Auftragsverarbeitungsvertrag (AVV)

§ 1 Geltungsbereich und Definitionen

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Zusammenhang mit der Auftragsverarbeitung gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO“) im Rahmen des zwischen dem Auftraggeber und dem Auftragnehmer geschlossenen Hauptvertrages über die Nutzung des E-Mail-Archivierungsdienstes Easy Mail Archive.

Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO) ist der Kunde, der den E-Mail-Archivierungsdienst Easy Mail Archive nutzt.

Auftragnehmer (Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO) ist Martin Becker, Blockkamp 13, 29351 Eldingen, Deutschland.

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verarbeitung ist gemäß Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Weisung ist eine auf einen bestimmten datenschutzrechtlichen Umgang mit personenbezogenen Daten gerichtete, dokumentierte Anordnung des Auftraggebers an den Auftragnehmer.

§ 2 Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen des Hauptvertrages (Allgemeine Geschäftsbedingungen) über die Nutzung des E-Mail-Archivierungsdienstes Easy Mail Archive.

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages. Er endet automatisch mit Beendigung des Hauptvertrages, unbeschadet der Pflichten, die über das Vertragsende hinaus fortbestehen.

§ 3 Art und Zweck der Verarbeitung

Der Auftragnehmer betreibt für den Auftraggeber einen cloudbasierten E-Mail-Archivierungsdienst. Zweck der Verarbeitung ist die rechtskonforme, revisionssichere Archivierung von E-Mails des Auftraggebers gemäß den gesetzlichen Aufbewahrungspflichten (insbesondere GoBD, § 257 HGB, § 147 AO) sowie die Bereitstellung von Such-, Export- und Compliance-Funktionen.

Die Verarbeitung umfasst insbesondere:

• Empfang und Speicherung von E-Mails über SMTP-Schnittstellen
• Indexierung und Volltextsuche archivierter E-Mails
• Aufbewahrungsverwaltung (Retention Management) einschließlich gesetzlicher Aufbewahrungsfristen
• Export und Wiederherstellung archivierter E-Mails
• Benutzerverwaltung und Zugriffskontrolle für den Archivzugang
• Audit-Protokollierung aller Zugriffe und Aktionen im Archiv

§ 4 Art der personenbezogenen Daten und betroffene Personen

Folgende Kategorien personenbezogener Daten werden im Rahmen der E-Mail-Archivierung verarbeitet:

• E-Mail-Metadaten (Absender, Empfänger, Datum, Betreff, IP-Adressen, Message-IDs)
• E-Mail-Inhalte (Nachrichtentext und Dateianhänge)
• Benutzerkontodaten (Name, E-Mail-Adresse, Rolle, Zugangsdaten)
• Zugriffs- und Audit-Protokolle (Zeitstempel, Benutzer, durchgeführte Aktionen)

Betroffene Personengruppen:

• Beschäftigte des Auftraggebers, deren E-Mail-Kommunikation archiviert wird
• Externe Kommunikationspartner (Kunden, Lieferanten, Geschäftspartner und sonstige Dritte), die in archivierten E-Mails als Absender oder Empfänger auftreten

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers gemäß Art. 28 Abs. 3 lit. a DSGVO, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

Der Auftragnehmer verpflichtet sich insbesondere:

• Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
• Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen und aufrechtzuerhalten. Die konkreten Maßnahmen ergeben sich aus Anlage 2 zu diesem AVV.
• Den Auftraggeber bei der Erfüllung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach Art. 15 bis 22 DSGVO nach Möglichkeit zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
• Den Auftraggeber bei der Einhaltung der Meldepflichten bei Datenschutzverletzungen gemäß Art. 33 und 34 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO).
• Den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und einer vorherigen Konsultation gemäß Art. 36 DSGVO zu unterstützen, soweit erforderlich (Art. 28 Abs. 3 lit. f DSGVO).
• Nach Beendigung der Auftragsverarbeitung nach Wahl des Auftraggebers alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
• Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).
• Den Auftraggeber unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.

Der Auftragnehmer führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag des Auftraggebers durchführt, gemäß Art. 30 Abs. 2 DSGVO.

Der Auftragnehmer bestellt einen Datenschutzbeauftragten, sofern dies nach Art. 37 DSGVO oder § 38 BDSG gesetzlich vorgeschrieben ist.

Ansprechpartner für Datenschutzangelegenheiten im Zusammenhang mit diesem AVV: [email protected].

Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung personenbezogener Daten befassten Beschäftigten regelmäßig im Datenschutz geschult werden.

Der Auftragnehmer verwendet die im Auftrag verarbeiteten personenbezogenen Daten nicht für eigene Zwecke und verarbeitet sie nicht in einer mit den Weisungen des Auftraggebers unvereinbaren Weise.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm bekannt wird, dass unbefugt auf personenbezogene Daten zugegriffen wurde oder diese unrechtmäßig verarbeitet wurden.

§ 6 Pflichten des Auftraggebers

Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzvorschriften verantwortlich. Er stellt insbesondere sicher, dass die Übermittlung der E-Mails an den Archivierungsdienst auf einer zulässigen Rechtsgrundlage erfolgt.

Der Auftraggeber erteilt Weisungen in Textform (§ 126b BGB). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Der Auftraggeber benennt dem Auftragnehmer eine Kontaktperson für datenschutzrelevante Angelegenheiten.

§ 7 Weisungsrecht

Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers. Die in diesem AVV und im Hauptvertrag vereinbarte Leistungserbringung gilt als dokumentierte Weisung.

Weisungen sind in Textform zu erteilen. Die Übermittlung per E-Mail genügt dem Textformerfordernis.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine erteilte Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Bis zur Klärung durch den Auftraggeber kann der Auftragnehmer die Verarbeitung insoweit aussetzen, als sie von der beanstandeten Weisung betroffen ist.

§ 8 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

Die Vertraulichkeitsverpflichtung besteht über die Beendigung des Vertragsverhältnisses hinaus fort.

Der Auftragnehmer stellt sicher, dass nur diejenigen Mitarbeiter Zugang zu personenbezogenen Daten des Auftraggebers haben, die diesen zur Erfüllung der vertraglichen Leistungen zwingend benötigen (Need-to-know-Prinzip).

§ 9 Technische und organisatorische Maßnahmen

Der Auftragnehmer ergreift die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkreten Maßnahmen sind in Anlage 2 zu diesem AVV beschrieben.

Die technischen und organisatorischen Maßnahmen werden dem Stand der Technik angepasst und regelmäßig überprüft, bewertet und evaluiert, um ihre Wirksamkeit sicherzustellen.

§ 10 Unterauftragsverarbeitung

Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

Der Auftragnehmer stellt sicher, dass:

• Unterauftragsverarbeitern mittels Vertrag oder eines anderen Rechtsinstruments dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind, insbesondere hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.
• Unterauftragsverarbeiter angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umsetzen.
• Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter wie für eigenes Handeln.

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 zu diesem AVV aufgeführt.

Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor einer beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in Textform.

Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Kann der Widerspruch nicht einvernehmlich beigelegt werden, ist der Auftragnehmer berechtigt, den Hauptvertrag mit angemessener Frist zu kündigen.

§ 11 Rechte betroffener Personen

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15 bis 22 DSGVO.

Der E-Mail-Archivierungsdienst stellt Such- und Exportfunktionen bereit, die der Auftraggeber zur Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO nutzen kann.

Wendet sich eine betroffene Person mit einem Antrag auf Ausübung ihrer Rechte direkt an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter.

§ 12 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, die im Zusammenhang mit der Auftragsverarbeitung steht.

Die Meldung umfasst mindestens:

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• Die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• Eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO und gegenüber den betroffenen Personen gemäß Art. 34 DSGVO.

Der Auftragnehmer dokumentiert sämtliche Verletzungen des Schutzes personenbezogener Daten einschließlich der zugrunde liegenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen gemäß Art. 33 Abs. 5 DSGVO.

§ 13 Kontrollrechte und Audits

Der Auftraggeber hat das Recht, Überprüfungen einschließlich Inspektionen beim Auftragnehmer durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen (Art. 28 Abs. 3 lit. h DSGVO).

Inspektionen vor Ort sind mit angemessener Vorankündigungsfrist, in der Regel mindestens vier Wochen, anzumelden und während der üblichen Geschäftszeiten durchzuführen. Der Auftragnehmer kann verlangen, dass die Prüfer einer Vertraulichkeitsvereinbarung unterliegen.

Der Auftragnehmer kann anstelle einer Vor-Ort-Inspektion geeignete Zertifizierungen, Prüfberichte unabhängiger Stellen oder gleichwertige Nachweise vorlegen, sofern diese den Kontrollzweck hinreichend erfüllen.

Die Kosten der Überprüfung trägt der Auftraggeber. Der Auftragnehmer trägt seine eigenen Personalkosten im Zusammenhang mit der Mitwirkung an der Überprüfung.

§ 14 Löschung und Rückgabe

Nach Beendigung des Hauptvertrages hat der Auftraggeber die Möglichkeit, innerhalb von 30 Tagen sämtliche archivierte Daten über die Exportfunktion des Dienstes herunterzuladen.

Nach Ablauf der Exportfrist löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten unwiderruflich.

Der Auftragnehmer dokumentiert die Löschung und stellt dem Auftraggeber auf Anfrage eine schriftliche Bestätigung über die durchgeführte Löschung aus.

§ 15 Haftung

Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO.

Jede Vertragspartei haftet für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden, soweit sie ihre eigenen datenschutzrechtlichen Pflichten verletzt hat.

Der Auftragnehmer haftet nur für Schäden, die durch die Nichteinhaltung der speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO (insbesondere Art. 28 und Art. 32 DSGVO) oder durch Handeln außerhalb oder entgegen den rechtmäßigen Weisungen des Auftraggebers verursacht wurden.

§ 16 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland.

Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Abbedingung dieses Textformerfordernisses.

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Dieser AVV ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen, abrufbar unter /terms, und der Datenschutzerklärung, abrufbar unter /privacy.

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Celle, soweit der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Anlage 1: Beschreibung der Verarbeitung

Die folgenden Angaben konkretisieren die Auftragsverarbeitung gemäß § 2 und § 3 dieses AVV.

Anlage 2: Technische und organisatorische Maßnahmen

Der Auftragnehmer ergreift folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die im Rahmen der E-Mail-Archivierung verarbeiteten personenbezogenen Daten zu gewährleisten:

Zugangskontrolle

Rollenbasierte Zugriffskontrolle (RBAC) mit differenzierten Berechtigungsstufen. Strikte mandantenspezifische Datentrennung. Optionale Multi-Faktor-Authentifizierung (MFA). Automatisches Sitzungsmanagement mit konfigurierbaren Zeitlimits. Sichere Passwortspeicherung mittels kryptografischer Hashverfahren.

Verschlüsselung

AES-256-CBC-Verschlüsselung aller archivierten E-Mails im Ruhezustand (Encryption at Rest). Verschlüsselte Datenübertragung mittels TLS 1.2 oder höher (Encryption in Transit). Separate Verschlüsselungsschlüssel pro Mandant.

Verfügbarkeit

Hosting im Rechenzentrum der WITT AG in Deutschland. Redundante Speicherinfrastruktur. Regelmäßige automatisierte Datensicherungen. Kontinuierliches Monitoring der Systemverfügbarkeit und -leistung.

Trennungsgebot

Strikte mandantenspezifische Datentrennung durch separate Datenbanken pro Mandant. Getrennte S3-Speicherbereiche pro Mandant. Logische Isolation auf Anwendungsebene, die eine mandantenübergreifende Dateneinsicht ausschließt.

Pseudonymisierung

Verwendung interner, nicht-personenbezogener Identifikatoren als Primärschlüssel. Keine Verwendung personenbezogener Daten in Systemkennungen oder Speicherpfaden.

Integrität

Revisionssichere Archivspeicherung, die eine nachträgliche Veränderung archivierter E-Mails ausschließt. Prüfsummenvalidierung zur Sicherstellung der Datenintegrität. Lückenlose Audit-Protokollierung aller Zugriffe und Änderungen.

Belastbarkeit und Wiederherstellbarkeit

Regelmäßige automatisierte Datensicherungen. Getestete Wiederherstellungsverfahren. Redundante Infrastruktur zur Sicherstellung der Betriebskontinuität.

Überwachung und Protokollierung

Umfassende Audit-Protokollierung aller Benutzeraktionen und Systemereignisse. Zugriffsprotokolle mit Zeitstempel, Benutzeridentifikation und durchgeführter Aktion. Anomalieerkennung zur frühzeitigen Identifikation sicherheitsrelevanter Vorfälle.

Anlage 3: Liste der Unterauftragnehmer

Der Auftragnehmer setzt zum Zeitpunkt des Vertragsschlusses folgende Unterauftragsverarbeiter ein: