Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen dem Auftraggeber und der Sapericus GmbH, Roßhaldeweg 8, 79100 Freiburg, vertreten durch Marc Kaltenhäuser ("Sapericus" oder "Auftragnehmer"), abgeschlossen.

Dieser AVV regelt die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der von Sapericus bereitgestellten Dienste durch den Auftraggeber. Er gilt unabhängig davon, ob zwischen den Parteien eine gesonderte Leistungsvereinbarung besteht, und wird mit Akzeptanz durch den Auftraggeber unmittelbar wirksam.

1. Definitionen

Soweit nicht in diesem AVV abweichend definiert, haben die nachfolgenden Begriffe die folgende Bedeutung:

"Anwendbares Datenschutzrecht" bezeichnet alle anwendbaren Gesetze und Verordnungen zum Schutz personenbezogener Daten, insbesondere die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, "DSGVO") und das Bundesdatenschutzgesetz (BDSG).

"Auftraggeber" bezeichnet den Vertragspartner von Sapericus, der Dienste von Sapericus nutzt und der als Verantwortlicher im Sinne der DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

"Personenbezogene Daten" bezeichnet im Rahmen dieses AVV die Organisations- und Kontodaten gemäß Anlage A, Abschnitt 4, die Sapericus als Auftragsverarbeiter im Auftrag des Auftraggebers verarbeitet. Vertrauliche Inhaltsdaten, die Sapericus als eigenständiger Verantwortlicher verarbeitet (Abschnitt 2.4), sind hiervon nicht erfasst.

"Unterauftragsverarbeiter" bezeichnet jeden Dritten, den Sapericus mit der Verarbeitung personenbezogener Daten im Rahmen dieses AVV beauftragt.

"Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.

"Weisungen" bezeichnet die dokumentierten Anweisungen des Auftraggebers an Sapericus bezüglich der Verarbeitung personenbezogener Daten.

2. Gegenstand und Rolle der Parteien

2.1 Soweit Sapericus im Rahmen der Erbringung ihrer Dienste personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, erfolgt diese Verarbeitung nach Maßgabe dieses AVV und Art. 28 DSGVO.

2.2 Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO, soweit er Zwecke und Mittel der Verarbeitung festlegt. Sapericus verarbeitet personenbezogene Daten insoweit als Auftragsverarbeiter ausschließlich im Auftrag des Auftraggebers.

2.3 Die Einzelheiten der Verarbeitung, insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten sowie Kategorien betroffener Personen, ergeben sich aus Anlage A (Beschreibung der Verarbeitung).

2.4 Nicht alle Verarbeitungen im Zusammenhang mit den Diensten von Sapericus erfolgen im Auftrag des Auftraggebers. Insbesondere die vertraulichen Inhaltsdaten der Nutzer (Text-, Sprach-, Audio- und Dialogeingaben innerhalb der Anwendung) werden von Sapericus als eigenständigem Verantwortlichen verarbeitet und sind nicht Gegenstand dieses AVV. Die Gründe für diese Abgrenzung sind in Anlage D (Rollenabgrenzung) dargestellt.

2.5 Der Auftraggeber hat keinen Zugriff auf die vertraulichen Inhaltsdaten der Nutzer. Sapericus stellt dem Auftraggeber ausschließlich die in Anlage A beschriebenen Organisations- und Kontodaten sowie aggregierte Nutzungsstatistiken zur Verfügung.

2.6 Sapericus verwendet die vom Auftraggeber oder dessen freigegebenen Personen eingegebenen Inhalte nicht zum Training von KI-Modellen und nicht zur inhaltsbezogenen Produktverbesserung (siehe auch Abschnitt 12). Diese Zusage gilt unabhängig von der datenschutzrechtlichen Rolle von Sapericus.

3. Weisungen

3.1 Sapericus verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern Sapericus nicht durch Unionsrecht oder das Recht eines Mitgliedstaates zu einer abweichenden Verarbeitung verpflichtet ist.

3.2 Die Weisungen des Auftraggebers werden anfänglich durch diesen AVV und seine Anlagen festgelegt und können anschließend vom Auftraggeber schriftlich oder in Textform (z. B. E-Mail an privacy@sapericus.ai) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mindestens Textform).

3.3 Weisungen, die über den in diesem AVV und seinen Anlagen festgelegten Rahmen hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

3.4 Weisungsberechtigt sind ausschließlich die vom Auftraggeber benannten Ansprechpartner.

3.5 Hält Sapericus eine Weisung für rechtswidrig, wird Sapericus den Auftraggeber hierauf unverzüglich hinweisen. Sapericus ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Anpassung auszusetzen, soweit dies zur Vermeidung rechtswidriger Verarbeitung erforderlich ist.

4. Vertraulichkeit und Personal

4.1 Sapericus stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.2 Sapericus beschränkt den Zugriff auf personenbezogene Daten auf solche Personen, für die der Zugriff zur Erfüllung der vertraglichen Leistungen erforderlich ist.

5. Sicherheit der Verarbeitung

5.1 Sapericus implementiert und unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

5.2 Die von Sapericus umgesetzten technischen und organisatorischen Maßnahmen ergeben sich aus Anlage B (Technische und organisatorische Maßnahmen).

5.3 Sapericus ist berechtigt, die technischen und organisatorischen Maßnahmen von Zeit zu Zeit zu aktualisieren oder zu ersetzen, sofern das Gesamtschutzniveau der vereinbarten Maßnahmen nicht wesentlich abgesenkt wird.

6. Unterstützung des Auftraggebers

6.1 Sapericus unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der Sapericus zur Verfügung stehenden Informationen in angemessenem Umfang bei der Erfüllung der gesetzlichen Pflichten des Auftraggebers nach der DSGVO, insbesondere bei:

• a) der Beantwortung von Anträgen betroffener Personen,
• b) Datenschutz-Folgenabschätzungen und Konsultationen von Aufsichtsbehörden, soweit erforderlich, und
• c) der Einhaltung von Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten.

6.2 Soweit die Unterstützung über das übliche Maß hinausgeht, kann Sapericus den hierdurch entstehenden Aufwand nach dem üblichen Aufwandssatz abrechnen.

7. Meldung von Datenschutzverletzungen

7.1 Sapericus informiert den Auftraggeber unverzüglich, nachdem Sapericus eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die die von diesem AVV erfasste Verarbeitung betrifft.

7.2 Die Mitteilung enthält, soweit verfügbar:

• eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze),
• die wahrscheinlichen Folgen der Verletzung,
• die bereits ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

8. Unterauftragsverarbeiter

8.1 Der Auftraggeber erteilt Sapericus eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

8.2 Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage C (Unterauftragsverarbeiter).

8.3 Sapericus wird den Auftraggeber über die beabsichtigte Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters mindestens 14 Kalendertage vor deren Wirksamwerden in Textform informieren.

8.4 Der Auftraggeber kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Erfolgt ein berechtigter Widerspruch und können die Parteien keine zumutbare Lösung finden, ist jede Partei berechtigt, die hiervon betroffenen Leistungen in Textform zu kündigen.

8.5 Sapericus wird mit jedem Unterauftragsverarbeiter einen Vertrag schließen, der diesem im Wesentlichen solche Datenschutzpflichten auferlegt, die den in diesem AVV geregelten Pflichten entsprechen, soweit dies für die ausgelagerte Verarbeitung erforderlich ist.

8.6 Sapericus bleibt für die Einhaltung der datenschutzrechtlichen Pflichten des Unterauftragsverarbeiters nach Maßgabe von Art. 28 Abs. 4 DSGVO verantwortlich. Eine darüberhinausgehende verschuldensunabhängige Garantie wird nicht übernommen.

9. Drittlandtransfers

9.1 Die Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt.

9.2 Jede Übermittlung personenbezogener Daten in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere durch einen Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften oder einen genehmigten Zertifizierungsmechanismus.

9.3 Sapericus teilt dem Auftraggeber vorab mit, um welche(n) Drittstaat(en) es sich handelt und auf welche Weise das angemessene Schutzniveau im Sinne von Art. 44 ff. DSGVO für die Verarbeitung dort sichergestellt ist.

10. Nachweise und Audits

10.1 Auf schriftliches Verlangen des Auftraggebers stellt Sapericus diejenigen Informationen und Unterlagen in angemessenem Umfang zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, soweit dem keine Vertraulichkeits-, Sicherheits- oder Geschäftsgeheimnisinteressen entgegenstehen.

10.2 Der Auftraggeber hat vorrangig das Recht auf eine Dokumentenprüfung. Der Nachweis der Einhaltung kann wahlweise erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, eine Zertifizierung nach einem genehmigten Verfahren gemäß Art. 42 DSGVO, aktuelle Testate oder Berichte unabhängiger Instanzen, oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. ISO 27001, ISO 27018, ISO 27701).

10.3 Nur soweit der Auftraggeber durch die Dokumentenprüfung vernünftigerweise nicht ausreichend in die Lage versetzt wird, die Einhaltung dieses AVV zu prüfen, kann der Auftraggeber höchstens einmal pro Kalenderjahr eine Vor-Ort-Prüfung verlangen.

10.4 Eine Vor-Ort-Prüfung setzt voraus, dass:

• a) sie mit mindestens 90 Kalendertagen schriftlich angekündigt wird,
• b) sie durch einen fachkundigen, unabhängigen und zur Vertraulichkeit verpflichteten Prüfer durchgeführt wird,
• c) der Prüfer kein unmittelbarer oder mittelbarer Wettbewerber von Sapericus ist,
• d) sie während der üblichen Geschäftszeiten erfolgt,
• e) sie den Geschäftsbetrieb von Sapericus nicht unangemessen beeinträchtigt, und
• f) sie sich auf Informationen und personenbezogene Daten beschränkt, die den Auftraggeber betreffen.

10.5 Penetrationstests, Vulnerability-Scans, Lasttests oder sonstige aktive technische Prüfungen gegen Produktivsysteme von Sapericus oder seiner Unterauftragsverarbeiter sind nur mit vorheriger ausdrücklicher Zustimmung von Sapericus in Textform und nach gesonderter Abstimmung zulässig. Ein Anspruch auf Durchführung solcher Tests besteht im Rahmen dieses AVV nicht.

10.6 Die Kosten von Audits und Prüfungen trägt grundsätzlich der Auftraggeber, es sei denn, ein Audit weist einen erheblichen, von Sapericus zu vertretenden Verstoß gegen diesen AVV nach.

11. Löschung und Rückgabe

11.1 Nach Beendigung der von diesem AVV erfassten Verarbeitung löscht Sapericus sämtliche im Auftrag verarbeiteten personenbezogenen Daten des Auftraggebers nach Maßgabe dieses Abschnitts, sofern der Auftraggeber nicht zuvor in Textform die Rückgabe der Daten in einem gängigen, maschinenlesbaren Format verlangt.

11.2 Der Auftraggeber kann seine Wahl zwischen Löschung und Rückgabe bis spätestens zum Ende der vertraglichen Leistungserbringung in Textform gegenüber Sapericus erklären. Erfolgt keine Erklärung, werden die Daten gelöscht.

11.3 Daten in Live-Systemen werden grundsätzlich innerhalb von 30 Tagen nach Rückgabe bzw. nach Beendigung der betreffenden Leistungen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht oder technisch zwingende Aufbewahrung entgegensteht.

11.4 Daten in Sicherungskopien werden nicht gesondert wiederhergestellt, sondern im Rahmen der regulären Backup-Rotation endgültig gelöscht oder überschrieben; dies erfolgt spätestens innerhalb von 6 Monaten nach Löschung der Live-Daten.

11.5 Sapericus bestätigt dem Auftraggeber die Löschung auf Verlangen in Textform.

11.6 Dieser Abschnitt gilt ausschließlich für die von diesem AVV erfassten Organisations- und Kontodaten. Für vertrauliche Inhaltsdaten der Nutzer gelten die Löschregelungen der Datenschutzhinweise von Sapericus.

12. Nicht-Nutzung zu Trainingszwecken

12.1 Sapericus verwendet weder die von diesem AVV erfassten Organisations- und Kontodaten noch die in eigener Verantwortlichkeit verarbeiteten vertraulichen Inhaltsdaten der Nutzer zum Training, Fine-Tuning oder zur sonstigen Weiterentwicklung eigener oder fremder KI-Modelle.

12.2 Ebenso werden diese Daten nicht zur inhaltsbezogenen Produktverbesserung herangezogen. Diese Zusage gilt sowohl für Verarbeitungen im Rahmen dieses AVV als auch für Verarbeitungen in eigener Verantwortlichkeit gemäß Abschnitt 2.4.

13. Vertraulichkeit von Kundendaten und Behördenanfragen

13.1 Sapericus wird personenbezogene Daten des Auftraggebers nicht an Dritte weitergeben oder offenlegen, es sei denn, dies ist zur Erbringung der vertraglichen Leistungen, zur Erfüllung der Pflichten nach diesem AVV oder aufgrund einer gesetzlichen Verpflichtung erforderlich.

13.2 Wird Sapericus durch eine Behörde oder ein Gericht zur Herausgabe personenbezogener Daten des Auftraggebers aufgefordert, wird Sapericus die Behörde nach Möglichkeit an den Auftraggeber verweisen und den Auftraggeber unverzüglich informieren, soweit dies rechtlich zulässig ist. Ist Sapericus zur Offenlegung verpflichtet, wird Sapericus dem Auftraggeber angemessene Gelegenheit geben, Rechtsschutz zu suchen, sofern Sapericus nicht durch Gesetz oder behördliche Anordnung an der Benachrichtigung gehindert ist.

14. Änderungen an Anlagen

14.1 Sapericus kann die Anlage A (Beschreibung der Verarbeitung), die Anlage B (TOMs) sowie die Anlage C (Unterauftragsverarbeiter) von Zeit zu Zeit aktualisieren, um neue Produkte, Funktionen, Funktionalitäten, Unterauftragsverarbeiter oder betriebliche Änderungen abzubilden, sofern das Schutzniveau für personenbezogene Daten unter diesem AVV nicht wesentlich abgesenkt wird.

14.2 Soweit eine Änderung nach Abschnitt 14.1 die Rechte des Auftraggebers wesentlich berührt, wird Sapericus den Auftraggeber vor Wirksamwerden der Änderung in Textform informieren.

14.3 Der Auftraggeber kann einer solchen Änderung innerhalb von 14 Kalendertagen nach Zugang der Mitteilung aus angemessenen datenschutzrechtlichen Gründen in Textform widersprechen. Erfolgt ein berechtigter Widerspruch und können die Parteien keine zumutbare Lösung finden, ist jede Partei berechtigt, die von der Änderung betroffenen Leistungen in Textform zu kündigen.

15. Laufzeit und Beendigung

15.1 Dieser AVV tritt mit Akzeptanz durch den Auftraggeber oder anderweitigem wirksamen Abschluss in Kraft und gilt für die Dauer der von ihm erfassten Verarbeitung.

15.2 Dieser AVV endet automatisch mit vollständiger Beendigung der von ihm erfassten Verarbeitung, sofern nicht gesetzliche oder in diesem AVV ausdrücklich geregelte Pflichten über das Ende hinaus fortgelten.

15.3 Jede Partei kann diesen AVV aus wichtigem Grund in Textform kündigen, wenn die andere Partei erheblich gegen datenschutzrechtliche Pflichten aus diesem AVV verstößt und den Verstoß nicht innerhalb angemessener Frist abstellt.

16. Haftung

16.1 Die Haftung der Parteien richtet sich nach den anwendbaren gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.

16.2 Im Innenverhältnis haftet jede Partei für Verstöße, die sie selbst oder in ihrem Verantwortungs- und Einflussbereich zu vertreten hat.

16.3 Soweit Sapericus Unterauftragsverarbeiter einsetzt, richtet sich die Verantwortlichkeit von Sapericus insoweit nach Art. 28 Abs. 4 DSGVO sowie den sonstigen zwingenden gesetzlichen Vorschriften. Eine darüberhinausgehende Garantiehaftung wird nicht übernommen.

17. Schlussbestimmungen

17.1 Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform. Dies gilt auch für die Änderung dieses Formerfordernisses.

17.2 Dieser AVV kann elektronisch abgeschlossen werden. Die Akzeptanz über das hierfür vorgesehene Akzeptanzformular auf legal.sapericus.ai stellt einen wirksamen elektronischen Vertragsschluss in Textform dar.

17.3 Soweit zwischen den Parteien eine gesonderte Leistungsvereinbarung besteht, bleibt diese unberührt. Dieser AVV geht im Fall von Widersprüchen in datenschutzrechtlichen Belangen vor.

17.4 Es gilt deutsches Recht. Ist der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand Freiburg im Breisgau.

17.5 Die Anlagen (Anlage A, Anlage B, Anlage C, Anlage D) sind integraler Bestandteil dieses AVV und unter legal.sapericus.ai abrufbar.