisterLabs GmbH in München ist durch eine moderne Firewall geschützt. 

Sicherheitsmaßnahmen für die Speicherung von Daten

Es gibt Maßnahmen, die eine unbefugte Eingabe sowie eine unbefugte Auswertung, Veränderung oder Löschung von gespeicherten personenbezogenen Daten verhindern. Dazu gehört auch der Schutz vor Schadsoftware.

  • Cloud-Speicher

    • Die Daten werden auf Block-Ebene verschlüsselt, siehe “Sicherheitsmaßnahmen für den physischen Zugang”.

    • Der Zugang zu personenbezogenen Daten wird sorgfältig verwaltet, siehe “Sicherheitsmaßnahmen für den logischen Zugang”.

    • Die Computerressourcen in der Cloud werden automatisch auf Schwachstellen überprüft.

    • Ein Host Intrusion Detection System (HIDS) ist vorhanden, um ungewöhnliches Verhalten auf den Rechnern zu erkennen.

    • Tägliche Backups werden 7 Tage lang aufbewahrt, danach werden sie gelöscht.

  • Mitarbeitergeräte

    • Alle Mitarbeitergeräte sind vollständig verschlüsselt. Eine Firewall und ein Virenschutz sind vorhanden. Automatische Bildschirmsperren sind aktiviert. Asset-Management-Prozesse sind implementiert. Alle Geräte sind in einer Mobile Device Management-Lösung registriert, um Richtlinien automatisch durchzusetzen.

    • Gestohlene oder verlorene Geräte können aus der Ferne gesperrt oder gelöscht werden.

    • Nur zugelassene Reparaturgeschäfte dürfen firmeneigene Geräte reparieren. Computer werden nur bei autorisierten Händlern gekauft.

    • Von der Speicherung von Daten auf Wechseldatenträgern wird abgeraten. Es gibt Richtlinien für die Entsorgung.

Sichere Entwicklungen

Es gilt die Secure Development Policy, um sicherzustellen, dass kein unsicherer Code eingeführt wird. Bestehende Codes und Bibliotheken von Drittanbietern werden regelmäßig auf Schwachstellen überprüft.

  • Es gibt Maßnahmen zur Erkennung von unsicherem Code (statische Codeanalyse).

  • Bei der Entwicklung muss unsere Secure Development Policy beachtet werden.

  • Der gesamte Anwendungscode wird einer Peer Review unterzogen.

  • Verwendete Bibliotheken werden automatisch auf bekannte Schwachstellen gescannt.

Sicherheitsmaßnahmen für die Dateneingabe

Es wird sichergestellt, dass überprüft werden kann, welche personenbezogenen Daten von wem und wann in die Datenverarbeitungssysteme eingegeben wurden.

Sicherheitsmaßnahmen bei der Übertragung von Daten 

Es gelten Maßnahmen, die das unbefugte Lesen, Kopieren, Verändern oder Löschen von personenbezogenen Daten während der Übertragung oder des Transports von Speichermedien verhindern.

  • Alle Verbindungen zu unseren Rechenzentren werden während der Übertragung mit modernem TLS verschlüsselt. Die unterstützten Verschlüsselungen werden regelmäßig auf ihre Wertminderung überprüft.

  • Dritte Parteien, die personenbezogene Daten verarbeiten, haben angemessene Sicherheitskontrollen eingerichtet.

  • Unverschlüsselte E-Mail-Anhänge enthalten keine vertraulichen oder sensiblen Informationen.

Verfügbarkeit und Ausfallsicherheit

  • Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Notfall sind vorhanden, werden getestet und regelmäßig aktualisiert.

Sicherheitsmaßnahmen für den Fall von Zwischenfällen

  • Es wurde ein dokumentiertes Verfahren für den Umgang mit Datenschutzvorfällen und -verletzungen eingeführt.

  • Die Mitarbeiter werden regelmäßig darin geschult, wie sie Sicherheitsvorfälle verhindern können, aber auch, wie sie auf solche Vorfälle reagieren können, einschließlich der möglichen Notwendigkeit, Vorfälle den Behörden zu melden und die Benutzer zu informieren.

  • Es wurde eine interne Hotline für Sicherheits- und Datenschutzvorfälle eingerichtet. Die Mitarbeiter werden ermutigt, Vorfälle zu melden.

Bewertungen der Sicherheitsmaßnahmen 

Bewertungen und Tests der Wirksamkeit der wichtigsten organisatorischen, technischen und physischen Schutzmaßnahmen zum Schutz personenbezogener Daten werden gemäß unserer Richtlinien durchgeführt, die unter anderem Folgendes beinhalten:

  • Externe Schwachstellen-Scans und Penetrationstests werden mindestens einmal im Jahr durchgeführt.

  • Externe Infrastrukturprüfungen werden mindestens einmal im Jahr durchgeführt.

  • Externe Code-Prüfungen werden durchgeführt, wenn dies notwendig erscheint.

  • Interne Architektur- und Sicherheitsprüfungen werden mindestens einmal im Jahr durchgeführt.

Die Ergebnisse der Analysen werden dokumentiert.

Mit Abschluss dieses AVV stimmt der Verantwortliche einer Beauftragung der nachstehend angeführten Unterauftragsverarbeiter zu:

MeisterTask | Meister AI DPA