zwischen
[Firma / Name Auftraggeber]
[Anschrift]
[PLZ Ort]
[E-Mail]
[Vertreten durch]
- nachfolgend „Auftraggeber” oder „Verantwortlicher” -
und
DIGITAL CONCIERGE SOLUTIONS GmbH
Arnulfstr. 61
80636 München
Deutschland
E-Mail: info@conciergebeauty.de
vertreten durch die Geschäftsführer Emre Cilesiz und Burak Aydogdu
- nachfolgend „Auftragnehmer” oder „Auftragsverarbeiter” -
gemeinsam auch „Parteien”.
1 Gegenstand der Vereinbarung
Gegenstand dieser Vereinbarung sind die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung und Nutzung der Plattform ConciergeBeauty sowie der hiermit verbundenen Leistungen.
Diese Vereinbarung konkretisiert die datenschutzrechtlichen Anforderungen an eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO. Sie findet auf alle Tätigkeiten Anwendung, die mit der Erbringung der vertraglich vereinbarten Leistungen in Zusammenhang stehen und bei denen der Auftragnehmer, seine Beschäftigten oder durch ihn eingesetzte weitere Auftragsverarbeiter mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen, für ihn erhoben werden oder in seinem Auftrag verarbeitet werden.
Soweit der Auftragnehmer personenbezogene Daten nicht ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers verarbeitet, sondern hinsichtlich einzelner Verarbeitungsvorgänge selbst Verantwortlicher ist, finden insoweit nicht die Regelungen dieser Vereinbarung, sondern die jeweils einschlägigen datenschutzrechtlichen und vertraglichen Bestimmungen Anwendung.
Im Fall von Widersprüchen zwischen dieser Vereinbarung und sonstigen vertraglichen Regelungen der Parteien gehen die Bestimmungen dieser Vereinbarung vor, soweit die Verarbeitung personenbezogener Daten im Rahmen einer Auftragsverarbeitung betroffen ist.
2 Laufzeit der Vereinbarung
Diese Vereinbarung tritt mit Unterzeichnung durch beide Parteien in Kraft. Sie gilt für die Dauer des zwischen den Parteien bestehenden Hauptvertrags über die Nutzung von ConciergeBeauty.
Mit Beendigung des Hauptvertrags endet auch diese Vereinbarung, sofern sich aus gesetzlichen Vorschriften oder aus einzelnen Bestimmungen dieser Vereinbarung nicht etwas anderes ergibt. Verpflichtungen zur Vertraulichkeit, zur datenschutzgerechten Löschung, zur Rückgabe von Daten sowie zur Aufbewahrung von Nachweisdokumentationen bleiben hiervon unberührt.
3 Gegenstand, Art und Zweck der Verarbeitung
Der Auftragnehmer erbringt für den Auftraggeber im Rahmen von ConciergeBeauty insbesondere Leistungen aus den Bereichen Bereitstellung und Betrieb einer Software-as-a-Service-Plattform, Nutzer- und Rechteverwaltung, Kundenverwaltung, CRM, Termin- und Buchungsmanagement, Kommunikationsabwicklung über angebundene Kanäle, Hosting, Speicherung, Datensicherung, Support, Monitoring, Fehleranalyse, technische Administration und Systemwartung.
Je nach gebuchter Produktkonfiguration kann die Leistung ferner optionale Funktionen im Bereich WhatsApp, Messenger, E-Mail, Voice, Telefonie, Transkription, Medienverarbeitung sowie KI-gestützte Unterstützungsfunktionen umfassen. Die Verarbeitung erfolgt ausschließlich zu dem Zweck, die zwischen den Parteien vereinbarten Leistungen technisch, organisatorisch und funktional zu erbringen.
Die konkrete Ausgestaltung von Art, Umfang und Tiefe der Verarbeitung richtet sich nach dem Hauptvertrag, der jeweils gewählten Produkt- und Funktionskonfiguration, den vom Auftraggeber vorgenommenen Einstellungen innerhalb der Plattform, den dokumentierten Weisungen des Auftraggebers sowie den Anhängen zu dieser Vereinbarung.
4 Kategorien personenbezogener Daten und betroffener Personen
Die Kategorien der verarbeiteten personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anhang 1 zu dieser Vereinbarung.
Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO vorgesehen. Insbesondere ist die Verarbeitung von Gesundheitsdaten, Angaben zu Allergien, Unverträglichkeiten, Hautzuständen, Vorbehandlungen, Kontraindikationen oder vergleichbaren körper- oder gesundheitsbezogenen Informationen nicht Gegenstand der vertraglich vereinbarten Leistung.
Der Auftraggeber verpflichtet sich, keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO über die Plattform zu erfassen, zu übermitteln oder sonst verarbeiten zu lassen, sofern dies nicht zuvor ausdrücklich gesondert vereinbart wurde und hierfür eine geeignete gesetzliche Grundlage oder wirksame Einwilligung besteht.
Der Auftraggeber sichert zu, dass für die Übermittlung und Verarbeitung der von ihm veranlassten personenbezogenen Daten eine geeignete datenschutzrechtliche Rechtsgrundlage besteht.
5 Weisungen des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Als dokumentierte Weisungen gelten insbesondere der Hauptvertrag, die vom Auftraggeber gebuchten Leistungen und Funktionen, die durch den Auftraggeber vorgenommenen Einstellungen und Konfigurationen innerhalb der Plattform sowie sonstige Weisungen in Textform, etwa per E-Mail, Supportnachricht, Ticket-System oder innerhalb dokumentierter Administrationsoberflächen.
Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Solange eine solche Bestätigung nicht vorliegt, ist der Auftragnehmer berechtigt, die Ausführung der Weisung auszusetzen.
Hält der Auftragnehmer eine Weisung des Auftraggebers für rechtswidrig, wird er den Auftraggeber hierauf unverzüglich hinweisen. Bis zur Bestätigung oder Änderung der Weisung ist der Auftragnehmer berechtigt, die betreffende Verarbeitung auszusetzen.
Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, gelten als Antrag auf Leistungsänderung und können gesondert vergütet werden, sofern der Auftraggeber hierüber zuvor transparent informiert wurde.
6 Pflichten des Auftraggebers
Der Auftraggeber ist im Rahmen dieser Vereinbarung Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, soweit im Einzelfall nicht ausdrücklich etwas anderes vereinbart wurde.
Dem Auftraggeber obliegt insbesondere die Verantwortung für die Rechtmäßigkeit der Verarbeitung, das Vorliegen einer ausreichenden Rechtsgrundlage, die Zulässigkeit der Datenübermittlung an den Auftragnehmer, die Erfüllung von Informationspflichten gegenüber betroffenen Personen, die Wahrung der Betroffenenrechte sowie - soweit erforderlich - die wirksame Einholung datenschutzrechtlicher Einwilligungen.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er bei der Durchführung der Auftragsverarbeitung Fehler, Unregelmäßigkeiten oder datenschutzrechtlich relevante Risiken feststellt.
