Auftragsverarbeitungsvertrag auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 28 DS-GVO (Durchführungsbeschluss (EU) 2021/915).
Last updated: February 22, 2026
Auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/915)
An English version of this Data Processing Agreement (DPA) is available at wysor.io/dpa. In the event of any conflict between the German and English versions, the English version shall prevail.
| 1. Begriffsbestimmungen | |
| Abschnitt I | Zweck und Anwendungsbereich (Klauseln 1–4) |
| Abschnitt II | Pflichten der Parteien (Klauseln 5–9) |
| Abschnitt III | Prüfungen und Berichte (Klausel 10) |
| Abschnitt IV | Zusammenarbeit (Klausel 11) |
| Abschnitt V | Eingeschränkte Übermittlungen (Klauseln 12–16) |
| Abschnitt VI | Löschung personenbezogener Daten des Auftraggebers (Klauseln 17–18) |
| Abschnitt VII | CCPA-Konformität (Klausel 19) |
| Abschnitt VIII | Ergänzung für Berufsgeheimnisträger gem. §203 StGB (Klauseln 20–24) |
| Abschnitt IX | Verstöße und Kündigung (Klausel 25) |
| Abschnitt X | Haftungsbeschränkung (Klausel 26) |
| Abschnitt XI | Allgemeine Bestimmungen (Klauseln 27–29) |
| Anlage I | Liste der Parteien |
| Anlage II | Beschreibung der Verarbeitung |
| Anlage III | Technische und organisatorische Maßnahmen |
| Anlage IV | Liste der Unterauftragsverarbeiter |
Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen („Vertrag“) zwischen dem Auftraggeber und der Wysor IT Solutions UG (haftungsbeschränkt) („Wysor“, „Auftragnehmer“), gemeinsam die „Parteien“.
Mit der Annahme des Vertrags schließt der Auftraggeber diesen AVV in eigenem Namen und – soweit nach den anwendbaren Datenschutzgesetzen erforderlich – im Namen und im Auftrag seiner autorisierten Nutzer und Endnutzer ab. Für die Zwecke dieses AVV umfasst der Begriff „Auftraggeber“, sofern nicht anders angegeben, den Auftraggeber und alle mit ihm verbundenen Unternehmen.
Die Parteien haben die folgenden Vertragsklauseln („Klauseln“) vereinbart, um die Einhaltung von Artikel 28 Abs. 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) sicherzustellen.
1.1 „Anwendbare Datenschutzgesetze“ bezeichnet alle Gesetze, Vorschriften, Regelungen und sonstigen verbindlichen Anforderungen, die regeln, wie der Dienst personenbezogene Daten einer natürlichen Person verarbeiten oder verwenden darf, einschließlich der DS-GVO, der UK-DS-GVO, des Schweizer DSG und des CCPA, soweit anwendbar.
1.2 „Anwendbare Gesetze“ bezeichnet die Gesetze, Vorschriften, Regelungen, gerichtlichen Anordnungen und sonstigen verbindlichen Anforderungen einer zuständigen Behörde, die für eine Partei gelten.
1.3 „Verantwortlicher“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen für die Stelle festgelegt ist, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet.
1.4 „Personenbezogene Daten des Auftraggebers“ bezeichnet personenbezogene Daten, die der Auftraggeber im Rahmen des Dienstes an den Auftragnehmer übermittelt oder bereitstellt und die diesem AVV unterliegen.
1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum (die Mitgliedstaaten der Europäischen Union, Norwegen, Island und Liechtenstein).
1.6 „EU-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679.
1.7 „DS-GVO“ bezeichnet die Verordnung (EU) 2016/679 in der durch das jeweilige nationale Recht des betreffenden EWR-Mitgliedstaats umgesetzten Fassung.
1.8 „Personenbezogene Daten“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen für personenbezogene Informationen, personenbezogene Daten oder einen ähnlichen Begriff festgelegt ist.
1.9 „Verarbeitung“ oder „Verarbeiten“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen für jeden Vorgang im Zusammenhang mit personenbezogenen Daten festgelegt ist, einschließlich automatisierter Verfahren.
1.10 „Auftragsverarbeiter“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen für die Stelle festgelegt ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1.11 „Eingeschränkte Übermittlung“ bezeichnet (a) im Anwendungsbereich der DS-GVO eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt; (b) im Anwendungsbereich der UK-DS-GVO eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein Land, das keinen Angemessenheitsregelungen gemäß Abschnitt 17A des UK Data Protection Act 2018 unterliegt; oder (c) im Anwendungsbereich des Schweizer DSG eine Übermittlung personenbezogener Daten aus der Schweiz in ein Land, das nicht auf der Schweizer Liste angemessener Rechtsordnungen steht.
1.12 „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 der DS-GVO.
1.13 „Dienst“ bezeichnet das Produkt und die Dienstleistungen, die im Vertrag beschrieben sind.
1.14 „Besondere Kategorien personenbezogener Daten“ hat die Bedeutung gemäß Artikel 9 der DS-GVO.
1.15 „Unterauftragsverarbeiter“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen für eine Stelle festgelegt ist, die mit Zustimmung des Verantwortlichen den Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstützt.
1.16 „Schweizer DSG“ bezeichnet das Schweizer Bundesgesetz über den Datenschutz vom 25. September 2020 (revidierte Fassung).
1.17 „UK-Zusatz“ bezeichnet den International Data Transfer Addendum zu den EU-Standardvertragsklauseln, herausgegeben vom UK Information Commissioner gemäß S119A(1) Data Protection Act 2018.
1.18 „UK-DS-GVO“ bezeichnet die Verordnung (EU) 2016/679 in der durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs umgesetzten Fassung.
(a) Diese Klauseln legen die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen fest.
(b) Die Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß den Angaben in Anlage II.
(c) Die Anlagen sind Bestandteil dieser Klauseln.
(d) Diese Klauseln gelten unbeschadet der Pflichten, denen der Verantwortliche aufgrund der DS-GVO unterliegt.
(e) Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Pflichten im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der DS-GVO. Abschnitt 5 (Eingeschränkte Übermittlungen) dieses AVV regelt internationale Übermittlungen gesondert.
(a) Die Parteien verpflichten sich, diese Klauseln nicht zu ändern, außer zur Ergänzung oder Aktualisierung von Informationen in den Anlagen.
(b) Dies hindert die Parteien nicht daran, diese Klauseln in einen umfassenderen Vertrag aufzunehmen oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese den Klauseln weder unmittelbar noch mittelbar widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.
(a) Soweit diese Klauseln Begriffe verwenden, die in der DS-GVO definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der DS-GVO zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der DS-GVO vorgesehenen Rechten und Pflichten widerspricht oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigt.
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen anderer Vereinbarungen zwischen den Parteien gilt die folgende Rangfolge: (1) die EU-Standardvertragsklauseln oder der UK-Zusatz, (2) dieser AVV und sodann (3) der Vertrag.
(a) Auftragnehmer als Auftragsverarbeiter. Soweit der Auftraggeber Verantwortlicher für die personenbezogenen Daten des Auftraggebers ist, handelt der Auftragnehmer als Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.
(b) Auftragnehmer als Unterauftragsverarbeiter. Soweit der Auftraggeber selbst Auftragsverarbeiter der personenbezogenen Daten des Auftraggebers ist, handelt der Auftragnehmer als Unterauftragsverarbeiter der personenbezogenen Daten des Auftraggebers.
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke der Verarbeitung, sind in Anlage II festgelegt.
(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Nachfolgende Weisungen können vom Verantwortlichen auch während der gesamten Dauer der Verarbeitung erteilt werden. Diese Weisungen werden stets dokumentiert.
(b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DS-GVO oder gegen anwendbare datenschutzrechtliche Bestimmungen der Union oder der Mitgliedstaaten verstößt.
(c) Der Auftraggeber weist den Auftragnehmer an, personenbezogene Daten des Auftraggebers zu verarbeiten: (i) zur Bereitstellung und Aufrechterhaltung des Dienstes; (ii) wie durch die Nutzung des Dienstes durch den Auftraggeber näher bestimmt; (iii) wie im Vertrag dokumentiert; und (iv) wie in sonstigen schriftlichen Weisungen des Auftraggebers dokumentiert, die vom Auftragnehmer bestätigt werden. Der Auftragnehmer wird diese Weisungen befolgen, es sei denn, anwendbare Gesetze untersagen dies. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er die Verarbeitungsweisungen nicht befolgen kann.
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich für den/die in Anlage II festgelegten bestimmten Zweck(e) der Verarbeitung, es sei denn, er erhält weitere Weisungen vom Verantwortlichen.
Die Verarbeitung durch den Auftragsverarbeiter erfolgt für die in Anlage II festgelegte Dauer.
(a) Der Auftragsverarbeiter führt mindestens die in Anlage III aufgeführten technischen und organisatorischen Maßnahmen durch, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt („Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den damit verbundenen Risiken für die betroffenen Personen gebührend Rechnung.
(b) Der Auftragsverarbeiter gewährt den Mitgliedern seines Personals Zugang zu den verarbeiteten personenbezogenen Daten nur in dem Maße, wie dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Umfasst die Verarbeitung besondere Kategorien personenbezogener Daten, wendet der Auftragsverarbeiter die in Anlage II beschriebenen spezifischen Einschränkungen und zusätzlichen Garantien an. Standardmäßig verarbeitet der Auftragnehmer keine besonderen Kategorien personenbezogener Daten. Konfiguriert der Verantwortliche KI-Agenten zur Verarbeitung besonderer Kategorien personenbezogener Daten, ist der Verantwortliche dafür verantwortlich, eine geeignete Rechtsgrundlage und angemessene Garantien sicherzustellen und den Auftragnehmer zu benachrichtigen.
(a) Die Parteien können die Einhaltung dieser Klauseln nachweisen.
(b) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und ermöglicht und unterstützt Prüfungen und Inspektionen der von diesen Klauseln erfassten Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anhaltspunkten für die Nichteinhaltung. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
(c) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Prüfungen können auch Inspektionen in den Räumlichkeiten oder den physischen Einrichtungen des Auftragsverarbeiters umfassen und werden, soweit angemessen, mit einer Vorankündigung von mindestens 30 Tagen durchgeführt.
(d) Die Parteien stellen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde(n) auf Anfrage zur Verfügung.
(e) Der Auftragnehmer bewahrt Nachweise über die Einhaltung dieses AVV für 3 Jahre nach Beendigung des AVV auf.
(a) Allgemeine schriftliche Genehmigung. Der Auftragsverarbeiter hat die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus der vereinbarten Liste in Anlage IV. Der Auftragsverarbeiter informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Austausch von Unterauftragsverarbeitern mindestens 30 Tage im Voraus und gibt dem Verantwortlichen damit ausreichend Zeit, gegen solche Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch zu erheben. Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, damit der Verantwortliche sein Widerspruchsrecht ausüben kann. Die aktuelle Liste der Unterauftragsverarbeiter ist verfügbar unter wysor.io/subprocessors.
(b) Der Auftraggeber hat 30 Tage nach Mitteilung einer Änderung der genehmigten Unterauftragsverarbeiter Zeit, Einspruch zu erheben. Erhebt der Auftraggeber innerhalb von 30 Tagen keinen Einspruch, gilt die Änderung als angenommen. Erhebt der Auftraggeber innerhalb von 30 Tagen Einspruch, werden Auftraggeber und Auftragnehmer in gutem Glauben zusammenarbeiten, um den Einspruch oder das Anliegen des Auftraggebers zu klären.
(c) Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen beauftragt, legt er dem Unterauftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auf, die dem Auftragsverarbeiter gemäß diesen Klauseln auferlegt wurden. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter gemäß diesen Klauseln und der DS-GVO unterliegt.
(d) Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und etwaiger nachfolgender Änderungen zur Verfügung. Soweit zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich, kann der Auftragsverarbeiter den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
(e) Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters gemäß dessen Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter unterrichtet den Verantwortlichen über jede Nichterfüllung vertraglicher Pflichten durch den Unterauftragsverarbeiter.
(f) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach im Falle, dass der Auftragsverarbeiter tatsächlich nicht mehr besteht, rechtlich aufgelöst wurde oder insolvent geworden ist, der Verantwortliche das Recht hat, den Unterauftragsverarbeitervertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
(a) Jede Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Erfüllung einer bestimmten Anforderung nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, und im Einklang mit Kapitel V der DS-GVO.
(b) Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter und der Unterauftragsverarbeiter bei Beauftragung eines Unterauftragsverarbeiters gemäß Klausel 7.7 für bestimmte Verarbeitungstätigkeiten, die eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DS-GVO umfassen, die Einhaltung von Kapitel V durch die Verwendung von Standardvertragsklauseln sicherstellen können, die von der Kommission gemäß Artikel 46 Abs. 2 der DS-GVO erlassen wurden, sofern die Voraussetzungen für deren Verwendung erfüllt sind.
(a) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, der Verantwortliche hat ihn dazu ermächtigt.
(b) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen zur Ausübung ihrer Rechte zu reagieren, unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Pflichten gemäß (a) und (b) befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
(c) Zusätzlich zur Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8(b) zu unterstützen, unterstützt der Auftragsverarbeiter den Verantwortlichen darüber hinaus bei der Sicherstellung der Einhaltung der folgenden Pflichten, unter Berücksichtigung der Art der Datenverarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen:
(d) Soweit nach anwendbaren Datenschutzgesetzen erforderlich, unterstützt der Auftragnehmer den Auftraggeber in angemessenem Umfang bei der Durchführung vorgeschriebener Datenschutz-Folgenabschätzungen oder Folgenabschätzungen für Datenübermittlungen („DTIAs“) und bei Konsultationen mit den zuständigen Datenschutzbehörden, unter Berücksichtigung der Art der Verarbeitung und der personenbezogenen Daten des Auftraggebers.
(e) Die Parteien legen in Anlage III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn bei der Einhaltung seiner Pflichten gemäß Artikel 33 und 34 der DS-GVO, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Verantwortlichen verarbeitete Daten betrifft, unterstützt der Auftragsverarbeiter den Verantwortlichen bei:
(a) der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n) unverzüglich, nachdem dem Verantwortlichen die Verletzung bekannt wurde, soweit relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen).
(b) der Einholung der folgenden Informationen, die gemäß Artikel 33 Abs. 3 der DS-GVO in der Meldung des Verantwortlichen anzugeben sind und mindestens Folgendes umfassen:
Sofern und soweit nicht alle Informationen gleichzeitig bereitgestellt werden können, enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie vorliegen, ohne unangemessene Verzögerung nachgereicht.
(c) der Erfüllung der Pflicht gemäß Artikel 34 der DS-GVO, die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Auftragsverarbeiter verarbeitete Daten betrifft, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich und spätestens 72 Stunden, nachdem die Verletzung dem Auftragsverarbeiter bekannt wurde. Diese Benachrichtigung enthält mindestens:
(a) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze);
(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
(c) die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen.
Sofern und soweit nicht alle Informationen gleichzeitig bereitgestellt werden können, enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie vorliegen, ohne unangemessene Verzögerung nachgereicht.
Die Benachrichtigung des Auftragnehmers über eine Verletzung des Schutzes personenbezogener Daten oder seine Reaktion darauf stellt kein Anerkenntnis eines Verschuldens oder einer Haftung des Auftragnehmers für die Verletzung dar.
(a) Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen durch den Auftraggeber, zur Bewertung der Einhaltung dieses AVV durch den Auftragnehmer. Der Auftragnehmer kann jedoch den Zugang zu Daten oder Informationen einschränken, wenn der Zugang des Auftraggebers die geistigen Eigentumsrechte, Vertraulichkeitspflichten oder sonstigen Pflichten des Auftragnehmers nach anwendbaren Gesetzen beeinträchtigen würde.
(b) Der Auftraggeber nimmt zur Kenntnis, dass der Auftragnehmer regelmäßig anhand der in der Sicherheitsrichtlinie definierten Standards durch unabhängige externe Prüfer oder durch interne Sicherheitsüberprüfungen geprüft wird. Auf schriftliche Anfrage stellt der Auftragnehmer dem Auftraggeber vertraulich eine zusammenfassende Kopie seines aktuellen Prüfberichts zur Verfügung, damit der Auftraggeber die Einhaltung der Sicherheitsstandards durch den Auftragnehmer überprüfen kann.
(c) Zusätzlich zu den Prüfberichten wird der Auftragnehmer auf angemessene Anfragen des Auftraggebers reagieren, um die Einhaltung dieses AVV durch den Auftragnehmer zu bestätigen, einschließlich der Beantwortung von Fragebögen zu Informationssicherheit, Sorgfaltspflicht und Prüfungen. Alle derartigen Anfragen sind schriftlich an [email protected] zu richten und dürfen nur einmal pro Jahr gestellt werden.
(a) Wenn der Auftragnehmer eine Anfrage oder ein Ersuchen eines Dritten bezüglich der Verarbeitung personenbezogener Daten des Auftraggebers erhält, wird der Auftragnehmer den Auftraggeber über das Ersuchen unterrichten und ohne vorherige Zustimmung des Auftraggebers nicht darauf antworten, es sei denn, dies ist nach anwendbarem Recht erforderlich. Dies umfasst gerichtliche, verwaltungsrechtliche oder behördliche Anordnungen sowie Anträge von betroffenen Personen.
(b) Soweit nach anwendbarem Recht zulässig, wird der Auftragnehmer den angemessenen Weisungen des Auftraggebers bezüglich dieser Ersuchen folgen, einschließlich der Bereitstellung von Statusaktualisierungen und sonstigen vom Auftraggeber angemessenerweise angeforderten Informationen.
(c) Stellt eine betroffene Person einen berechtigten Antrag nach anwendbaren Datenschutzgesetzen auf Löschung oder Auskunft über personenbezogene Daten des Auftraggebers, unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung des Antrags im Einklang mit dem anwendbaren Datenschutzgesetz.
Der Auftraggeber stimmt zu, dass der Auftragnehmer personenbezogene Daten des Auftraggebers außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermitteln darf, soweit dies für die Bereitstellung des Dienstes erforderlich ist. Übermittelt der Auftragnehmer personenbezogene Daten des Auftraggebers in ein Gebiet, für das die Europäische Kommission, der UK Secretary of State oder der Schweizerische Bundesrat (je nach Anwendbarkeit) keinen Angemessenheitsbeschluss erlassen hat, wird der Auftragnehmer geeignete Garantien für die Übermittlung im Einklang mit den anwendbaren Datenschutzgesetzen umsetzen.
Der Auftraggeber und der Auftragnehmer vereinbaren, dass, wenn die DS-GVO die Übermittlung personenbezogener Daten des Auftraggebers schützt, die Übermittlung vom Auftraggeber innerhalb des EWR an den Auftragnehmer außerhalb des EWR erfolgt und die Übermittlung nicht durch einen Angemessenheitsbeschluss der Europäischen Kommission geregelt ist, die Parteien durch Abschluss dieses AVV als die EU-Standardvertragsklauseln und deren Anhänge unterzeichnet habend gelten, die durch Verweis einbezogen werden. Jede derartige Übermittlung erfolgt gemäß den EU-Standardvertragsklauseln, die wie folgt ausgefüllt werden:
(a) Modul Zwei (Verantwortlicher an Auftragsverarbeiter) der EU-Standardvertragsklauseln findet Anwendung, wenn der Auftraggeber Verantwortlicher ist und der Auftragnehmer personenbezogene Daten des Auftraggebers als Auftragsverarbeiter für den Auftraggeber verarbeitet.
(b) Modul Drei (Auftragsverarbeiter an Unterauftragsverarbeiter) der EU-Standardvertragsklauseln findet Anwendung, wenn der Auftraggeber Auftragsverarbeiter ist und der Auftragnehmer personenbezogene Daten des Auftraggebers als Unterauftragsverarbeiter im Auftrag des Auftraggebers verarbeitet.
(c) Für jedes Modul gilt (soweit anwendbar):
Der Auftraggeber und der Auftragnehmer vereinbaren, dass, wenn die UK-DS-GVO die Übermittlung personenbezogener Daten des Auftraggebers schützt, die Übermittlung vom Auftraggeber innerhalb des Vereinigten Königreichs an den Auftragnehmer außerhalb des Vereinigten Königreichs erfolgt und die Übermittlung nicht durch einen Angemessenheitsbeschluss des United Kingdom Secretary of State geregelt ist, die Parteien durch Abschluss dieses AVV als den UK-Zusatz und dessen Anhänge unterzeichnet habend gelten, die durch Verweis einbezogen werden. Jede derartige Übermittlung erfolgt gemäß dem UK-Zusatz, der wie folgt ausgefüllt wird:
(a) Klausel 13 dieses AVV enthält die in Tabelle 2 des UK-Zusatzes erforderlichen Informationen.
(b) Tabelle 4 des UK-Zusatzes wird wie folgt geändert: Keine Partei darf den UK-Zusatz gemäß Abschnitt 19 des UK-Zusatzes beenden. Soweit der ICO einen überarbeiteten Approved Addendum gemäß Abschnitt 18 des UK-Zusatzes erlässt, werden die Parteien in gutem Glauben zusammenarbeiten, um diesen AVV entsprechend anzupassen.
(c) Die Anlagen zu diesem AVV enthalten die in Annex 1A, Annex 1B, Annex II und Annex III des UK-Zusatzes erforderlichen Informationen.
Für Übermittlungen, bei denen das Schweizer Recht (und nicht das Recht eines EWR-Mitgliedstaats oder des Vereinigten Königreichs) auf den internationalen Charakter der Übermittlung Anwendung findet, werden Verweise auf die DS-GVO in Klausel 4 der EU-Standardvertragsklauseln, soweit rechtlich erforderlich, dahingehend geändert, dass sie auf das Schweizer Bundesgesetz über den Datenschutz (DSG) verweisen, und der Begriff der Aufsichtsbehörde umfasst den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des Datenexporteurs, wie sie gemäß Klausel 13 der EU-Standardvertragsklauseln oder der einschlägigen Bestimmung des UK-Zusatzes bestimmt wird.
Der Auftragnehmer ermöglicht es dem Auftraggeber, personenbezogene Daten des Auftraggebers in einer Weise zu löschen, die mit der Funktionalität des Dienstes vereinbar ist. Der Auftragnehmer wird dieser Weisung so bald wie vernünftigerweise möglich nachkommen, es sei denn, eine weitere Speicherung personenbezogener Daten des Auftraggebers ist nach anwendbarem Recht erforderlich.
(a) Nach Ablauf des AVV wird der Auftragnehmer personenbezogene Daten des Auftraggebers auf Weisung des Auftraggebers zurückgeben oder löschen, es sei denn, eine weitere Speicherung personenbezogener Daten des Auftraggebers ist nach anwendbaren Gesetzen erforderlich oder gestattet. Ist die Rückgabe oder Vernichtung unmöglich oder nach anwendbaren Gesetzen untersagt, unternimmt der Auftragnehmer angemessene Anstrengungen, um eine weitere Verarbeitung personenbezogener Daten des Auftraggebers zu verhindern, und wird die in seinem Besitz, seiner Obhut oder seiner Kontrolle verbleibenden personenbezogenen Daten des Auftraggebers weiterhin schützen.
(b) Haben der Auftraggeber und der Auftragnehmer die EU-Standardvertragsklauseln oder den UK-Zusatz als Teil dieses AVV abgeschlossen, stellt der Auftragnehmer dem Auftraggeber die in Klausel 8.1(d) und Klausel 8.5 der EU-Standardvertragsklauseln beschriebene Bestätigung der Löschung personenbezogener Daten nur auf Anfrage des Auftraggebers aus.
Soweit der California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. („CCPA“) Anwendung findet, erkennen die Parteien an und vereinbaren, dass der Auftragnehmer ein Dienstleister ist und personenbezogene Daten vom Auftraggeber zur Erbringung des Dienstes gemäß dem Vertrag erhält, was einen Geschäftszweck darstellt. Der Auftragnehmer wird keine personenbezogenen Daten, die ihm vom Auftraggeber im Rahmen des Vertrags bereitgestellt werden, verkaufen oder weitergeben (im Sinne des CCPA). Darüber hinaus wird der Auftragnehmer personenbezogene Daten, die ihm vom Auftraggeber im Rahmen des Vertrags bereitgestellt werden, nicht aufbewahren, verwenden oder offenlegen, es sei denn, dies ist für die Erbringung des Dienstes erforderlich, im Vertrag vorgesehen oder nach anwendbaren Datenschutzgesetzen gestattet. Der Auftragnehmer bestätigt, dass er die Beschränkungen dieser Klausel versteht.
Dieser Abschnitt findet Anwendung, wenn der Auftraggeber der beruflichen Verschwiegenheitspflicht gemäß §203 des Strafgesetzbuchs („StGB“) unterliegt, einschließlich, aber nicht beschränkt auf Ärzte, Zahnärzte, Apotheker, Psychotherapeuten, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und deren berufliche Mitarbeiter.
(a) Der Auftragnehmer nimmt zur Kenntnis, dass der Auftraggeber der beruflichen Verschwiegenheitspflicht gemäß §203 StGB unterliegen kann und dass die im Rahmen des Vertrags verarbeiteten Daten Geheimnisse umfassen können, die durch §203 StGB geschützt sind („Geschützte Geheimnisse“). Es obliegt dem Auftraggeber festzustellen, welche Daten unter §203 StGB fallen, und dies dem Auftragnehmer mitzuteilen.
(b) Einwilligungspflicht des Auftraggebers. Soweit der Auftraggeber den Dienst zur Verarbeitung Geschützter Geheimnisse nutzt (z. B. Aufzeichnung und Transkription von Patienten- oder Mandantengesprächen), ist der Auftraggeber allein dafür verantwortlich, die informierte Einwilligung der betroffenen Person (z. B. Patient, Mandant) vor jeder derartigen Verarbeitung einzuholen. Gemäß §203 Abs. 1 StGB ist die Offenbarung eines Geschützten Geheimnisses nur dann rechtswidrig, wenn sie unbefugt erfolgt. Die Einwilligung der betroffenen Person stellt eine solche Befugnis dar und hebt die Verschwiegenheitspflicht für die konkrete Offenbarung gegenüber dem Auftragnehmer und seinen Unterauftragsverarbeitern auf. Der Auftraggeber muss sicherstellen, dass die betroffene Person mindestens darüber informiert wird, dass:
(c) Der Auftraggeber gewährleistet, dass er keine Geschützten Geheimnisse an den Dienst übermittelt, ohne die erforderliche Einwilligung der betroffenen Person eingeholt zu haben. Der Auftragnehmer haftet nicht für Verstöße gegen §203 StGB, die sich aus dem Versäumnis des Auftraggebers ergeben, eine ordnungsgemäße Einwilligung einzuholen.
(d) Der Auftragnehmer verpflichtet sich, alle Geschützten Geheimnisse streng vertraulich zu behandeln und nur insoweit auf diese Daten zuzugreifen, als dies für die Erbringung des Dienstes erforderlich ist.
(e) Der Auftragnehmer nimmt zur Kenntnis, dass Personen, die an der beruflichen Tätigkeit eines Berufsgeheimnisträgers mitwirken und ein ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis unbefugt offenbaren, gemäß §203 Abs. 4 Satz 1 StGB strafbar sind (Freiheitsstrafe bis zu einem Jahr oder Geldstrafe). Ferner nimmt der Auftragnehmer zur Kenntnis, dass eine mitwirkende Person auch gemäß §203 Abs. 4 Satz 2 Nr. 2 StGB strafbar ist, wenn sie weitere mitwirkende Personen einschaltet, die Geheimnisse unbefugt offenbaren, und nicht dafür Sorge getragen hat, dass diese Personen zur Verschwiegenheit verpflichtet wurden.
(a) Der Auftragnehmer stellt sicher, dass alle Beschäftigten und sonstigen Personen, die im Auftrag des Auftragnehmers (einschließlich Unterauftragsverarbeitern) tätig sind und an der Verarbeitung Geschützter Geheimnisse beteiligt sind, vor Aufnahme der Tätigkeit in Textform (im Sinne von §126b BGB) zur Verschwiegenheit verpflichtet und über die mögliche Strafbarkeit gemäß §203 Abs. 4 StGB belehrt wurden. Der Auftragnehmer führt ein Verzeichnis aller so verpflichteten Personen.
(b) Der Auftragnehmer wählt etwaige Unterauftragsverarbeiter sorgfältig aus und verpflichtet diese, soweit sie im Rahmen ihrer Tätigkeit Kenntnis von Geschützten Geheimnissen erlangen können, zur Verschwiegenheit. Der Auftragnehmer verpflichtet seine Unterauftragsverarbeiter ferner, sämtliche Beschäftigte und etwaige weitere Unterauftragnehmer, die mit Geschützten Geheimnissen in Berührung kommen können, in gleichwertiger Weise zur Verschwiegenheit zu verpflichten und über die Folgen eines Verstoßes zu belehren. Diese Pflicht gilt für alle weiteren Ebenen der Unterbeauftragung.
(c) Die Unterauftragsverarbeiter werden auch über das Zeugnisverweigerungsrecht (§53a StPO) und das Beschlagnahmeverbot (§97 StPO) informiert, einschließlich des Hinweises, dass der Auftraggeber (als Berufsgeheimnisträger) über die Ausübung dieser Rechte entscheidet und dass der Auftragnehmer und seine Unterauftragsverarbeiter sich bezüglich der Ausübung dieser Rechte unverzüglich an den Auftraggeber wenden müssen.
(d) Die Verschwiegenheitsverpflichtung besteht zeitlich unbegrenzt über die Beendigung des Vertrags hinaus fort.
(a) Zeugnisverweigerungsrecht (§53a StPO). Der Auftragnehmer wird darauf hingewiesen, dass im Auftrag eines Berufsgeheimnisträgers verarbeitete Daten dem Zeugnisverweigerungsrecht mitwirkender Personen gemäß §53a der Strafprozessordnung („StPO“) unterliegen können. Der Auftraggeber (als Berufsgeheimnisträger) entscheidet über die Ausübung dieses Rechts. Im Falle einer Befragung oder Aufforderung zur Aussage über Geschützte Geheimnisse wird der Auftragnehmer unter Berufung auf §53a StPO widersprechen und den Auftraggeber unverzüglich informieren, der sodann über die Ausübung des Zeugnisverweigerungsrechts entscheidet.
(b) Beschlagnahmeverbot (§97 StPO). Der Auftragnehmer wird darauf hingewiesen, dass Geschützte Geheimnisse in seinem Gewahrsam dem Beschlagnahmeverbot gemäß §97 Abs. 2 StPO unterliegen. Geschützte Geheimnisse dürfen nicht ohne Einwilligung des Auftraggebers (als Berufsgeheimnisträger) herausgegeben werden. Im Falle einer Beschlagnahme oder eines Beschlagnahmeversuchs wird der Auftragnehmer widersprechen und den Auftraggeber unverzüglich informieren.
Zusätzlich zu den in Anlage III dargelegten Maßnahmen setzt der Auftragnehmer die folgenden Maßnahmen zum Schutz Geschützter Geheimnisse um:
(a) Logische Trennung oder gleichwertige technische Isolation von Daten des Auftraggebers, soweit der Auftraggeber §203 StGB unterliegt, um sicherzustellen, dass Geschützte Geheimnisse für unbefugte Personen nicht zugänglich sind.
(b) Der Zugriff auf Geschützte Geheimnisse wird protokolliert und ist prüffähig.
(c) Geschützte Geheimnisse werden im Ruhezustand und bei der Übertragung nach dem Stand der Technik verschlüsselt (siehe Anlage III).
(d) Nach Beendigung des Vertrags werden alle Geschützten Geheimnisse gemäß Klausel 18 dieses AVV gelöscht oder zurückgegeben. Der Auftragnehmer wird auf Anfrage eine schriftliche Bestätigung der Löschung vorlegen.
Die Prüfungs- und Inspektionsrechte des Auftraggebers gemäß Abschnitt III dieses AVV gelten in vollem Umfang für die Verarbeitung Geschützter Geheimnisse. Der Auftragnehmer wird bei jeder Prüfung, die der Auftraggeber oder eine Aufsichtsbehörde hinsichtlich der Einhaltung der Pflichten aus §203 StGB durchführt, kooperieren.
(a) Unbeschadet der Bestimmungen der DS-GVO kann der Verantwortliche den Auftragsverarbeiter im Falle eines Verstoßes gegen seine Pflichten aus diesen Klauseln anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser die Klauseln erfüllt oder der Vertrag gekündigt wird. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er aus welchem Grund auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:
(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche nach Mitteilung, dass seine Weisungen gegen anwendbare rechtliche Anforderungen gemäß Klausel 7.1(b) verstoßen, auf der Einhaltung seiner Weisungen besteht.
(d) Nach Kündigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bestätigt dem Verantwortlichen die Löschung oder gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, es sei denn, das Recht der Union oder der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor. Bis zur Löschung oder Rückgabe der Daten stellt der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln sicher.
(a) Haftungsobergrenzen. Soweit nach anwendbaren Datenschutzgesetzen zulässig, unterliegt die kumulative Gesamthaftung jeder Partei gegenüber der anderen Partei aus oder im Zusammenhang mit diesem AVV den Verzichten, Ausschlüssen und Haftungsbeschränkungen des Vertrags.
(b) Ansprüche verbundener Unternehmen. Ansprüche gegen den Auftragnehmer oder seine verbundenen Unternehmen, die sich aus oder im Zusammenhang mit diesem AVV ergeben, können nur von der Auftraggebereinheit geltend gemacht werden, die Partei des Vertrags ist.
(c) Ausnahmen. Dieser AVV beschränkt keine Haftung gegenüber einer natürlichen Person in Bezug auf deren Datenschutzrechte nach anwendbaren Datenschutzgesetzen. Darüber hinaus beschränkt dieser AVV keine Haftung zwischen den Parteien für Verstöße gegen die EU-Standardvertragsklauseln oder den UK-Zusatz.
Dieser AVV ist Bestandteil des Vertrags und ergänzt diesen. Bei Widersprüchen zwischen diesem AVV, dem Vertrag oder Teilen davon hat der früher aufgeführte Teil Vorrang vor dem später aufgeführten Teil: (1) die EU-Standardvertragsklauseln oder der UK-Zusatz, (2) dieser AVV und sodann (3) der Vertrag.
Dieser AVV tritt in Kraft, wenn der Auftragnehmer und der Auftraggeber den Vertrag annehmen (einschließlich durch elektronische Annahme), und gilt bis zum Ablauf oder zur Kündigung des Vertrags. Jede Partei unterliegt jedoch den Pflichten aus diesem AVV und den anwendbaren Datenschutzgesetzen, bis der Auftraggeber die Übermittlung personenbezogener Daten des Auftraggebers an den Auftragnehmer einstellt und der Auftragnehmer die Verarbeitung personenbezogener Daten des Auftraggebers beendet.
Diese Klauseln unterliegen deutschem Recht. Streitigkeiten aus diesen Klauseln werden vor den Gerichten in Hamburg, Deutschland, beigelegt. Für eingeschränkte Übermittlungen ist das anwendbare Recht für die EU-Standardvertragsklauseln deutsches Recht und das anwendbare Recht für den UK-Zusatz das Recht von England und Wales.
Name, Anschrift, Ansprechperson und für die unter diesen Klauseln übermittelten Daten relevante Tätigkeiten sind im Vertrag festgelegt.
Rolle: Verantwortlicher (oder Auftragsverarbeiter, wenn der Auftraggeber selbst im Auftrag eines Drittverantwortlichen verarbeitet).
| Name | Wysor IT Solutions UG (haftungsbeschränkt) |
| Anschrift | c/o Postflex #9898, Emsdettener Str. 10, 48268 Greven, Germany |
| Kontakt | [email protected] |
| Registergericht | Amtsgericht Hamburg |
| Registernummer | HRB 195891 |
| Tätigkeiten | KI-Agentenplattform zur Bereitstellung von Browser-Automatisierung, Kundenservice, Datenanalyse und weiteren KI-gestützten Diensten im Auftrag des Verantwortlichen |
| Rolle | Auftragsverarbeiter (oder Unterauftragsverarbeiter, wenn der Auftraggeber selbst Auftragsverarbeiter ist) |
| Dienst | Wysor KI-Agentenplattform |
| Kategorien betroffener Personen | Endnutzer, Beschäftigte, Kontakte und Kunden des Auftraggebers, wie durch die Nutzung des Dienstes durch den Auftraggeber bestimmt |
| Kategorien personenbezogener Daten | Durch die Nutzung des Dienstes durch den Auftraggeber bestimmte Daten, die u. a. umfassen können: Namen, Kontaktinformationen (E-Mail, Telefon, Adresse), Nutzeraktivitätsdaten (Geräteinformationen, IP-Adressen, Browser-Metadaten), Seiteninhalte und Interaktionsdaten, Transaktionsdaten sowie alle sonstigen personenbezogenen Daten, die vom Verantwortlichen oder seinen Endnutzern an die Plattform übermittelt werden |
| Besondere Kategorien personenbezogener Daten | Werden standardmäßig nicht verarbeitet. Konfiguriert der Verantwortliche KI-Agenten zur Verarbeitung besonderer Kategorien personenbezogener Daten, ist der Verantwortliche für die Sicherstellung einer geeigneten Rechtsgrundlage und angemessener Garantien verantwortlich |
| Häufigkeit der Übermittlung | Kontinuierlich, für die Dauer des Dienstes |
| Art und Zweck der Verarbeitung | Empfang von Daten (Erhebung, Zugriff, Abruf, Erfassung); Aufbewahrung von Daten (Speicherung, Organisation, Strukturierung); Nutzung von Daten (Analyse, Abfrage, automatisierte Verarbeitung); Aktualisierung von Daten (Berichtigung, Anpassung, Veränderung); Schutz von Daten (Einschränkung, Verschlüsselung, Sicherheitstests); Rückgabe von Daten an den Datenexporteur oder die betroffene Person; Löschung von Daten (Vernichtung, Löschung) — jeweils im Zusammenhang mit der Bereitstellung des Dienstes gemäß dem Vertrag |
| Dauer der Verarbeitung | Für die Laufzeit des Vertrags. Nach Kündigung werden die Daten gemäß Klausel 18 gelöscht oder zurückgegeben |
Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen um, um ein angemessenes Schutzniveau zu gewährleisten:
Der Verantwortliche hat den Einsatz der unter wysor.io/subprocessors aufgeführten Unterauftragsverarbeiter genehmigt.
Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Änderung der Liste der Unterauftragsverarbeiter. Der Verantwortliche kann innerhalb von 30 Tagen nach Benachrichtigung gegen jeden neuen Unterauftragsverarbeiter Einspruch erheben.
Eine Übersicht der aktuellen Unterauftragsverarbeiter:
| Anbieter | Zweck | Standort | AVV |
|---|---|---|---|
| Fly.io, Inc. | Anwendungshosting | EU | Auf Anfrage verfügbar |
| Amazon Web Services EMEA SARL | Cloud-Speicher, E-Mail, KI-Modelle (Bedrock) | EU + USA* | AWS DPA |
| Google LLC (Vertex AI) | KI-Modelle, Embeddings | EU + USA* | Google Cloud DPA |
| OpenAI, L.L.C. | KI-Modelle (GPT) | USA* | OpenAI DPA |
| Anthropic PBC (via AWS Bedrock) | KI-Modelle (Claude) | EU | AWS DPA |
| AssemblyAI, Inc. | Sprache-zu-Text-Transkription | EU | AssemblyAI DPA |
| Perplexity AI, Inc. | KI-Suche | USA* | Perplexity DPA |
| PostHog Inc. | Produktanalytik | EU | PostHog DPA |
| Functional Software Inc. (Sentry) | Fehlerüberwachung | EU | Sentry DPA |
| Stripe, Inc. | Zahlungsabwicklung | USA* | Stripe DPA |
| Google LLC | Analytik, OAuth | USA* | Google DPA |
| Microsoft Corporation | OAuth-Anmeldung | USA* | Microsoft DPA |
| Cloudflare, Inc. | Bot-Schutz, CAPTCHA | USA* | Cloudflare DPA |
| RunPod, Inc. | GPU-Cloud-Computing — EU Secure Cloud (KI-Modellinferenz) | EU | RunPod DPA |
| Twilio Ireland Limited | Telefonie, Sprache, Rufnummernbereitstellung | EU | Twilio DPA |
*Für Übermittlungen in die USA sind EU-Standardvertragsklauseln (SCCs) gemäß Artikel 46 Abs. 2 Buchstabe c DS-GVO abgeschlossen.
Vollständige Angaben zu jedem Unterauftragsverarbeiter, einschließlich Datenschutzverpflichtungen und Aufbewahrungsrichtlinien, finden Sie in unserer Liste der Unterauftragsverarbeiter.
Wysor IT Solutions UG (haftungsbeschränkt) c/o Postflex #9898, Emsdettener Str. 10, 48268 Greven, Germany E-Mail: [email protected]
Siehe auch: Datenschutzerklärung | Nutzungsbedingungen | Liste der Unterauftragsverarbeiter
Letzte Aktualisierung: 22. Februar 2026