Diese Vereinbarung über die Auftragsverarbeitung regelt die Datenverarbeitung im Auftrag des Kunden durch die ATLAS.ti Scientific Software Development GmbH als Auftragsverarbeiterin. Sie wird durch Verweis in den Nutzungsbedingungen Bestandteil des jeweiligen Vertrags.
Präambel
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf Anweisung des Auftraggebers im Sinne von Artikel 4 Nr. 8 und Artikel 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Diese Datenverarbeitungsvereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten.
1.1 Gemäß Art. 4 Abs. 7 DSGVO ist der „Verantwortliche“ die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
1.2 Gemäß Art. 4 Abs. 8 DSGVO ist ein „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1.3 Gemäß Art. 4 Abs. 1 DSGVO sind „personenbezogene Daten“ alle Informationen über eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“); eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person charakteristisch sind.
1.4 „Besonders sensible personenbezogene Daten“ sind personenbezogene Daten gemäß Art. 9 DSGVO, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Personen abgeleitet werden können, personenbezogene Daten gemäß Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen sowie genetische Daten gemäß Art. 4 Abs. 13 DSGVO, biometrische Daten gemäß Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gemäß Art. 4 Abs. 15 DSGVO sowie Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.
1.5 Gemäß Art. 4 Abs. 2 DSGVO ist „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Abrufen, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
1.6 Gemäß Art. 4 Abs. 21 DSGVO ist eine „Aufsichtsbehörde“ eine unabhängige staatliche Stelle, die von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtet wurde.
2.1 Der Auftragnehmer erbringt für den Auftraggeber auf der Grundlage des zwischen den Parteien geschlossenen Hauptvertrags Dienstleistungen im Bereich der „Bereitstellung von Software“. Im Rahmen des Hauptvertrags erhält der Auftragnehmer Zugang zu personenbezogenen Daten und verarbeitet diese ausschließlich im Auftrag und gemäß den Anweisungen des Auftraggebers. Der Gegenstand der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in Anhang 1 dieser Datenverarbeitungsvereinbarung aufgeführt. Es obliegt dem Auftraggeber, die Zulässigkeit der Datenverarbeitung zu prüfen.
2.2 Die Parteien schließen diese Datenverarbeitungsvereinbarung, um die gegenseitigen datenschutzrechtlichen Rechte und Pflichten zu konkretisieren. Im Zweifelsfall haben die Bestimmungen dieser Vereinbarung Vorrang vor den Bestimmungen des Hauptvertrags.
2.3 Die Bestimmungen dieser Datenverarbeitungsvereinbarung gelten für alle Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen der Auftragnehmer und seine Mitarbeiter oder vom Auftragnehmer beauftragte Erfüllungsgehilfen mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für diesen erhoben wurden.
2.4 Diese Datenverarbeitungsvereinbarung tritt mit ihrer Unterzeichnung in Kraft; die Laufzeit dieser Datenverarbeitungsvereinbarung richtet sich nach der Laufzeit des Hauptvertrags, sofern die folgenden Bestimmungen keine darüber hinausgehenden Kündigungsrechte oder -pflichten vorsehen.
3.1 Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Erfordert das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, eine weitere Verarbeitung, so hat der Auftragnehmer den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen zu unterrichten.
3.2 Die Anweisungen des Auftraggebers sind zunächst in diesem Vertrag festgelegt und können anschließend durch einzelne Anweisungen in schriftlicher oder textlicher Form (Einzelanweisungen) geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist berechtigt, jederzeit entsprechende Anweisungen zu erteilen. Dies umfasst auch Anweisungen zur Berichtigung, Löschung und Sperrung von Daten. Mündliche Anweisungen müssen unverzüglich schriftlich oder in textlicher Form bestätigt werden.
3.3 Alle erteilten Anweisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Anweisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, gelten als Antrag auf Leistungsänderung.
3.4 Ist der Auftragnehmer der Ansicht, dass eine Anweisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, muss er den Auftraggeber unverzüglich darüber informieren. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Anweisung auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer kann die Ausführung einer offensichtlich rechtswidrigen Anweisung verweigern.
Im Rahmen der Erfüllung des Hauptvertrags erhält der Auftragnehmer Zugang zu den in Anhang 1 aufgeführten personenbezogenen Daten. Die von der Datenverarbeitung betroffenen Personen sind ebenfalls in Anhang 1 definiert.
5.1 Der Auftragnehmer ist verpflichtet, die gesetzlichen Datenschutzbestimmungen einzuhalten und keine aus dem Umfeld des Auftraggebers stammenden Informationen an Dritte weiterzugeben oder Dritten Zugang zu diesen Informationen zu gewähren. Dokumente und Daten sind unter Berücksichtigung des Stands der Technik vor unbefugtem Zugriff zu schützen.
5.2 Der Auftragnehmer hat im Rahmen seines Zuständigkeitsbereichs die interne Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes entspricht. Der Auftragnehmer hat alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO zu ergreifen, insbesondere mindestens die in Anhang 2 aufgeführten Maßnahmen. Der Auftragnehmer behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern, wobei er sicherzustellen hat, dass das vertraglich vereinbarte Schutzniveau nicht beeinträchtigt wird.
5.3 Den vom Auftragnehmer mit der Datenverarbeitung beauftragten Personen ist es untersagt, personenbezogene Daten ohne Berechtigung zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer hat allen von ihm mit der Verarbeitung und Erfüllung dieses Vertrags betrauten Personen (im Folgenden: Mitarbeiter) eine entsprechende Verpflichtung aufzuerlegen (Geheimhaltungspflicht, Art. 28 Abs. 3 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherzustellen. Diese Verpflichtungen müssen so formuliert sein, dass sie auch nach Beendigung dieses Vertrags oder des Arbeitsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer fortbestehen. Auf Verlangen sind dem Auftraggeber geeignete Nachweise über diese Verpflichtungen in geeigneter Form vorzulegen.
6.1 Bei Störungen, bei Verdacht auf Datenschutzverletzungen oder Verstöße gegen vertragliche Verpflichtungen seitens des Auftragnehmers, bei Verdacht auf sicherheitsrelevante Vorfälle oder sonstige Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragnehmer, durch vom Auftragnehmer im Rahmen des Auftrags beschäftigte Personen oder durch Dritte hat der Auftragnehmer den Auftraggeber unverzüglich schriftlich oder in Textform zu informieren. Gleiches gilt für Prüfungen des Auftragnehmers durch eine Datenschutzaufsichtsbehörde. Die Meldung eines Verstoßes gegen den Schutz personenbezogener Daten muss mindestens folgende Angaben enthalten:
a) eine Beschreibung der Art des Verstoßes gegen den Schutz personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der Anzahl der betroffenen Personen sowie der Kategorien und der Anzahl der betroffenen Datensätze
b) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes sowie gegebenenfalls Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen
6.2 Der Auftragnehmer hat unverzüglich die erforderlichen Maßnahmen zu ergreifen, um die Daten zu sichern und mögliche nachteilige Folgen für die betroffenen Parteien zu mindern, den Auftraggeber darüber zu informieren und weitere Anweisungen einzuholen.
6.3 Darüber hinaus ist der Auftragnehmer verpflichtet, den Auftraggeber jederzeit zu informieren, soweit dessen Daten von einem Verstoß gemäß Ziffer 6.1 betroffen sind.
6.4 Sind die Daten des Auftraggebers beim Auftragnehmer durch Beschlagnahme oder Einziehung, durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet, hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren, sofern dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. In diesem Zusammenhang hat der Auftragnehmer alle zuständigen Behörden unverzüglich darüber zu informieren, dass die Entscheidungsbefugnis über die Daten ausschließlich beim Auftraggeber als Verantwortlichem liegt.
6.5 Der Auftragnehmer hat den Auftraggeber unverzüglich über jede wesentliche Änderung der Sicherheitsmaßnahmen gemäß Ziffer 5.2 zu informieren.
6.6 Der Auftraggeber ist unverzüglich über jede Änderung in der Person des Datenschutzbeauftragten bzw. der Kontaktperson für den Datenschutz zu informieren.
6.7 Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis der im Auftrag des Auftraggebers durchgeführten Verarbeitungsvorgänge, das alle nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben enthält. Das Verzeichnis ist dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
6.8 Der Auftragnehmer hat bei der Erstellung des Verzeichnisses der Verarbeitungsvorgänge durch den Auftraggeber in angemessenem Umfang mitzuwirken. Der Auftragnehmer hat dem Auftraggeber die erforderlichen Informationen in geeigneter Form zur Verfügung zu stellen.
7.1 Der Auftraggeber hat das Recht, jederzeit im erforderlichen Umfang zu überprüfen, ob der Auftragnehmer die gesetzlichen Datenschutzbestimmungen und/oder die zwischen den Parteien vereinbarten vertraglichen Bestimmungen einhält und/oder ob der Auftragnehmer die Anweisungen des Auftraggebers befolgt. Der Auftragnehmer ist berechtigt, die Einhaltung der in dieser Datenverarbeitungsvereinbarung festgelegten Verpflichtungen durch geeignete Mittel, einschließlich Selbstkontrollen, Zertifikate usw., nachzuweisen.
7.2 Der Auftragnehmer ist verpflichtet, dem Auftraggeber Auskünfte zu erteilen, soweit dies zur Durchführung der in Absatz 1 genannten Überprüfung erforderlich ist.
7.3 Falls im Einzelfall erforderlich, kann der Auftraggeber eine Überprüfung der vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie der verwendeten Datenverarbeitungssysteme und -programme verlangen.
7.4 Nach vorheriger Ankündigung und unter Einhaltung einer angemessenen Frist kann der Auftraggeber die Überprüfung im Sinne von Absatz 1 in den Räumlichkeiten des Auftragnehmers während der üblichen Geschäftszeiten durchführen. Dabei hat der Auftraggeber sicherzustellen, dass die Überprüfungen nur in dem Umfang durchgeführt werden, der erforderlich ist, um den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig zu stören. Die Parteien gehen davon aus, dass eine Überprüfung höchstens einmal jährlich erforderlich ist. Weitere Überprüfungen sind vom Auftraggeber unter Angabe des Grundes zu begründen. Bei Vor-Ort-Kontrollen erstattet der Auftraggeber dem Auftragnehmer die entstandenen Aufwendungen, einschließlich Personalkosten, für die Beaufsichtigung und Begleitung der Prüfer vor Ort in angemessenem Umfang. Die Grundlagen für die Kostenberechnung werden dem Auftraggeber vom Auftragnehmer vor Durchführung der Überprüfung mitgeteilt. Der Auftragnehmer kann die Kontrollen von einer vorherigen Ankündigung mit angemessener Vorlaufzeit sowie von der Unterzeichnung einer Vertraulichkeitsvereinbarung abhängig machen. Steht der vom Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragnehmer, hat der Auftragnehmer ein Widerspruchsrecht.
7.5 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstelle einer Vor-Ort-Prüfung auch durch die Vorlage eines geeigneten, aktuellen Prüfzertifikats, von Berichten oder Berichtsauszügen unabhängiger Stellen (z. B. Auditoren, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzprüfer oder Qualitätsprüfer) oder durch eine geeignete Zertifizierung erbracht werden, sofern der Prüfbericht es dem Auftraggeber ermöglicht, sich in angemessener Weise davon zu überzeugen, dass die technischen und organisatorischen Maßnahmen gemäß Anhang 2 dieser Datenverarbeitungsvereinbarung eingehalten werden. Hat der Auftraggeber begründete Zweifel an der Eignung des Prüfdokuments im Sinne von Satz 1, kann der Auftraggeber eine Vor-Ort-Prüfung durchführen. Dem Auftraggeber ist bekannt, dass eine Vor-Ort-Prüfung in Rechenzentren nicht oder nur in begründeten Ausnahmefällen möglich ist.
7.6 Im Falle von Maßnahmen der Aufsichtsbehörde gegen den Auftraggeber im Sinne von Art. 58 DSGVO, insbesondere hinsichtlich der Informations- und Kontrollpflichten, ist der Auftragnehmer verpflichtet, dem Auftraggeber die erforderlichen Informationen zur Verfügung zu stellen und der jeweils zuständigen Aufsichtsbehörde die Durchführung einer Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist vom Auftragnehmer über entsprechende geplante Maßnahmen zu informieren.
7.7 Der Auftragnehmer hat dem Auftraggeber auf Verlangen die Verpflichtung der Mitarbeiter gemäß Ziffer 5.3 nachzuweisen.
8.1 Der Auftragnehmer ist berechtigt, zur Verarbeitung der Daten des Auftraggebers Unterauftragnehmer einzusetzen. Der Auftragnehmer hat die Unterauftragnehmer sorgfältig auszuwählen und vor Erteilung des Auftrags zu prüfen, ob diese die zwischen dem Auftraggeber und dem Auftragnehmer getroffenen Vereinbarungen einhalten können. Insbesondere hat der Auftragnehmer im Voraus und regelmäßig während der Vertragslaufzeit zu prüfen, ob der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
8.2 Der Auftraggeber erklärt sich damit einverstanden, dass der Auftragnehmer bei Bedarf weitere Unterauftragnehmer einsetzt oder Unterauftragnehmer ersetzt. Der Auftragnehmer hat den Auftraggeber über solche Änderungen innerhalb einer angemessenen Frist im Voraus in elektronischer Form zu informieren. Der Auftraggeber kann der Änderung aus triftigem Grund innerhalb einer angemessenen Frist widersprechen, die der Auftragnehmer nach seinem angemessenen Ermessen festlegt. Wird innerhalb dieser Frist kein Widerspruch eingelegt, gilt die Zustimmung zur Änderung als erteilt.
8.3 Der Auftragnehmer ist verpflichtet, sich vom Auftragsverarbeiter bestätigen zu lassen, dass dieser einen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat, sofern der Auftragsverarbeiter gesetzlich zur Benennung eines Datenschutzbeauftragten verpflichtet ist.
8.4 Der Auftragnehmer hat sicherzustellen, dass die in dieser Datenverarbeitungsvereinbarung vereinbarten Bestimmungen sowie etwaige ergänzende Anweisungen des Auftraggebers auch für den Unterauftragnehmer gelten.
8.5 Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Bestimmungen sicherzustellen, dass die Prüfungsrechte des Auftraggebers und der Aufsichtsbehörden auch für den Unterauftragnehmer gelten und dass entsprechende Kontrollrechte zwischen dem Auftraggeber und den Aufsichtsbehörden vereinbart werden. Darüber hinaus ist vertraglich festzulegen, dass der Unterauftragnehmer diese Kontrollmaßnahmen sowie etwaige Vor-Ort-Kontrollen zu dulden hat.
8.6 Unterauftragsverhältnisse im Sinne der Absätze 1 bis 5 gelten nicht als Dienstleistungen, die der Auftragnehmer von Dritten als rein nebensächliche Dienstleistung zur Ausübung seiner Geschäftstätigkeit in Anspruch nimmt. Dazu gehören beispielsweise Reinigungsdienste, reine Telekommunikationsdienste ohne konkreten Bezug zu den vom Auftragnehmer für den Auftraggeber erbrachten Dienstleistungen, Post- und Kurierdienste, Transportdienste sowie Sicherheitsdienste. Der Auftragnehmer ist jedoch verpflichtet, auch bei von Dritten erbrachten Nebendienstleistungen sicherzustellen, dass angemessene Vorkehrungen sowie technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. Die Wartung und Instandhaltung von IT-Systemen oder Anwendungen stellt ein Unterauftragsverhältnis und eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar, die einer Genehmigung bedarf, wenn die Wartung und das Testen solche IT-Systeme betreffen, die auch im Zusammenhang mit der Erbringung von Dienstleistungen für den Auftraggeber genutzt werden, und wenn während der Wartung auf im Auftrag des Auftraggebers verarbeitete personenbezogene Daten zugegriffen werden kann.
8.7 Der Auftraggeber nimmt zur Kenntnis und erklärt sich damit einverstanden, dass der Auftragnehmer die Daten des Auftraggebers an seine Unterauftragsverarbeiter, nämlich OpenAI LLC, 3180 18th St, San Francisco, Kalifornien, 94110, USA (generative KI-Analysefunktionen), und Deepgram, Inc., San Francisco, Kalifornien, USA (Transkription von Audio- und Videoaufzeichnungen) und/oder an andere KI-Anbieter übermitteln und verarbeiten darf. Der Auftragnehmer hat sicherzustellen, dass solche Übermittlungen in Übereinstimmung mit dem geltenden Datenschutzrecht und dieser Datenverarbeitungsvereinbarung erfolgen. Insbesondere hat der Auftragnehmer Standardvertragsklauseln gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO oder andere geeignete Garantien (wie verbindliche Unternehmensregeln gemäß Artikel 47 DSGVO) zu vereinbaren. Ist ein Unterauftragsverarbeiter im Rahmen einer Angemessenheitsentscheidung gemäß Artikel 45 DSGVO zertifiziert, wie beispielsweise das EU-US-Datenschutz-Framework, kann die Übermittlung auch auf dieser Angemessenheitsentscheidung beruhen; die Standardvertragsklauseln bleiben als Ausweichgarantie bestehen.
9.1 Der Auftraggeber ist allein für die Wahrung der Rechte der betroffenen Personen verantwortlich. Der Auftragnehmer unterstützt den Auftraggeber so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Auftraggebers gemäß Art. 12–22 sowie 32 und 36 DSGVO.
9.2 Macht eine betroffene Person Rechte, wie beispielsweise das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten, direkt gegenüber dem Auftragnehmer geltend, reagiert der Auftragnehmer nicht eigenständig, sondern verweist die betroffene Person unverzüglich an den Auftraggeber und wartet auf dessen Anweisungen.
10.1 Beide Parteien verpflichten sich, alle im Zusammenhang mit der Durchführung dieser Datenverarbeitungsvereinbarung erhaltenen Informationen auf unbestimmte Zeit vertraulich zu behandeln und sie ausschließlich zur Durchführung dieser Datenverarbeitungsvereinbarung und/oder des Hauptvertrags zu verwenden. Keine der Parteien ist berechtigt, diese Informationen ganz oder teilweise für andere als die eben genannten Zwecke zu nutzen oder sie Dritten zugänglich zu machen.
10.2 Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweislich von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die allgemein bekannt sind.
Nach Beendigung des Hauptvertrags oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer alle ihm zur Verfügung gestellten Unterlagen, Daten und Datenträger an den Auftraggeber zurückzugeben oder – auf Verlangen des Auftraggebers, sofern keine Verpflichtung zur Speicherung personenbezogener Daten nach Unionsrecht oder dem Recht der Bundesrepublik Deutschland besteht – zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren und auf Verlangen nachzuweisen.
12.1 Die Parteien sind sich darüber einig, dass die Geltendmachung eines Zurückbehaltungsrechts durch den Auftragnehmer im Sinne von § 273 BGB hinsichtlich der zu verarbeitenden Daten und der dazugehörigen Datenträger ausgeschlossen ist.
12.2 Änderungen und Ergänzungen dieses Auftragsverarbeitungsvertrags und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form (Textform) erfolgen kann – sowie des ausdrücklichen Hinweises, dass es sich um eine Änderung bzw. Ergänzung dieses Auftragsverarbeitungsvertrags handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
12.3 Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.
