Auftragsverarbeitungsvertrag

2.1 Der Auftragsverarbeiter erbringt Softwaredienste für den Verantwortlichen gemäß einem gesonderten Servicevertrag (“Servicevertrag”). Im Rahmen der Erbringung dieser Dienste verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

2.2 Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen und ist integraler Bestandteil des Servicevertrags.

4.1 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen der Daten an ein Drittland oder eine internationale Organisation, sofern dies nicht durch das Anwendbare Datenschutzrecht vorgeschrieben ist.

4.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn nach seiner Einschätzung eine Weisung gegen das Anwendbare Datenschutzrecht verstößt.

4.3 Der Auftragsverarbeiter verarbeitet die Daten gemäß diesem AVV und Anlage A und darf die Daten nicht für andere Zwecke als die darin genannten verarbeiten.

6.1 Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung der Daten eine Rechtsgrundlage gemäß dem Anwendbaren Datenschutzrecht hat und dass die betroffenen Personen über die Verarbeitung informiert sind.

6.2 Der Verantwortliche ist dafür verantwortlich, dem Auftragsverarbeiter die Weisungen zu erteilen, die notwendig sind, damit der Auftragsverarbeiter seinen Verpflichtungen nachkommen kann.

7.1 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Auftrag des Verantwortlichen und gemäß dokumentierten Weisungen, sofern er nicht durch das Anwendbare Datenschutzrecht dazu verpflichtet ist.

7.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten, einschließlich in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation.

7.3 Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 DSGVO festgelegten Pflichten nachzuweisen.

8.1 Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:

• Verschlüsselung der Daten bei der Übertragung mit TLS 1.2 oder höher
• Verschlüsselung der Daten im Ruhezustand mit AES-256
• Kundenisolierung: jede Kundenumgebung läuft auf einer vollständig isolierten Datenbank
• Zugangskontrollen nach dem Prinzip der minimalen Rechtevergabe
• Kontinuierliche Überwachung und Protokollierung von Sicherheitsereignissen
• Regelmäßige Prüfung und Bewertung der Wirksamkeit der Maßnahmen

8.2 Der Auftragsverarbeiter stellt sicher, dass die implementierten Maßnahmen jederzeit den Anforderungen von Artikel 32 DSGVO entsprechen.

9.1 Die Daten werden grundsätzlich innerhalb der EU/des EWR gespeichert und verarbeitet. Der Auftragsverarbeiter übermittelt die Daten nicht ohne vorherige Genehmigung des Verantwortlichen in Drittländer.

9.2 Sollte eine Übermittlung in ein Drittland erforderlich werden, stellt der Auftragsverarbeiter sicher, dass die Übermittlung gemäß dem Anwendbaren Datenschutzrecht zulässig ist, und schließt erforderlichenfalls Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission ab.

9.3 Die Architektur von Securapilot unterstützt die konfigurierbare Auswahl eines KI-Modells pro Kunde. Der Verantwortliche kann schwedische KI-Dienste (z. B. Berget AI) wählen, um vollständige nordische Datensouveränität zu gewährleisten. Personenbezogene Daten werden nur dann an KI-Anbieter übermittelt, wenn der Verantwortliche KI-Funktionen ausdrücklich aktiviert.

10.2 Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über etwaige Pläne zur Beauftragung neuer Unterauftragsverarbeiter mindestens fünfundvierzig (45) Tage vor der Umsetzung solcher Pläne zu informieren. Der Verantwortliche hat das Recht, Einwände zu erheben. Ohne Rückmeldung innerhalb von 45 Tagen gilt der Verantwortliche als zustimmend.

10.3 Erhebt der Verantwortliche Einwände gegen einen neuen Unterauftragsverarbeiter und kann keine Lösung gefunden werden, hat der Verantwortliche das Recht, den betreffenden Dienst zu kündigen.

10.4 Verträge mit Unterauftragsverarbeitern müssen schriftlich sein und dem Unterauftragsverarbeiter gleichwertige Pflichten auferlegen. Der Auftragsverarbeiter haftet für die Erfüllung der Pflichten durch Unterauftragsverarbeiter.

10.5 Ist eine Verarbeitung der Daten durch einen Unterauftragsverarbeiter in einem Drittland geplant, gilt Abschnitt 9 entsprechend.

11.1 Der Auftragsverarbeiter stellt sicher, dass das betroffene Personal diesen AVV und die Weisungen des Verantwortlichen einhält und über die Bestimmungen des Anwendbaren Datenschutzrechts informiert ist.

11.2 Der Zugang zu den Daten wird auf Personen beschränkt, die sie zur Erfüllung ihrer Arbeitsaufgaben benötigen und die sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Schweigepflicht unterliegen.

12.2 Der Verantwortliche kann Nutzerdaten direkt über die Verwaltungsoberfläche der Plattform exportieren und löschen. Für Anfragen, die weitere Unterstützung erfordern, antwortet der Auftragsverarbeiter innerhalb von zehn (10) Werktagen.

12.3 Kontaktiert eine betroffene Person, die Datenschutzaufsichtsbehörde oder ein Dritter den Auftragsverarbeiter mit Anfragen zur Verarbeitung, verweist der Auftragsverarbeiter auf den Verantwortlichen.

13.1 Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen spätestens vierundzwanzig (24) Stunden nach Entdeckung der Verletzung.

13.2 Die Benachrichtigung enthält Angaben zu:

1. Art der Verletzung sowie Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
2. Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson beim Auftragsverarbeiter
3. Wahrscheinlichen Folgen der Verletzung
4. Ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung
5. Sonstigen Informationen, die der Verantwortliche für die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde (72-Stunden-Frist gemäß DSGVO Art. 33) und den Betroffenen benötigt

13.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Datenschutzaufsichtsbehörde und den betroffenen Personen.

15.1 Der Auftragsverarbeiter speichert die Daten nicht länger als für die Erfüllung des Zwecks notwendig oder als sich aus dem Anwendbaren Datenschutzrecht, diesem AVV oder den Weisungen des Verantwortlichen ergibt.

15.2 Bei Beendigung des Vertrags gilt Folgendes:

• Der Verantwortliche kann alle Daten über die Exportfunktion der Plattform in einem Übergangszeitraum von dreißig (30) Tagen exportieren
• Nach dem Übergangszeitraum werden alle Daten des Verantwortlichen — einschließlich Datenbankinhalt, hochgeladener Dateien und Vektoreinbettungen — innerhalb von dreißig (30) Tagen dauerhaft aus allen Systemen einschließlich Backups gelöscht
• Der Auftragsverarbeiter stellt auf Anfrage eine schriftliche Löschbestätigung zur Verfügung

15.3 Ist eine Löschung technisch nicht möglich, garantiert der Auftragsverarbeiter, dass die Daten so anonymisiert werden, dass eine Wiederherstellung des Personenbezugs ausgeschlossen ist.

16.1 Der Verantwortliche hat das Recht, selbst oder durch ein unabhängiges Drittprüfungsunternehmen die Einhaltung dieses AVV und des Anwendbaren Datenschutzrechts durch den Auftragsverarbeiter zu überprüfen. Prüfungen werden mit angemessener Vorankündigung und unter Beachtung von Vertraulichkeitspflichten durchgeführt.

16.2 Der Auftragsverarbeiter kooperiert bei Prüfungen und gewährt Zugang zu relevanter Dokumentation, Systemen und Personal. Der Auftragsverarbeiter kann Prüfungsanfragen durch die Bereitstellung unabhängiger Drittprüfungsberichte oder Zertifizierungen erfüllen.

16.3 Inspektionen sollen so angesetzt und durchgeführt werden, dass sie die normalen Tätigkeiten der Parteien so wenig wie möglich beeinträchtigen.

16.4 Stellt der Verantwortliche bei einer Überprüfung fest, dass der Auftragsverarbeiter die Daten entgegen diesem AVV verarbeitet, ist der Auftragsverarbeiter verpflichtet, unverzüglich Abhilfe zu schaffen. Erfolgt keine rechtzeitige Korrektur, hat der Verantwortliche das Recht, den AVV und den Servicevertrag mit sofortiger Wirkung zu kündigen.

16.5 Sofern keine gesonderte schriftliche Vereinbarung besteht, trägt jede Partei ihre eigenen Kosten bei der Überprüfung.

17.1 Der Auftragsverarbeiter gibt die Daten oder sonstige Informationen über die Verarbeitung nicht ohne ausdrückliche Weisung oder vorherige Genehmigung des Verantwortlichen an Dritte weiter, es sei denn, dies ist gesetzlich vorgeschrieben.

17.2 Jede Partei verpflichtet sich, vertrauliche Informationen, die sie im Rahmen der Zusammenarbeit erhalten hat, nicht an Dritte weiterzugeben.

17.3 Die Parteien halten die jeweils geltenden Vorschriften über Geschäftsgeheimnisse ein.

17.4 Der Auftragsverarbeiter stellt sicher, dass Personen mit Zugang zu den Daten zur Wahrung der Vertraulichkeit verpflichtet sind oder einer gesetzlichen Schweigepflicht unterliegen. Unterauftragsverarbeiter müssen entsprechende Vertraulichkeitsverpflichtungen haben.

17.5 Die Vertraulichkeitsverpflichtungen dieses Abschnitts bleiben nach Beendigung des AVV bestehen.

19.1 Verstößt eine Partei gegen diesen AVV oder das Anwendbare Datenschutzrecht, stellt diese Partei die andere Partei von Schäden frei, die durch solches Handeln verursacht wurden, es sei denn, die schadensverursachende Partei kann nachweisen, dass sie in keiner Weise verantwortlich ist.

19.2 Unter keinen Umständen haftet eine Partei für mittelbare Schäden wie entgangenen Gewinn, Einkommensverlust, Datenverlust oder sonstige Folgeschäden. Diese Haftungsbeschränkung gilt nicht bei grober Fahrlässigkeit oder Vorsatz.

19.3 Die Haftung der Parteien gegenüber Dritten richtet sich nach Artikel 82 DSGVO. Die Partei, die vollen Schadensersatz geleistet hat, hat das Recht, von der anderen Partei den Teil zurückzufordern, der dem Anteil dieser Partei an der Verantwortung entspricht.

19.4 Die Haftung für Verstöße gegen diesen AVV richtet sich im Übrigen nach den Bedingungen des Servicevertrags.

20.1 Der Verantwortliche darf den Inhalt dieses AVV insoweit ändern, als dies erforderlich ist, um Anforderungen des Anwendbaren Datenschutzrechts zu erfüllen. Eine solche Änderung tritt dreißig (30) Tage nach Zugang der Änderungsmitteilung beim Auftragsverarbeiter in Kraft. Akzeptiert der Auftragsverarbeiter die Änderung nicht, hat der Verantwortliche das Recht, den Servicevertrag mit sofortiger Wirkung zu kündigen.

20.2 Sonstige Änderungen und Ergänzungen dieses AVV müssen schriftlich abgefasst und von beiden Parteien genehmigt werden, um bindend zu sein.

21.1 Der AVV gilt ab seinem Abschluss und solange der Auftragsverarbeiter Daten für den Verantwortlichen verarbeitet.

21.2 Bei Beendigung des AVV haben der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter je nach Weisung des Verantwortlichen entweder alle Daten an den Verantwortlichen zurückzugeben oder alle Daten zu löschen und dies zu bestätigen, gemäß Abschnitt 15.

21.3 Die Vertraulichkeitsbestimmungen in Abschnitt 17 bleiben nach Beendigung des AVV bestehen.

23.1 Alle Mitteilungen und sonstige Kommunikation gemäß diesem AVV sind schriftlich abzufassen und per E-Mail, Kurierdienst oder Einschreiben an die Ansprechpartner der Parteien zuzustellen.

23.2 Eine Mitteilung gilt als zugegangen: per E-Mail zum Zeitpunkt des Versands (sofern keine Fehlermeldung eingeht), per Kurierdienst zum Zeitpunkt der Zustellung, und per Einschreiben am dritten (3.) Werktag nach Aufgabe zur Post.

24.1 Auf diesen AVV einschließlich aller Verarbeitungen der Daten unter dem AVV findet schwedisches Recht Anwendung.

24.2 Streitigkeiten aus diesem AVV werden gemäß dem im Servicevertrag vorgesehenen Streitbeilegungsmechanismus beigelegt.