BranchenLösungenVorteileÜber Uns KI-Beratung buchen

Ergänzende Bedingungen zur Auftragsverarbeitung

KI-gestützter Leadgenerierung

Auftraggeber im Sinne dieses Vertrages ist der im Hauptvertrag genannte Kunde. Der Auftragnehmer ist die NL Business Accelerator LLC, 1209 Mountain Road PI Ne Ste N, Albuquerque, New Mexico 87110 USA. Diese werden nachfolgend als „die Parteien" bezeichnet.

Präambel:

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verpflichtungen der Vertragsparteien im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. Dieser AVV findet Anwendung auf alle Tätigkeiten, die mit dem Dienstleistungsvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer Beauftragte (»Unterauftragnehmer«) personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten. In diesem AVV verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutzgrundverordnung (»DSGVO«) zu verstehen.

1 Gegenstand und Dauer des Auftrags

1.1 Der Auftrag umfasst Folgendes:

Verarbeitung von personenbezogenen Daten im Zuge der Bereitstellung KI-gestützter Leadgenerierung.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.

1.2 Diese Vereinbarung beginnt und endet automatisch mit dem Hauptvertrag (Ziffer 1.1), sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Pflichten oder Kündigungsrechte ergeben.

2 Verarbeitungsrahmen

2.1 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten wie folgt und zu folgendem Zweck:

Das Erheben, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, den Abgleich, das Löschen oder die Vernichtung von personenbezogenen Daten im Rahmen des Betriebs und Hosting von KI-Agenten, die personenbezogene Daten des Auftraggebers enthalten können, der Durchführung einer Dubletten-Analyse sowie Kontaktaufnahme im Namen des Auftraggebers durch die KI.

2.2 Art der personenbezogenen Daten und Kategorien betroffener Personen

Die Art der Daten und die Kategorien betroffener Personen, die Gegenstand dieser Vereinbarung sind, sind in Anlage 1 definiert: Art der Daten und Kategorien betroffener Personen.

3 Technische und organisatorische Maßnahmen

3.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren.

3.2 Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c) und Art. 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen und zu gewährleisten. Insgesamt handelt es sich bei den dabei zu treffenden technischen und organisatorischen Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

3.3 Die Einzelheiten der technischen und organisatorischen Maßnahmen (TOMs) des Auftragnehmers sind in einem separaten Dokument geregelt, dass auf Nachfrage zur Verfügung gestellt werden kann.

3.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4 Ort der Verarbeitung

4.1 Die Verarbeitung der Daten findet vorrangig in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Daten in einen anderen Staat (sogenanntes „Drittland") darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

4.2 Die NL Business Accelerator LLC hat ihren Sitz außerhalb der Europäischen Union. Gemäß Art. 27 DSGVO hat sie daher einen Vertreter in der Europäischen Union benannt. Dieser fungiert als Ansprechpartner für Aufsichtsbehörden sowie für betroffene Personen in allen datenschutzrechtlichen Angelegenheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten. Der EU-Vertreter einschließlich dessen Kontaktdaten ist in den AGB unter §13 Nr. 4 benannt.

4.3 Die Parteien unterwerfen sich den Standardvertragsklauseln der EU-Kommission vom 4. Juni 2021 für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und vereinbaren folgendes:

  • Der Auftraggeber gilt als „Datenexporteur" und NL Business Accelerator LLC als „Datenimporteur".
  • Modul 2 (Verantwortlicher gegenüber Auftragsverarbeiter) findet Anwendung, da NL Business Accelerator als Auftragsverarbeiter agiert. Im Einzelnen bedeutet dies:
    • Klausel 7 findet keine Anwendung.
    • In Klausel 9 gilt Option 2, eine vorherige Ankündigung im Falle eines Wechsels bei Unterauftragsverarbeitern hat innerhalb von vier Wochen zu erfolgen.
    • In Klausel 11 findet die optionale Formulierung keine Anwendung.
    • In Klausel 17 gilt Option 2, und die EU-SCC unterliegen deutschem Recht.
    • In Klausel 18(b) werden Streitigkeiten vor den Gerichten Deutschlands beigelegt.
    • Die Anhänge der EU-SCCs sind wie folgt ausgefüllt:
      • Die für Anhang I (A) (B) erforderlichen Informationen sind in dieser Vereinbarung enthalten.
      • Die zuständige Aufsichtsbehörde in Anhang I (C) wird gemäß dem geltenden Datenschutzgesetz bestimmt.
      • Die Informationen für Anhang II sind in einem separaten Dokument enthalten.

5 Weisungsbefugnis des Auftraggebers

5.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur im Rahmen der getroffenen Vereinbarungen bzw. nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Im Bezug auf den konkreten Vertragsgegenstand bedeutet dies, dass die Kundendaten nicht zu eigenen Zwecken, insbesondere zu Trainingszwecken unser KI-Agenten oder internen Vertriebszwecken, genutzt werden.

5.2 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften (Art. 28 Abs. 3 S. 3 DSGVO)

6 Rechte und Pflichten des Auftragnehmers

6.1 Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags auch gegenüber dem Auftraggeber die gesetzlichen Pflichten gemäß den Art. 28 bis 33 DSGVO zu erfüllen. Insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben und ist zu folgenden Maßnahmen verpflichtet:

a) Die Wahrung der Vertraulichkeit gemäß den Art. 28 Abs. 3 S. 2 lit. b), 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

b) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß den Art. 28 Abs. 3 S. 2 lit. c), 32 DSGVO.

c) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

d) Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Umsetzung der Betroffenenrechte nach Art. 28 Abs. 3 lit.e DSGVO.

e) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

f) Der Auftragnehmer weist die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber nach Ziffer 9 dieses Vertrages und die Erledigung aller Pflichten gem. Zi. 7 dieses Vertrags nach.

7 Unterauftragsverhältnisse

7.1 Hinsichtlich der Beauftragung von Unterauftragnehmern vereinbaren die Parteien Folgendes:

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, Unterauftragnehmer einzusetzen. Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (gem. Art. 28 Abs. 2 S. 2 DSGVO).

7.2 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

7.3 Der Auftragnehmer hat den Unterauftragnehmer schriftlich in gleichem Umfang zu verpflichten, wie er selbst aufgrund dieses Vertrags gegenüber dem Auftraggeber verpflichtet ist.

7.4 Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers gem. Art. 28 Abs. 4 DSGVO.

7.5 Der Auftragnehmer wird sich vor Beauftragung von der Einhaltung der beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen.

7.6 Sofern eine Einbeziehung von Unterauftragnehmern in Drittländern erfolgen soll, stellt der Auftragnehmer sicher, dass beim jeweiligen Unterauftragnehmer ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO gewährleistet ist. Der Unterauftragnehmer hat einen Vertreter in der EU zu bestellen.

7.7 Der Auftraggeber stimmt hiermit der Begründung der Unterauftragsverhältnisse zu.

8 Kontrollrechte des Auftraggebers

8.1 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann.

8.2 Der Auftragnehmer wird im Rahmen der Prüfung alle erforderlichen Informationen und Auskünfte erteilen, Unterlagen vorlegen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachweisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:

  • Die Einhaltung genehmigter Verhaltensregeln, gem. Art. 40 DSGVO
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

8.3 Der Auftraggeber darf nach rechtzeitiger Abstimmung, zu den üblichen Geschäftszeiten, die technischen und organisatorischen Maßnahmen des Auftragnehmers zur Einhaltung dieser Vereinbarung prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

8.4 Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

9 Unterstützungspflichten des Auftragnehmers

9.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten zum Schutz personenbezogener Daten. Hierzu gehören unter anderem:

a) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

b) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen

c) die Unterstützung des Auftraggebers bei dessen Datenschutz-Folgenabschätzung

d) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

10 Löschung und Rückgabe von personenbezogenen Daten

10.1 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.

10.2 Das Protokoll der Löschung ist auf Anforderung vorzulegen. Die gesetzlichen Aufbewahrungspflichten bleiben unberührt.

11 Gesetzliche Haftung

11.1 Die Parteien haften gegenüber betroffenen Personen gemäß Art. 82 DSGVO für Schäden, die durch eine nicht der Datenschutz-Grundverordnung entsprechende Verarbeitung personenbezogener Daten verursacht wurden.

11.2 Im Falle einer Inanspruchnahme einer Partei durch eine betroffene Person oder eine Aufsichtsbehörde richtet sich der interne Ausgleich zwischen den Parteien nach Art. 82 Abs. 5 DSGVO.

11.3 Die weitergehende Haftungsverteilung sowie etwaige Freistellungs- und Regressansprüche im Innenverhältnis zwischen Auftraggeber und Auftragnehmer bleiben unberührt und richten sich ergänzend nach den jeweils geltenden Allgemeinen Geschäftsbedingungen des Auftragnehmers.

12 Schlussbestimmungen

12.1 Für diese Vereinbarung gilt deutsches Recht.

12.2 Bei Widersprüchen zwischen den „Ergänzenden Bedingungen zur Auftragsverarbeitung KI-gestützter Leadgenerierung" und den sonstigen vertraglichen Bestimmungen sind die „Ergänzenden Bedingungen zur Auftragsverarbeitung KI-gestützter Leadgenerierung" maßgebend.

12.3 Sollte eine Vertragsbestimmung unwirksam sein oder werden, so berührt dies die Gültigkeit des übrigen Vertragsinhalts nicht. Die Vertragsparteien werden sich bemühen, in einem solchen Fall eine in ihrem wirtschaftlichen Ergebnis dem jetzigen Sinn entsprechende Lösung zu finden. Dies gilt auch, wenn bei Durchführung des Vertrags eine ergänzungsbedürftige Lücke offenbar wird.

12.4 Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

12.5 Anlagen zu diesem Vertrag sind:

Anlage 1: Art der Daten und Kategorien betroffener Personen

Anlage 1

Art der Daten und Kategorien betroffener Personen

1. Art der Daten

Folgende Datenarten sind Gegenstand dieses Auftrags:

  • ☒ Personenstammdaten (z. B. Name, Adresse)
  • ☒ Kommunikationsdaten (z. B. Telefon, E-Mail)
  • ☒ Telekommunikationsverbindungsdaten
  • ☒ Passwörter
  • ☒ Zugangsdaten
  • ☒ Sonstige, und zwar Lead- und Interaktionsdaten;

2. Kategorien betroffener Personen

Folgende Kreise von Betroffenen sind Gegenstand des Auftrags:

  • ☒ Kunden
  • ☒ Interessenten

3. Häufigkeit der Übermittlung: Kontinuierlich.

4. Art der Verarbeitung: Erheben, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, den Abgleich, das Löschen oder die Vernichtung von personenbezogenen Daten

5. Zwecke der Verarbeitung: NL Business Accelerator LLC verarbeitet Kundendaten als Auftragsverarbeiter gemäß 2.1.

6. Dauer der Verarbeitung

NL Business Accelerator LLC verarbeitet personenbezogene Daten des Kunden für die Dauer der Vereinbarung gemäß § 10.

7. Weitergabe an Unterauftragsverarbeiter: NL Business Accelerator LLC hat für die Erbringung der Dienstleistung bestimmte Subunternehmer beauftragt. Diese werden nach den Vorgaben des § 7 beauftragt.

Technische und organisatorische Maßnahmen des Auftragnehmers

Die entsprechenden technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO des Auftragsverarbeiters sowie die eingesetzten Unterauftragnehmer sind in einem separaten Dokument beschrieben. Dieses können Kunden der NL Business Accelerator LLC nach Auftragserteilung unter info@scalenova-ai.de anfragen.