Soweit der Auftraggeber selbst als Auftragsverarbeiter für einen Dritten tätig ist, sichert er zu, zur Einschaltung des Auftragnehmers als weiteren Auftragsverarbeiter und zur Erteilung entsprechender Weisungen berechtigt zu sein.
7 Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarung, des Hauptvertrags und der dokumentierten Weisungen des Auftraggebers.
Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, nur im Rahmen ihrer jeweiligen Berechtigung auf personenbezogene Daten zugreifen und in angemessener Weise für Datenschutz- und Sicherheitsanforderungen sensibilisiert oder geschult werden.
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen ergeben sich aus Anhang 3. Art. 32 DSGVO nennt dabei insbesondere Maßnahmen zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie zur Wiederherstellbarkeit und regelmäßigen Evaluierung der Schutzmaßnahmen.
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung von Betroffenenrechten sowie bei den Pflichten nach Art. 32 bis 36 DSGVO. Diese Unterstützungsleistungen gehören zu den typischen Pflichtinhalten einer AVV nach Art. 28 Abs. 3 DSGVO.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er eine Weisung für rechtswidrig hält, eine Verletzung des Schutzes personenbezogener Daten eingetreten ist, aufsichtsbehördliche Maßnahmen die Auftragsverarbeitung betreffen oder sonstige erhebliche datenschutzrelevante Störungen auftreten.
Der Auftragnehmer führt ein Verzeichnis der Kategorien von Verarbeitungstätigkeiten, die er im Auftrag des Auftraggebers durchführt.
Eine Nutzung der im Rahmen der Auftragsverarbeitung verarbeiteten Inhalte für eigene Zwecke, ein Verkauf personenbezogener Daten oder eine eigenmächtige Weitergabe an Dritte erfolgen nicht. Eine Nutzung solcher Daten oder Inhalte zum allgemeinen Training externer KI-Modelle findet nicht statt, es sei denn, eine solche Nutzung ist gesondert vereinbart, datenschutzrechtlich zulässig und auf eine eigenständige Rechtsgrundlage gestützt.
KI-generierte Inhalte oder automatisierte Ausgaben können fehlerhaft oder unvollständig sein und ersetzen keine eigenverantwortliche Prüfung durch den Auftraggeber oder die jeweils nutzungsberechtigten Nutzer.
Ein Zurückbehaltungsrecht an personenbezogenen Daten des Auftraggebers wird ausgeschlossen.
8 Vertraulichkeit
Der Auftragnehmer ist verpflichtet, sämtliche im Rahmen des Auftrags erlangten personenbezogenen Daten sowie sonstige vertrauliche Informationen streng vertraulich zu behandeln. Diese Verpflichtung besteht auch über die Beendigung dieser Vereinbarung hinaus fort.
Soweit im Einzelfall besondere Geheimnisschutzpflichten bestehen, stellt der Auftragnehmer sicher, dass die eingesetzten Personen entsprechend verpflichtet, belehrt oder gesetzlich gebunden sind.
9 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten.
Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind in Anhang 3 beschrieben und bilden die Grundlage dieser Vereinbarung.
Der Auftragnehmer ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln, anzupassen oder durch gleichwertige beziehungsweise höherwertige Maßnahmen zu ersetzen, sofern das vertraglich geschuldete Schutzniveau hierdurch nicht unterschritten wird.
Wesentliche Änderungen, die das Schutzniveau relevant betreffen, wird der Auftragnehmer dem Auftraggeber auf Anfrage oder bei besonderer Bedeutung mitteilen.
10 Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch zu bearbeiten.
Geht beim Auftragnehmer ein entsprechender Antrag ein, wird er diesen unverzüglich an den Auftraggeber weiterleiten, soweit eine Zuordnung möglich ist.
Ohne Weisung des Auftraggebers wird der Auftragnehmer gegenüber betroffenen Personen grundsätzlich keine eigenständigen inhaltlichen Erklärungen abgeben, soweit er hierzu nicht gesetzlich verpflichtet ist.
11 Meldung von Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich über jede Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Auftragsverarbeitung.
Die Mitteilung enthält, soweit im jeweiligen Zeitpunkt möglich, eine Beschreibung der Art der Verletzung, die betroffenen Datenkategorien und Personengruppen, die bekannten oder wahrscheinlichen Folgen, die bereits ergriffenen oder vorgeschlagenen Gegenmaßnahmen sowie vorhandene Kontaktinformationen für Rückfragen.
Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
12 Datenschutz-Folgenabschätzung und behördliche Anfragen
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei Datenschutz-Folgenabschätzungen und etwaigen vorherigen Konsultationen von Aufsichtsbehörden nach Art. 35 und 36 DSGVO.
Erhält der Auftragnehmer Anfragen von Aufsichtsbehörden oder sonstigen Stellen, die sich konkret auf Daten des Auftraggebers beziehen, wird er den Auftraggeber hierüber unverzüglich informieren, sofern ihm dies rechtlich gestattet ist.
13 Unterauftragsverarbeiter
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Erfüllung der vertraglich geschuldeten Leistungen einzusetzen.
Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter ergeben sich aus Anhang 2. Der Auftragnehmer informiert den Auftraggeber in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann einer solchen Änderung innerhalb von 14 Kalendertagen ab Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen.
Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Änderung als genehmigt. Im Fall eines berechtigten Widerspruchs werden die Parteien versuchen, eine wirtschaftlich und technisch zumutbare Lösung zu finden. Ist dies nicht möglich und kann der Auftragnehmer die betreffende Leistung ohne den vorgesehenen Unterauftragsverarbeiter nicht oder nicht zumutbar erbringen, ist der Auftragnehmer berechtigt, die betroffene Leistung mit angemessener Frist außerordentlich zu kündigen.
Der Auftragnehmer wird mit jedem Unterauftragsverarbeiter eine Vereinbarung abschließen, die diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt, wie sie in dieser Vereinbarung vorgesehen sind. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Einhaltung der datenschutzrechtlichen Verpflichtungen des Unterauftragsverarbeiters verantwortlich.
14 Drittlandübermittlungen
Eine Verarbeitung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn und soweit der Auftraggeber dies veranlasst oder genehmigt hat, die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind und ein angemessenes Datenschutzniveau sichergestellt ist. Art. 28-AVV und Drittlandtransfers müssen zusammenpassen; ein Unterauftragsverarbeiter außerhalb EU/EWR darf nicht ohne geeignete Transfergrundlage eingebunden werden.
Soweit Übermittlungen in Drittländer stattfinden, informiert der Auftragnehmer den Auftraggeber über die jeweilige datenschutzrechtliche Transfergrundlage, insbesondere über Angemessenheitsbeschlüsse, Standardvertragsklauseln oder sonstige geeignete Garantien.
Soweit externe KI-, Speech-, Hosting- oder Kommunikationsdienstleister eingesetzt werden, informiert der Auftragnehmer auf Anfrage über die jeweils relevanten Verarbeitungsorte sowie die eingesetzten datenschutzrechtlichen Transfermechanismen.
15 Kontrollrechte und Nachweise
Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung sowie der gesetzlichen Anforderungen an die Auftragsverarbeitung zu kontrollieren oder durch sachkundige, zur Vertraulichkeit verpflichtete Dritte kontrollieren zu lassen, sofern diese nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen.
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen. Art. 28 Abs. 3 DSGVO verlangt ausdrücklich, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung stellt und Überprüfungen ermöglicht.
Der Auftragnehmer ist berechtigt, den Nachweis der Einhaltung seiner datenschutzrechtlichen Pflichten vorrangig durch geeignete Unterlagen zu erbringen, insbesondere durch Zertifikate, Auditberichte, Testate, strukturierte Selbstauskünfte, TOM-Dokumentationen oder sonstige geeignete Sicherheits- und Datenschutzunterlagen.
Vor-Ort-Audits finden grundsätzlich nur nach angemessener Vorankündigung, zu üblichen Geschäftszeiten und unter angemessener Rücksichtnahme auf Betriebsabläufe, Sicherheitsinteressen und Geschäftsgeheimnisse des Auftragnehmers sowie anderer Kunden statt.
Soweit ein Audit nicht auf einen konkreten Verdacht eines erheblichen Datenschutzverstoßes zurückzuführen ist, trägt jede Partei ihre eigenen Kosten selbst. Außergewöhnliche Zusatzaufwände des Auftragnehmers für umfangreiche Sonderprüfungen können gesondert vergütet werden, sofern dies vorab transparent angekündigt und angemessen ist.
16 Löschung, Rückgabe und Vertragsende
Nach Beendigung dieser Vereinbarung wird der Auftragnehmer nach Wahl des Auftraggebers sämtliche personenbezogenen Daten, die im Zusammenhang mit der Auftragsverarbeitung verarbeitet wurden, entweder löschen oder an den Auftraggeber herausgeben, soweit keine gesetzliche Verpflichtung zur weiteren Speicherung besteht. Diese Pflicht gehört zu den gesetzlich vorgesehenen Mindestinhalten einer AVV.
Gesetzliche Aufbewahrungspflichten des Auftragnehmers bleiben unberührt. Soweit eine sofortige Löschung deshalb nicht zulässig ist, werden die betreffenden Daten gesperrt und ausschließlich zu den gesetzlich vorgeschriebenen Zwecken weiterverarbeitet.
Sicherheitskopien und redundante Sicherungen werden im Rahmen der üblichen Backup- und Löschzyklen überschrieben oder gelöscht, soweit eine sofortige Einzellöschung technisch nicht möglich oder nur mit unverhältnismäßigem Aufwand möglich ist und keine weitere produktive Verarbeitung stattfindet.
Protokolldaten werden grundsätzlich für maximal 90 Tage gespeichert, sofern keine längere Speicherung gesetzlich erforderlich oder zur Sicherheitsanalyse notwendig ist.
Der Auftragnehmer bestätigt dem Auftraggeber auf Verlangen die erfolgte Löschung oder Rückgabe in Textform.
Dokumentationen, die dem Nachweis einer ordnungsgemäßen Verarbeitung dienen, darf der Auftragnehmer über das Vertragsende hinaus aufbewahren, soweit dies gesetzlich erforderlich oder zu seiner Entlastung angemessen notwendig ist.
17 Ansprechpartner und Datenschutzkontakt
Die Parteien benennen sich auf Anfrage geeignete Ansprechpartner für Datenschutz- und Sicherheitsfragen.
Soweit gesetzlich erforderlich, teilt der Auftragnehmer dem Auftraggeber die Kontaktdaten seines Datenschutzbeauftragten oder seiner datenschutzrechtlichen Ansprechperson mit. Änderungen der Ansprechpartner oder Kontaktdaten werden der jeweils anderen Partei in Textform mitgeteilt.
18 Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere nach Art. 82 DSGVO. Vertragliche Haftungsregelungen des Hauptvertrags bleiben unberührt, soweit sie nicht zwingendem Datenschutzrecht widersprechen.
19 Schlussbestimmungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen mindestens der Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist.
Es gilt das Recht der Bundesrepublik Deutschland, soweit nicht zwingende gesetzliche Vorschriften etwas anderes bestimmen.
Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.
Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame oder undurchführbare Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen und rechtlichen Zweck der ursprünglichen Regelung möglichst nahekommt. Gleiches gilt für etwaige Regelungslücken.
Anhang 1 - Einzelheiten der Auftragsverarbeitung
1 Gegenstand der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der Plattform ConciergeBeauty als Software-as-a-Service-Lösung für die digitale Organisation, Kommunikation und Verwaltung betrieblicher Abläufe des Auftraggebers. Die Plattform kann je nach gebuchter Produktkonfiguration insbesondere Funktionen für Kundenverwaltung, Terminmanagement, interne Nutzerverwaltung, Kommunikation über verschiedene Kanäle, Datei- und Medienverwaltung sowie unterstützende Automatisierungs-, Voice-, Transkriptions- und KI-Funktionen umfassen.
Die konkrete Verarbeitung richtet sich nach dem vom Auftraggeber gebuchten Leistungsumfang, der von ihm vorgenommenen Konfiguration der Plattform, den aktivierten Modulen, den angebundenen Kommunikationskanälen sowie den dokumentierten Weisungen des Auftraggebers.
2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der zwischen den Parteien vereinbarten Leistungen. Hierzu gehören insbesondere die technische Bereitstellung der Plattform, die Verwaltung von Nutzer- und Kundendaten, die Organisation von Terminen und Buchungen, die Abwicklung von Kommunikationsvorgängen, die technische Verarbeitung von Nachrichten-, Sprach- oder Mediendaten, die Bereitstellung interner Verwaltungs- und Supportfunktionen sowie die Sicherstellung von Betrieb, Stabilität, Sicherheit und Wartung der Plattform.
Die Art der Verarbeitung umfasst - jeweils soweit für die Leistungserbringung erforderlich - insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten personenbezogener Daten.
3 Kategorien betroffener Personen
Von der Verarbeitung können je nach Nutzung und Konfiguration der Plattform insbesondere folgende Personengruppen betroffen sein:
- Mitarbeiter, Nutzer und sonstige autorisierte Personen des Auftraggebers
- Kunden und Endkunden des Auftraggebers
- Interessenten des Auftraggebers
- Kommunikationspartner des Auftraggebers
- Anrufer sowie Nutzer von Chat-, Messenger-, WhatsApp-, E-Mail- oder vergleichbaren Kommunikationskanälen
- sonstige Personen, deren Daten im Rahmen der Nutzung der Plattform durch den Auftraggeber verarbeitet werden
4 Kategorien personenbezogener Daten
Je nach Nutzung und konkreter Konfiguration der Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
- Stammdaten, insbesondere Name, Vorname, ggf. Anrede, Kundennummer oder interne Kennungen
- Kontaktdaten, insbesondere Telefonnummer, E-Mail-Adresse, Anschrift oder sonstige Kommunikationsdaten
- Termin-, Buchungs- und Kalenderdaten
- Kommunikationsdaten und Kommunikationsinhalte, insbesondere Nachrichten, Gesprächsinhalte, Chatverläufe, E-Mail-Inhalte, Zustell- und Verlaufsdaten
- Rollen-, Berechtigungs- und Nutzerdaten
- Vertrags-, Abrechnungs- und Zahlungsreferenzdaten
- technische Protokoll-, Nutzungs-, Geräte-, Verbindungs- und Systemdaten
- Datei-, Bild-, Audio-, Medien- und Metadaten
- Sprach-, Transkriptions- und gegebenenfalls zusammenfassende Verarbeitungsdaten im Rahmen aktivierter Voice- oder KI-Funktionen
Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sind nicht Gegenstand der vertraglich vorgesehenen Verarbeitung. Die Plattform ist insbesondere nicht für die Verarbeitung von Gesundheitsdaten, Angaben zu Allergien, Unverträglichkeiten, Hautzuständen, Vorbehandlungen, Kontraindikationen oder vergleichbaren körper- oder gesundheitsbezogenen Informationen bestimmt.
Der Auftraggeber ist verpflichtet, seine Nutzer entsprechend anzuweisen und sicherzustellen, dass solche Daten nicht über die Plattform eingegeben, übermittelt oder verarbeitet werden, sofern dies nicht zuvor ausdrücklich gesondert vereinbart wurde und hierfür eine geeignete gesetzliche Grundlage oder wirksame Einwilligung besteht.
5 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Hauptvertrags sowie darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten bestehen, eine fortgeltende Weisung des Auftraggebers vorliegt oder dies für die ordnungsgemäße Abwicklung und Beendigung des Vertragsverhältnisses erforderlich ist.
Im Übrigen richtet sich die Dauer der Speicherung nach den vertraglichen Vereinbarungen, der konkreten Nutzung der Plattform, den Weisungen des Auftraggebers sowie den in der AVV und den TOM geregelten Lösch- und Rückgabeprozessen.
6 Weisungsberechtigte Personen des Auftraggebers
Weisungsberechtigt sind die vom Auftraggeber gegenüber dem Auftragnehmer benannten Personen.
Sofern keine gesonderte Benennung erfolgt, gelten die vom Auftraggeber im Rahmen des Vertragsschlusses, der laufenden Vertragsverwaltung oder der Plattformadministration eingesetzten vertretungsberechtigten oder administrativ autorisierten Personen als weisungsberechtigt.
7 Weisungsempfänger beim Auftragnehmer
Weisungen des Auftraggebers werden durch die vom Auftragnehmer benannten zuständigen Ansprechpartner entgegengenommen.
Anhang 2 - Unterauftragsverarbeiter
Die nachfolgend aufgeführten Unterauftragsverarbeiter werden vom Auftragnehmer im Rahmen der Leistungserbringung eingesetzt bzw. können - je nach gebuchter Produktkonfiguration und aktivierten Funktionen - eingesetzt werden.
| Nr. | Name / Firma | Anschrift | Beschreibung der Leistung | Ort der Verarbeitung | Art der verarbeiteten Daten |
|---|---|---|---|---|---|
| 1 | Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Hosting und technische Infrastruktur | Deutschland / EU | Sämtliche im Rahmen des Hostings verarbeiteten Daten gemäß Anhang 1 |
| 2 | Cloudflare Germany GmbH / Cloudflare, Inc. | Rosenheimer Straße 143C, 8. OG, 81671 München, Deutschland / 101 Townsend Street, San Francisco, CA 94107, USA | Bereitstellung von Objekt- und Dateispeicherleistungen über Cloudflare R2 | EU und ggf. Drittland | Dateien, Bilder, Medieninhalte, sonstige gespeicherte Inhalte, zugehörige Metadaten sowie technische Verbindungs- und Protokolldaten |
| 3 | Stripe Payments Europe, Limited | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland | Zahlungsabwicklung | EWR und ggf. weitere Verarbeitungsorte | Rechnungs-, Zahlungs- und Transaktionsdaten |
| 4 | Microsoft Ireland Operations Limited | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Speech-to-Text, LLM, Text-to-Speech | EU-US DPF / EU SCC | Sprachdaten, Audiodaten, Transkripte, Texteingaben, generierte Text- und Sprachausgaben, Kommunikationsinhalte sowie zugehörige Metadaten |
| 5 | Meta Platforms Ireland Limited | Merrion Road, Dublin 4, D04 X2K5, Irland | Messenger- und WhatsApp-Anbindung | EU/EWR und ggf. Drittland | Kommunikations-, Zustell-, Medien- und Kanaldaten |
| 6 | Twilio Ireland Limited | 25-28 North Wall Quay, Dublin 1, D01 H104, Ireland | Telefonie | EU-US DPF / Twilio BCR / EU SCC | Telefonnummern und Verbindungsdaten |
| 7 | Soniox Inc. | 1045 Helm Ln, Foster City, CA 94404, United States | Speech-to-Text | Verarbeitung von Audio- und Transkriptionsdaten in der EU | Sprachdaten, Audiodaten, Transkripte sowie zugehörige Metadaten |
| 8 | AssemblyAI, Inc. | 169 Madison Ave STE 38365, New York, NY 10016, United States | Speech-to-Text | EU-US DPF | Sprachdaten, Audiodaten, Transkripte sowie zugehörige Metadaten |
| 9 | Brevo GmbH | Köpenicker Str. 126, 10179 Berlin, Deutschland | Versand transaktionaler E-Mails / E-Mail-Infrastruktur | Deutschland / EU | E-Mail-Adressen, Namen, E-Mail-Inhalte, Versand- und Zustellinformationen sowie zugehörige Kommunikations- und Metadaten |
Anhang 3 - Technische und organisatorische Maßnahmen (TOM)
zum Datenschutz und zur Datensicherheit
Die nachfolgenden technischen und organisatorischen Maßnahmen dienen der Gewährleistung eines dem Risiko angemessenen Schutzniveaus im Sinne des Art. 32 DSGVO. Bei der Auswahl und Umsetzung der Maßnahmen berücksichtigt der Auftragnehmer insbesondere den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten betroffener Personen.
Die Maßnahmen beziehen sich auf die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung und des Betriebs der Plattform ConciergeBeauty sowie der damit zusammenhängenden Leistungen. Der Auftragnehmer ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln und an den technischen Fortschritt sowie an geänderte Gefährdungslagen anzupassen, sofern das vertraglich geschuldete Schutzniveau nicht unterschritten wird.
1 Vertraulichkeit
Maßnahmen, um Unbefugten den Zugang zu Daten und Systemen zu verwehren und eine unberechtigte Nutzung personenbezogener Daten zu verhindern.
1.1 Zutrittskontrolle
Die physischen Zugänge zu den IT-Systemen, Serverstandorten und sonstigen Datenspeicherorten des Auftragnehmers sind gegen unbefugten Zutritt abgesichert. Soweit der Auftragnehmer externe Hosting- und Infrastrukturdienstleister einsetzt, erfolgt der Betrieb ausschließlich in professionellen Rechenzentrumsumgebungen mit geeigneten physischen Schutzmaßnahmen. Hierzu gehören insbesondere geregelte Zutrittskontrollen, mehrstufige Zugangssicherungen, Überwachung der sensiblen Infrastrukturzonen sowie technische und organisatorische Vorkehrungen gegen unbefugtes Eindringen.
Die internen Büro- und Arbeitsbereiche des Auftragnehmers werden ebenfalls durch geeignete organisatorische und technische Maßnahmen geschützt. Der Zutritt zu Geschäftsräumen und sonstigen internen Bereichen ist grundsätzlich nur befugten Personen gestattet. Schlüssel, Zugangsmittel und Berechtigungen werden kontrolliert vergeben, dokumentiert und bei Bedarf unverzüglich entzogen oder geändert. Besucher erhalten nur im erforderlichen Umfang Zugang und werden, soweit angezeigt, nur in Begleitung autorisierter Personen eingelassen.
Soweit Mitarbeiter im Homeoffice oder mobil tätig werden, gelten ergänzende organisatorische Vorgaben, um auch außerhalb betrieblicher Räumlichkeiten ein angemessenes Schutzniveau sicherzustellen. Hierzu zählen insbesondere Anforderungen an eine geschützte Arbeitsumgebung, den Schutz vor Einsichtnahme durch Dritte sowie den sicheren Umgang mit Endgeräten und Zugangsdaten.
1.2 Zugangskontrolle
Der Auftragnehmer setzt technische und organisatorische Maßnahmen ein, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Der Zugriff auf interne Systeme, Anwendungen und Verwaltungsoberflächen erfolgt ausschließlich über personalisierte Benutzerkonten. Gemeinschafts- oder anonyme Standardzugänge werden für die Verarbeitung personenbezogener Daten nicht verwendet.
Für die Authentifizierung gelten verbindliche Sicherheitsanforderungen. Zugangsdaten werden nur nach geregelten Verfahren vergeben, geändert und entzogen. Nicht mehr benötigte Zugänge werden unverzüglich deaktiviert. Für besonders sensible oder privilegierte Zugänge, insbesondere für administrative Konten, werden zusätzliche Schutzmechanismen eingesetzt, etwa durch den Einsatz von Mehr-Faktor-Authentifizierung oder vergleichbaren erhöhten Sicherheitsmaßnahmen. Sitzungen können zeitlich begrenzt oder bei Inaktivität automatisch beendet werden, um ungewollte Dauersitzungen zu vermeiden.
Administratorische Zugriffe auf kritische Systemkomponenten sind auf einen eng begrenzten Personenkreis beschränkt. Solche Zugriffe unterliegen erhöhten Schutzanforderungen und werden organisatorisch besonders kontrolliert.
Mobile Endgeräte und Arbeitsplätze, die für den Zugriff auf produktive Systeme verwendet werden, unterliegen angemessenen Sicherheitsanforderungen, insbesondere hinsichtlich Zugriffsschutz, Gerätesicherheit und Softwareaktualität.
1.3 Zugriffskontrolle
Es ist sichergestellt, dass berechtigte Personen ausschließlich auf diejenigen personenbezogenen Daten zugreifen können, die ihrer jeweiligen Rolle, Aufgabe und Berechtigung unterliegen. Zu diesem Zweck ist ein rollen- und berechtigungsbasiertes Zugriffskonzept implementiert, das sich an den Grundsätzen des Need-to-know- und Least-Privilege-Prinzips orientiert.
Zugriffsrechte werden nur in dem Umfang vergeben, wie sie für die jeweilige Tätigkeit erforderlich sind. Die Vergabe, Änderung und Entziehung von Berechtigungen erfolgt nach festgelegten Prozessen, insbesondere im Rahmen von Onboarding, Rollenwechsel und Offboarding. Bei Ausscheiden von Mitarbeitern oder Dienstleistern werden Zugänge, Berechtigungen und Zugriffsmöglichkeiten unverzüglich überprüft, entzogen oder angepasst.
Berechtigungen und Rollenmodelle werden in angemessenen regelmäßigen Intervallen sowie anlassbezogen überprüft und bei Bedarf angepasst.
Administrations- und Supportzugriffe sind auf besonders befugte Personen beschränkt und erfolgen ausschließlich im erforderlichen Umfang sowie unter Beachtung des Grundsatzes der Datenminimierung. Soweit technisch vorgesehen, werden sicherheitsrelevante oder administrative Zugriffe protokolliert. Die Anzeige sensibler Inhalte innerhalb der Plattform wird auf die jeweils erforderlichen Nutzer und Rollen begrenzt. Alle mit der Verarbeitung befassten Personen sind auf Vertraulichkeit verpflichtet und dürfen personenbezogene Daten nur im Rahmen ihrer jeweiligen Zuständigkeit und Weisung verarbeiten.
1.4 Trennungskontrolle
Die Verarbeitung personenbezogener Daten unterschiedlicher Auftraggeber erfolgt strikt getrennt. Die Plattform ist mandantenfähig ausgestaltet, wobei eine logische Trennung der Datenbestände verschiedener Kunden auf Anwendungs- und Datenebene sichergestellt wird. Technische und organisatorische Maßnahmen stellen sicher, dass ein unbefugter Zugriff zwischen unterschiedlichen Mandanten oder Kundenbereichen verhindert wird. Daten eines Auftraggebers sind ausschließlich diesem zugeordnet und für andere Auftraggeber nicht einsehbar.
Auch innerhalb der Systemlandschaft wird auf eine Trennung unterschiedlicher Verarbeitungsumgebungen geachtet. Produktiv-, Test-, Entwicklungs- und Staging-Systeme sind organisatorisch und technisch voneinander getrennt. Produktive Echtdaten werden in nicht-produktiven Umgebungen grundsätzlich nicht verwendet oder nur dann eingesetzt, wenn hierfür geeignete Schutzmaßnahmen wie Anonymisierung oder Pseudonymisierung vorgesehen sind.
Maßnahmen zur logischen Trennung von Mandanten und Datenbereichen werden regelmäßig überprüft und bei Bedarf technisch validiert.
Durch diese Trennungsmaßnahmen wird sichergestellt, dass Daten weder mandantenübergreifend noch zweckwidrig verarbeitet werden.
1.5 Pseudonymisierung und Verschlüsselung
Soweit dies nach Art und Zweck der Verarbeitung möglich und angemessen ist, werden personenbezogene Daten pseudonymisiert oder in anderer Weise so verarbeitet, dass die Identifizierbarkeit betroffener Personen reduziert wird. Beispielsweise können in Protokollen, internen Auswertungen oder Supportzusammenhängen anstelle unmittelbar identifizierender Angaben interne Kennungen oder reduzierte Datensätze verwendet werden, sofern dies mit dem jeweiligen Zweck vereinbar ist.
Zum Schutz der Vertraulichkeit und Integrität personenbezogener Daten setzt der Auftragnehmer angemessene Verschlüsselungsverfahren ein. Die Übertragung personenbezogener Daten erfolgt über gesicherte Kommunikationsverbindungen nach dem Stand der Technik. Soweit technisch vorgesehen und angemessen, werden gespeicherte Daten, Speicherbereiche oder Datensicherungen ebenfalls verschlüsselt oder durch vergleichbare Schutzmaßnahmen abgesichert.
Kryptographische Schlüssel, Schlüsselmaterial und sicherheitsrelevante Zugangsinformationen werden getrennt von produktiven Daten verwaltet und nur autorisierten Personen zugänglich gemacht. Eingesetzte kryptographische Verfahren, Schlüsselverwaltungsprozesse und Schutzmechanismen werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst.
API-Schlüssel, Tokens, Zugangsdaten und kryptographische Geheimnisse werden über gesicherte Verwaltungsprozesse gespeichert, verwaltet und regelmäßig überprüft.
2 Integrität
Maßnahmen, um die Unverfälschtheit, Konsistenz und Nachvollziehbarkeit von Daten sicherzustellen und unautorisierte Änderungen zu verhindern.
2.1 Weitergabekontrolle
Der Auftragnehmer stellt sicher, dass personenbezogene Daten bei der elektronischen Übertragung sowie im Rahmen von Schnittstellen, Integrationen und sonstigen Kommunikationswegen nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Sämtliche externen Zugriffe auf die Plattform und angebundene Dienste erfolgen über gesicherte Verbindungen unter Einsatz aktueller Transportverschlüsselung.
Externe Schnittstellen und APIs werden nur kontrolliert freigegeben und nach technischen Sicherheitsanforderungen abgesichert. Die Kommunikation zwischen Clients, Plattform, internen Diensten und gegebenenfalls eingebundenen Drittkomponenten erfolgt ausschließlich im Rahmen der vorgesehenen Systemarchitektur und auf Grundlage geregelter technischer Zugriffsmechanismen.
Zum Schutz vor unautorisierten Datenzugriffen oder missbräuchlichen Zugriffsmustern werden ergänzende Netzwerk- und Perimeterschutzmaßnahmen eingesetzt. Hierzu können insbesondere Firewall-Mechanismen, restriktive Freigaben, Schutzmaßnahmen gegen automatisierte Massenanfragen sowie weitere technische Schutzvorkehrungen zur Erkennung und Begrenzung atypischer Zugriffsvorgänge gehören.
Zur Sicherstellung von Stabilität, Sicherheit und Verfügbarkeit der Plattform können technische Schutzmaßnahmen zur Begrenzung missbräuchlicher, automatisierter oder atypischer Nutzungsmuster eingesetzt werden.
2.2 Eingabekontrolle
Es ist nachvollziehbar, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, soweit dies technisch vorgesehen und für die jeweilige Verarbeitung erforderlich ist. Sicherheitsrelevante Ereignisse, administrative Zugriffe sowie auffällige Systemaktivitäten können protokolliert und ausgewertet werden, soweit dies zur Sicherstellung von Sicherheit, Stabilität und Nachvollziehbarkeit erforderlich ist.
Soweit systemseitig vorgesehen, umfassen Protokolle insbesondere Angaben zu Zeitpunkt, Benutzer- oder Systemidentität sowie Art der betreffenden Aktion. Protokolldaten werden vor unbefugtem Zugriff und vor unzulässiger Veränderung geschützt gespeichert und sind nur einem eng begrenzten berechtigten Personenkreis zugänglich.
Sicherheitsrelevante Protokolle und auffällige Ereignisse werden bei Bedarf oder anlassbezogen ausgewertet, um unautorisierte Änderungen, Fehlkonfigurationen oder sonstige sicherheitsrelevante Auffälligkeiten zeitnah erkennen und geeignete Gegenmaßnahmen ergreifen zu können.
Protokoll- und Auditdaten werden nur für einen angemessenen Zeitraum gespeichert und anschließend entsprechend interner Lösch- und Sicherheitskonzepte gelöscht, anonymisiert oder überschrieben, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
Protokolldaten werden grundsätzlich für maximal 90 Tage gespeichert, sofern keine längere Speicherung gesetzlich erforderlich oder zur Sicherheitsanalyse notwendig ist.
3 Verfügbarkeit
Maßnahmen, um personenbezogene Daten und Systeme gegen zufällige oder unrechtmäßige Zerstörung, Verlust oder Beeinträchtigung zu schützen und die Betriebsbereitschaft aufrechtzuerhalten.
Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen, um eine angemessene Verfügbarkeit der Systeme und Daten sicherzustellen. Hierzu gehören insbesondere geregelte Backup- und Wiederherstellungskonzepte, die regelmäßige Sicherung zentraler produktiver Datenbestände sowie die geschützte Aufbewahrung von Datensicherungen in geeigneten Speicherumgebungen. Datensicherungen erfolgen in definierten Intervallen entsprechend der Kritikalität der Systeme und Daten.
Die eingesetzte Infrastruktur wird kontinuierlich überwacht, um technische Störungen, Engpässe oder Ausfälle frühzeitig zu erkennen. Für den Umgang mit technischen, betrieblichen und sicherheitsrelevanten Zwischenfällen bestehen definierte Verfahren. Zuständigkeiten sowie organisatorische Notfall- und Eskalationsprozesse zur Aufrechterhaltung oder Wiederherstellung wesentlicher Plattformfunktionen.
Die Wiederherstellbarkeit von Daten und Systemen wird durch geeignete organisatorische und technische Maßnahmen unterstützt. Hierzu gehören Verfahren zur Wiederherstellung von Daten aus Sicherungen sowie regelmäßige Überprüfungen oder Tests, um die Funktionsfähigkeit dieser Prozesse sicherzustellen.
Für kritische Systeme können Zielwerte für maximale Datenverluste (Recovery Point Objective - RPO) sowie Wiederherstellungszeiten (Recovery Time Objective - RTO) definiert werden.
Soweit Infrastrukturleistungen externer Anbieter genutzt werden, achtet der Auftragnehmer darauf, dass diese über ein angemessenes Maß an Ausfallsicherheit, Redundanz und technischen Sicherungsmechanismen verfügen.
Soweit möglich erfolgt die primäre Speicherung produktiver Kundendaten innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.
4 Belastbarkeit
Maßnahmen, um die Widerstandsfähigkeit der Systeme gegenüber Angriffen, Störungen und außergewöhnlichen Belastungen sicherzustellen.
Der Auftragnehmer trifft angemessene technische und organisatorische Vorkehrungen, um die Belastbarkeit der eingesetzten Systeme und Dienste dauerhaft sicherzustellen. Hierzu zählen insbesondere ein geregeltes Vulnerability-, Patch- und Update-Management, die Härtung sicherheitsrelevanter Systemkomponenten, die Beschränkung nicht benötigter Dienste und Schnittstellen sowie die fortlaufende Beobachtung kritischer Systeme auf technische Auffälligkeiten und Sicherheitsereignisse. Sicherheitsrelevante Schwachstellen werden risikobasiert bewertet und innerhalb angemessener Fristen behoben. Sicherheitsupdates und kritische Patches werden priorisiert behandelt.
Die Netz- und Systemarchitektur ist darauf ausgerichtet, typische Angriffe und Störungsbilder möglichst frühzeitig zu erkennen, ihre Auswirkungen zu begrenzen und den stabilen Betrieb der Plattform aufrechtzuerhalten. Soweit technisch vorgesehen, kommen hierfür ergänzende Schutzmechanismen gegen missbräuchliche Lastsituationen, automatisierte Angriffe oder sonstige atypische Nutzungsmuster zum Einsatz.
Zur Sicherstellung von Stabilität, Sicherheit und Verfügbarkeit der Plattform können technische Schutzmaßnahmen zur Begrenzung missbräuchlicher, automatisierter oder atypischer Nutzungsmuster eingesetzt werden.
Änderungen an produktiven Systemen und Anwendungen erfolgen nach definierten Entwicklungs-, Test- und Freigabeprozessen. Kritische administrative Zugänge und sicherheitsrelevante Änderungen unterliegen erhöhten organisatorischen Anforderungen. Soweit erforderlich, ist die Systemlandschaft so ausgestaltet, dass sie auch bei Lastspitzen oder Teilausfällen in einem stabilen Zustand betrieben oder zeitnah in einen solchen zurückgeführt werden kann.
5 Weitere organisatorische Maßnahmen und Datenschutzmanagement
5.1 Interne Zuständigkeiten und Datenschutzorganisation
Der Auftragnehmer hat interne Zuständigkeiten für Datenschutz und Informationssicherheit festgelegt. Datenschutz- und sicherheitsrelevante Themen werden durch die jeweils zuständigen Personen oder Funktionen koordiniert, dokumentiert und im Unternehmen organisatorisch verankert. Soweit gesetzlich erforderlich, wird ein Datenschutzbeauftragter bestellt; andernfalls wird eine zuständige datenschutzrechtliche Ansprechperson benannt.
Datenschutz und Informationssicherheit werden bei der Einführung, Änderung und dem Betrieb relevanter Prozesse und Systeme angemessen berücksichtigt. Zuständige Stellen werden bei sicherheits- oder datenschutzrelevanten Vorfällen rechtzeitig eingebunden.
5.2 Schulungen und Verpflichtung der Mitarbeiter
Alle mit der Verarbeitung personenbezogener Daten befassten Personen werden auf Vertraulichkeit verpflichtet und in angemessener Weise für Datenschutz- und Sicherheitsanforderungen sensibilisiert. Neue Mitarbeiter werden vor oder zu Beginn ihrer Tätigkeit mit den maßgeblichen internen Vorgaben, Sicherheitsstandards und Verhaltenspflichten vertraut gemacht.
Darüber hinaus erfolgen in angemessenen Abständen Auffrischungen, Sensibilisierungen oder anlassbezogene Schulungsmaßnahmen, insbesondere bei wesentlichen Änderungen von Prozessen, Technologien oder rechtlichen Anforderungen. Ziel dieser Maßnahmen ist es, ein dauerhaft hohes Bewusstsein für Datenschutz und Datensicherheit im Arbeitsalltag sicherzustellen.
5.3 Verfahren zur regelmäßigen Überprüfung und Weiterentwicklung
Der Auftragnehmer hat Verfahren eingerichtet, um die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen, zu bewerten und fortlaufend weiterzuentwickeln. Die Überprüfungen erfolgen in angemessenen Abständen sowie anlassbezogen, insbesondere bei sicherheitsrelevanten Vorfällen, wesentlichen Systemänderungen, organisatorischen Anpassungen oder geänderten Risikolagen. Soweit angemessen und wirtschaftlich vertretbar, werden technische Sicherheitsüberprüfungen, Schwachstellenanalysen oder Penetrationstests durchgeführt.
Sicherheits- und Datenschutzmaßnahmen werden regelmäßig hinsichtlich ihrer Wirksamkeit, Aktualität und Angemessenheit überprüft und bei Bedarf an technische, organisatorische oder regulatorische Entwicklungen angepasst.
Die hierbei gewonnenen Erkenntnisse fließen in die Weiterentwicklung der Sicherheits- und Datenschutzmaßnahmen ein. Interne Richtlinien, Berechtigungskonzepte, Sicherheitsdokumentationen und sonstige relevante Unterlagen werden bei Bedarf aktualisiert und in geeigneter Weise gepflegt.
5.4 Incident-Response-Management und Meldung von Datenschutzvorfällen
Der Auftragnehmer verfügt über geregelte interne Prozesse für den Umgang mit Sicherheits- und Datenschutzvorfällen. Hierzu bestehen definierte Meldewege, Zuständigkeiten und Reaktionsabläufe. Mitarbeiter sind angewiesen, sicherheits- oder datenschutzrelevante Auffälligkeiten unverzüglich an die zuständigen internen Stellen zu melden.
Sicherheits- oder Datenschutzvorfälle werden nach definierten internen Prozessen bewertet, dokumentiert und - soweit erforderlich - näher untersucht.
Sicherheits- und Datenschutzvorfälle können nach definierten Kritikalitäts- und Eskalationsstufen klassifiziert werden, um angemessene Reaktions- und Kommunikationsmaßnahmen sicherzustellen.
Soweit ein Vorfall personenbezogene Daten oder Systeme eines Auftraggebers betrifft und eine Kommunikation erforderlich ist, wird der betroffene Auftraggeber ohne unangemessene Verzögerung informiert. Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang bei der Bewertung, Eingrenzung und Bewältigung des Vorfalls sowie bei der Erfüllung etwaiger gesetzlicher Melde- und Benachrichtigungspflichten.
5.5 Datenschutzfreundliche Technikgestaltung und Voreinstellungen
Bei der Entwicklung, Architekturplanung, Konfiguration und Bereitstellung der Plattform werden Sicherheits- und Datenschutzanforderungen sowie datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellungen berücksichtigt. Es wird angestrebt, personenbezogene Daten nur in dem Umfang zu verarbeiten, der für die jeweiligen Zwecke erforderlich ist. Funktionen, Prozesse und Datenflüsse werden so ausgestaltet, dass dem Grundsatz der Datenminimierung angemessen Rechnung getragen wird.
Personenbezogene Daten werden grundsätzlich nur in dem Umfang verarbeitet, der für die jeweiligen Zwecke erforderlich ist.
Soweit technisch vorgesehen, werden Speicherdauern begrenzt und Daten nach Zweckerreichung, Ablauf definierter Fristen oder entsprechender Weisung gelöscht, gesperrt oder anderweitig datenschutzgerecht behandelt. Für die Löschung oder Rückgabe personenbezogener Daten nach Vertragsende oder nach Weisung bestehen geregelte Prozesse. Gesetzliche Aufbewahrungspflichten und technische Besonderheiten redundanter Sicherungen werden hierbei angemessen berücksichtigt.
Protokolldaten werden grundsätzlich für maximal 90 Tage gespeichert, sofern keine längere Speicherung gesetzlich erforderlich oder zur Sicherheitsanalyse notwendig ist.
Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO vorgesehen. Freitextfelder, Notizfunktionen und Kommunikationsfunktionen sind nicht dazu bestimmt, Gesundheitsdaten oder vergleichbare besonders schutzwürdige Informationen zu erfassen. Der Auftraggeber ist verpflichtet, seine Nutzer entsprechend anzuweisen und eine Eingabe solcher Daten zu unterlassen, sofern keine ausdrückliche gesonderte Vereinbarung und geeignete Rechtsgrundlage besteht.
5.6 Besondere Maßnahmen für Kommunikations-, Voice-, KI- und Medienfunktionen
Soweit ConciergeBeauty Kommunikations-, Messenger-, Voice-, Telefonie-, Transkriptions-, KI-, AI- oder LLM-basierte Funktionen oder Medienfunktionen bereitstellt, werden ergänzende Schutzmaßnahmen getroffen, die der besonderen Sensibilität dieser Verarbeitungen Rechnung tragen. Die Nutzung solcher Funktionen und die Verarbeitung solcher Inhalte erfolgen ausschließlich im Rahmen der vorgesehenen, konkret aktivierten und vom Auftraggeber genutzten Funktionen sowie unter Berücksichtigung angemessener technischer und organisatorischer Schutzmaßnahmen.
Der Einsatz von KI- und LLM-basierten Funktionen erfolgt auf Grundlage interner organisatorischer, technischer und datenschutzbezogener Vorgaben zur sicheren und kontrollierten Nutzung solcher Systeme.
Zugriffe auf Kommunikationsinhalte, Sprachdaten, Transkripte, Medien oder vergleichbare Inhalte werden auf die jeweils erforderlichen technischen und organisatorischen Zwecke begrenzt. Support- und Administrationszugriffe unterliegen besonderen Beschränkungen. Soweit externe technische Dienste angebunden werden, erfolgt dies kontrolliert und unter Berücksichtigung der datenschutzrechtlichen und sicherheitstechnischen Anforderungen.
Eine Nutzung der im Rahmen solcher Funktionen verarbeiteten Inhalte zum allgemeinen Training externer KI-Modelle erfolgt nicht, sofern hierfür nicht eine gesonderte rechtliche Grundlage und vertragliche Regelung besteht. Soweit Voice-, Speech- oder KI-Komponenten selbst gehostet betrieben werden, wird auf eine angemessene organisatorische und technische Trennung sowie Absicherung dieser Komponenten geachtet.
KI-gestützte Funktionen dienen ausschließlich der Unterstützung organisatorischer Prozesse und ersetzen keine eigenverantwortliche menschliche Entscheidung oder Prüfung.
Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung betroffener Personen erfolgt nicht, soweit eine solche Verarbeitung nicht ausdrücklich vorgesehen, rechtlich zulässig und gesondert geregelt ist.
5.7 Auftragskontrolle und Unterstützung des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Zwecke und nur nach Maßgabe der Weisungen des Auftraggebers. Interne Prozesse und organisatorische Kontrollen stellen sicher, dass eine Verarbeitung zu eigenen, vom Auftrag abweichenden Zwecken nicht erfolgt.
Darüber hinaus unterstützt der Auftragnehmer den Auftraggeber im Rahmen der gesetzlichen und vertraglichen Anforderungen bei der Erfüllung datenschutzrechtlicher Pflichten. Dies umfasst insbesondere die Unterstützung bei Betroffenenanfragen, bei datenschutzrechtlichen Prüfungen, bei Datenschutz-Folgenabschätzungen sowie bei der Bereitstellung solcher Informationen, die der Auftraggeber zum Nachweis einer datenschutzkonformen Verarbeitung benötigt.
Soweit weitere Auftragsverarbeiter oder externe Dienstleister eingesetzt werden, erfolgt dies nur auf Grundlage der vertraglichen Regelungen zur Unterauftragsverarbeitung und unter Berücksichtigung der jeweiligen Datenschutz- und Sicherheitsanforderungen.
Eingesetzte Unterauftragsverarbeiter und externe Dienstleister werden risikobasiert ausgewählt und hinsichtlich Datenschutz-, Sicherheits- und Compliance-Anforderungen bewertet.