12.4 Diese Vereinbarung unterliegt deutschem Recht.
Anhänge:
Anhang 1: Beschreibung der Datenverarbeitung
Anhang 2: Technische und organisatorische Maßnahmen
Anhang 1: Beschreibung der Datenverarbeitung
Umfang und Zweck der Verarbeitung
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Dienstleistungen:
Bereitstellung der Datenanalyseplattform des Auftragnehmers als SaaS, Dienstleistungen im Bereich der künstlichen Intelligenz, einschließlich KI-gestützter Analysefunktionen (automatisierte Kodierung, Zusammenfassungen, dialogbasierte Dokumentenanalyse) sowie KI-gestützte Transkription von Audio- und Videoaufzeichnungen
Art(en) der personenbezogenen Daten
Die folgenden Datenarten sind regelmäßig Gegenstand der Datenverarbeitung:
Daten, die der Auftraggeber mithilfe der Datenanalyseplattform des Auftragnehmers analysiert oder verarbeitet und deren Art der Auftraggeber nach eigenem Ermessen festlegt; dazu können beispielsweise insbesondere Daten zu Einrichtungen und Projekten des Auftraggebers, zu Testpersonen, Patienten und anderen Teilnehmern sowie betroffenen Personen im Rahmen wissenschaftlicher Studien und Forschungsprojekte gehören. Vom Auftraggeber zum Zwecke der Transkription hochgeladene Sprach- und Videoaufzeichnungen sowie die daraus erstellten Transkripte; die Verarbeitung von Sprachaufzeichnungen beschränkt sich auf die Transkription, und es erfolgt keine Sprecheridentifizierung und keine biometrische Analyse im Sinne von Art. 4 Nr. 14, Art. 9 Abs. 1 DSGVO.
Datenkategorien
Von der Datenverarbeitung betroffene Daten:
Datenkategorien, die der Auftraggeber mithilfe der Datenanalyseplattform des Auftragnehmers analysiert oder verarbeitet und deren Kategorien der Auftraggeber nach eigenem Ermessen festlegt und zu denen beispielsweise die folgenden Datenkategorien gehören können: Vor- und Nachname, Kontaktdaten, medizinische Daten, genetische Daten, biometrische Daten, sonstige besondere Kategorien personenbezogener Daten, Daten zu Lebensgewohnheiten und sonstigen Umständen, Informationen aus Befragungen, Kundenfeedback und Verhaltensdaten.
Kategorien betroffener Personen
Von der Datenverarbeitung betroffene Personen:
Testpersonen, Patienten, Forschungsteilnehmer oder Befragte, Mitarbeiter, sonstige Teilnehmer und betroffene Personen an Studien oder Forschungsprojekten, jede natürliche Person in vom Auftraggeber analysierten Inhalten.
Anhang 2: Technische und organisatorische Maßnahmen
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
a. Zugangskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:
b. Zugangskontrolle
Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
c. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
d. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
a. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Eine Weitergabe personenbezogener Daten im Auftrag von Kunden darf jeweils nur in dem Umfang erfolgen, wie dies mit dem Kunden abgestimmt wurde oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
b. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder gelöscht wurden:
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
a. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind:
b. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei Verlust oder Störung unverzüglich wiederhergestellt werden können:
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO;
Art. 25 Abs. 1 DSGVO)
a. Datenschutzmanagement
Bei ATLAS.ti ist ein Datenschutzmanagementsystem (DSMS) implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit sowie Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird. Alle Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit bewertet und angepasst.
Es wurde ein Datenschutz- und Informationssicherheitsteam (DST) eingerichtet, das Maßnahmen im Bereich Datenschutz und Datensicherheit plant, umsetzt, bewertet und Anpassungen vornimmt.
Es wurde ein betrieblicher Datenschutzbeauftragter benannt. Alle Mitarbeiter werden regelmäßig im Bereich Datenschutz geschult.
b. Incident-Response-Management
Alle Mitarbeiter sind dahingehend unterwiesen und geschult, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird dafür gesorgt, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.
c. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Bei ATLAS.ti wird bereits bei der Entwicklung der Software darauf geachtet, dass dem Grundsatz der Erforderlichkeit und der Datenminimierung Rechnung getragen wird.
d. Kontrolle der Auftragsverarbeiter
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: