Auftragsverarbeitungsvertrag
Zwischen:
(im Folgenden: „Auftraggeber“)
und:
MailTrick.de
Patrick Hofmann
IT-Solutions
Am Treptower Park 75
12435 Berlin
(im Folgenden: „Auftragsverarbeiter“)
Kontakt:
Telefon: 030235907640
E-Mail: info@p-hofmann.de
Präambel:
Der Auftraggeber beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung externer Dienstleistungen, darunter PayPal (für Zahlungen), Anthropics (für die Generierung von PDFs), Hetzner (als Hosting-Dienstleister) und die OpenAI API (für Textgenerierung, Übersetzungen und Transkriptionen).
§1 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers und gemäß dessen Weisungen. Der Auftrag umfasst die Verarbeitung von personenbezogenen Daten zur Ausführung der im Projekt beschriebenen Funktionen, einschließlich der Erstellung von PDF-Dokumenten, Textgenerierung, Übersetzungen, Transkriptionen und der Zahlungsabwicklung. Die Dauer der Verarbeitung entspricht der Laufzeit des Projekts bzw. des Vertragsverhältnisses zwischen den Parteien.
§2 Art und Zweck der Verarbeitung
Art der Verarbeitung: Sammlung, Speicherung, Übertragung und Löschung personenbezogener Daten.
Zweck der Verarbeitung:
- Abwicklung von Zahlungen (PayPal)
- Generierung von PDF-Dokumenten (Anthropic)
- Hosting und Speicherung der Daten (Hetzner)
- Textgenerierung, Übersetzungen und Transkriptionen (OpenAI API)
§3 Art der verarbeiteten Daten und betroffene Personen
Kategorien der verarbeiteten Daten: E-Mail-Adressen, Name des Nutzers oder Firmennamens, Daten aus E-Mail-Inhalten, Anhängen, Audioaufnahmen und Bildern.
Kategorien betroffener Personen: Kunden des Auftraggebers, deren Kommunikationspartner und potenzielle Nutzer der Dienste.
§4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter sichert zu, die geltenden Datenschutzbestimmungen, insbesondere die DSGVO, einzuhalten. Der Auftragsverarbeiter gewährleistet, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Diese Verpflichtung bleibt auch nach Beendigung des Vertragsverhältnisses bestehen. Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der verarbeiteten Daten. Zu diesen Maßnahmen gehören, aber sind nicht beschränkt auf:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs.
Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung von Betroffenenrechten, etwa bei Auskunftsersuchen oder Löschanforderungen. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber unverzüglich jede Verletzung des Schutzes personenbezogener Daten zu melden und alle notwendigen Informationen bereitzustellen, um die Einhaltung der Meldepflichten gemäß Art. 33 DSGVO zu gewährleisten. Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Auftraggebers keine Subunternehmer einsetzen. Die Zustimmung gilt jedoch als erteilt, wenn der Auftragsverarbeiter eine aktualisierte Liste der Subunternehmer zur Verfügung stellt, die dem Auftraggeber mit einer angemessenen Frist vor dem Einsatz neuer Subunternehmer übermittelt wird. Der Auftraggeber kann innerhalb dieser Frist Einwände erheben. Sollte kein Einwand erfolgen, gilt die Zustimmung als erteilt.
§5 Rechte und Pflichten des Auftraggebers
Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und die Einhaltung der Betroffenenrechte verantwortlich. Der Auftraggeber ist berechtigt, die Einhaltung der vertraglich vereinbarten Maßnahmen durch den Auftragsverarbeiter zu überprüfen. Hierzu können Inspektionen oder Audits durchgeführt werden, die in Abstimmung mit dem Auftragsverarbeiter erfolgen. Der Auftraggeber hat das Recht, von dem Auftragsverarbeiter Nachweise über die Einhaltung der DSGVO zu verlangen, einschließlich der Dokumentation der technischen und organisatorischen Maßnahmen.
§6 Übermittlung an Drittländer
Die Verarbeitung durch Dritte wie PayPal, OpenAI, Anthropics und Hetzner kann eine Übermittlung in Drittländer umfassen. Der Auftragsverarbeiter stellt sicher, dass die Übermittlung gemäß den Vorgaben der DSGVO erfolgt (z.B. EU-Standardvertragsklauseln, Zertifizierungen gemäß Art. 46 DSGVO). Der Auftragsverarbeiter stellt sicher, dass alle geeigneten Schutzmaßnahmen ergriffen werden, um den Schutz der personenbezogenen Daten auch bei der Übermittlung zu gewährleisten.
§7 Haftung
Der Auftragsverarbeiter haftet für Schäden, die durch eine Verletzung der Pflichten aus diesem Vertrag entstehen, im Rahmen der gesetzlichen Bestimmungen. Der Auftragsverarbeiter ist verpflichtet, den Auftraggeber von sämtlichen Ansprüchen Dritter freizustellen, die aus einer Verletzung dieses Vertrags resultieren.
§8 Beendigung des Auftrags
Nach Beendigung des Vertragsverhältnisses hat der Auftragsverarbeiter alle personenbezogenen Daten zu löschen oder an den Auftraggeber zu übergeben, soweit keine gesetzliche Aufbewahrungspflicht besteht. Der Auftragsverarbeiter verpflichtet sich, den Nachweis der vollständigen Löschung oder Übergabe zu erbringen.
§9 Dokumentation und Nachweise
Der Auftragsverarbeiter dokumentiert alle Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und stellt diese dem Auftraggeber auf Verlangen zur Verfügung. Diese Dokumentation umfasst die Kategorien der verarbeiteten Daten, die Zwecke der Verarbeitung, die TOMs und eine Liste der Subunternehmer.
§10 Schlussbestimmungen
Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Der Vertrag unterliegt dem Recht der Europäischen Union.
Voller Name des Auftraggeber:
