Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung des Citatron-Dienstes und ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags (Allgemeine Geschäftsbedingungen).
Verantwortlicher ist der Kunde (nachfolgend „Verantwortlicher"). Auftragsverarbeiter ist Andreas Bernhardt, Suttkamp 13, 59229 Ahlen (nachfolgend „Auftragsverarbeiter" oder „Anbieter").
Soweit der Auftragsverarbeiter für den Verantwortlichen personenbezogene Daten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet, geschieht dies ausschließlich nach Maßgabe dieses AVV und der Weisungen des Verantwortlichen.
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
- Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag beschriebenen Leistungen des SEO-Content-Agenten (Keyword-Recherche, Analyse von Suchergebnissen, Erstellung und Übergabe von Inhalten, Veröffentlichung an die vom Verantwortlichen benannten Zielsysteme).
- Art und Zweck der Verarbeitung: Erhebung, Speicherung, Nutzung, Übermittlung an die vom Verantwortlichen bestimmten Zielsysteme sowie Löschung personenbezogener Daten, jeweils zum Zweck der vertragsgemäßen Leistungserbringung.
- Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Der AVV endet automatisch mit Beendigung des Hauptvertrags; die Pflichten zur Löschung bzw. Rückgabe (§ 10) bestehen darüber hinaus fort.
§ 2 Kategorien betroffener Personen und Datenarten
- Kategorien betroffener Personen:
- für den Verantwortlichen handelnde Personen (Nutzer/Ansprechpartner),
- Personen, die in den vom Verantwortlichen bereitgestellten oder im Rahmen der Leistungserbringung verarbeiteten Inhalten benannt oder erkennbar sind (z. B. in Recherche-Ergebnissen oder erstellten Artikeln).
- Datenarten:
- Kontakt- und Kontostammdaten (Name, geschäftliche E-Mail-Adresse, Anmeldedaten),
- Nutzungs- und Protokolldaten,
- vom Verantwortlichen hinterlegte Zugangsdaten zu Zielsystemen und Drittdiensten,
- Inhalts- und Recherchedaten (Brand-Profile, Themen, Keywords, erstellte Inhalte), soweit darin personenbezogene Daten enthalten sind.
- Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung. Der Verantwortliche verpflichtet sich, solche Daten nicht ohne vorherige gesonderte Vereinbarung zu übermitteln.
§ 3 Weisungsrecht des Verantwortlichen
- Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, einschließlich in Bezug auf die Übermittlung an ein Drittland, es sei denn, er ist hierzu gesetzlich verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
- Die Nutzung des Dienstes und seiner Funktionen durch den Verantwortlichen gilt als Einzelweisung im Rahmen dieses AVV. Ergänzende Weisungen sind in Textform zu erteilen.
- Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO). Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
§ 4 Vertraulichkeit
- Der Auftragsverarbeiter verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertrags fort.
§ 5 Technische und organisatorische Maßnahmen (TOM)
- Der Auftragsverarbeiter trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Der aktuelle Stand ist in Anlage 1 zu diesem AVV beschrieben.
- Die Maßnahmen unterliegen dem technischen Fortschritt; der Auftragsverarbeiter darf sie weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
§ 6 Weitere Auftragsverarbeiter (Subunternehmer)
- Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen (Art. 28 Abs. 2 DSGVO). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in der Subunternehmer-Liste mit Zweck, Sitz und Transfergrundlage aufgeführt.
- Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter durch Aktualisierung der Subunternehmer-Liste und – soweit für laufende Verträge erforderlich – durch gesonderte Mitteilung in Textform. Der Verantwortliche kann einer Änderung aus wichtigem, datenschutzrechtlich begründetem Anlass innerhalb von vier Wochen ab Mitteilung widersprechen. Wird im Fall eines berechtigten Widerspruchs keine einvernehmliche Lösung erreicht, ist jede Partei berechtigt, den Hauptvertrag außerordentlich zu kündigen.
- Der Auftragsverarbeiter verpflichtet jeden Subunternehmer vertraglich auf im Wesentlichen dieselben Datenschutzpflichten, wie sie in diesem AVV vereinbart sind (Art. 28 Abs. 4 DSGVO).
- Nicht als Subunternehmer im Sinne dieser Regelung gelten Nebenleistungen, die der Auftragsverarbeiter als Hilfsleistung in Anspruch nimmt (z. B. Telekommunikations- oder Reinigungsleistungen).
§ 7 Drittlandtransfer
- Ein Teil der eingesetzten Subunternehmer verarbeitet Daten in Drittländern, insbesondere in den USA (siehe Subunternehmer-Liste). Übermittlungen in Drittländer erfolgen nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
- Als Garantie im Sinne des Art. 46 DSGVO werden regelmäßig die von der Europäischen Kommission erlassenen EU-Standardvertragsklauseln (Standard Contractual Clauses) herangezogen. Sofern für einen Empfänger ein Angemessenheitsbeschluss besteht (z. B. Zertifizierung unter dem EU-US Data Privacy Framework), stützt sich die Übermittlung ergänzend hierauf (Art. 45 DSGVO).
§ 8 Unterstützungspflichten
- Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO (Art. 28 Abs. 3 lit. e DSGVO). Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Verletzungen, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).
§ 9 Meldung von Verletzungen des Schutzes personenbezogener Daten
- Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft, unverzüglich nach Bekanntwerden.
- Die Meldung enthält nach Möglichkeit die zur Erfüllung der Melde- und Benachrichtigungspflichten des Verantwortlichen (Art. 33, 34 DSGVO) erforderlichen Informationen.
§ 10 Löschung und Rückgabe nach Beendigung
- Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten oder gibt sie zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
- Vom Verantwortlichen hinterlegte Zugangsdaten zu Zielsystemen und Drittdiensten werden nach Vertragsende gelöscht. Bereits an das Zielsystem des Verantwortlichen übergebene Inhalte verbleiben beim Verantwortlichen.
- Die Löschung wird auf Verlangen in Textform bestätigt.
§ 11 Kontroll- und Auditrechte
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
- Der Auftragsverarbeiter ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten anderen Prüfer durchgeführt werden, und trägt zu ihnen bei. Überprüfungen werden mit angemessener Vorankündigung, zu den üblichen Geschäftszeiten und ohne vermeidbare Störung des Geschäftsbetriebs durchgeführt. Der Nachweis kann auch durch geeignete Zertifikate, Testate oder Berichte unabhängiger Stellen erbracht werden.
§ 12 Verantwortlichkeit und Schlussbestimmungen
- Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte betroffener Personen verantwortlich.
- Im Verhältnis der Parteien untereinander gelten ergänzend die Haftungsregeln des Hauptvertrags. Art. 82 DSGVO bleibt unberührt.
- Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
- Es gilt das Recht der Bundesrepublik Deutschland.
§ 13 Form des Vertragsschlusses
Dieser AVV kann gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen werden. Die elektronische Zustimmung des Verantwortlichen im Rahmen der Registrierung bzw. des Vertragsschlusses (Click-Accept) genügt; sie wird nebst Fassung und Zeitstempel dokumentiert.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter setzt insbesondere die folgenden Maßnahmen um:
- Verschlüsselung ruhender Daten: Vom Verantwortlichen hinterlegte Zugangsdaten zu Zielsystemen sowie Dienst-Schlüssel werden mit AES-256-GCM verschlüsselt gespeichert.
- Transportverschlüsselung: Die Datenübertragung erfolgt ausschließlich über transportverschlüsselte Verbindungen (TLS).
- Schutz von API-Schlüsseln: Inbound-API-Schlüssel werden nicht im Klartext, sondern ausschließlich als kryptografischer Hash gespeichert.
- Zugriffsbeschränkung / Mandantentrennung: Der Zugriff auf Daten ist auf das für die Leistungserbringung notwendige Maß beschränkt; Daten verschiedener Kunden werden logisch getrennt (mandantenbezogen) verarbeitet.
- Standort der Verarbeitung: Der Betrieb der Anwendung und die Speicherung der Daten erfolgen auf Servern in Deutschland (Hetzner Online GmbH, Auftragsverarbeitung nach Art. 28 DSGVO).
- Verfügbarkeit und Wiederherstellbarkeit: Der Auftragsverarbeiter trifft angemessene Maßnahmen zur Aufrechterhaltung der Verfügbarkeit des Dienstes.
- Überprüfung: Die Wirksamkeit der Maßnahmen wird anlassbezogen überprüft und fortlaufend an den Stand der Technik angepasst.
Die Maßnahmen entsprechen dem zum Stand dieses Dokuments real umgesetzten Zustand und werden bei Bedarf, mindestens jedoch bei wesentlichen Änderungen der Verarbeitung, aktualisiert.