Zurück zur Startseite

Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO). Zwischen der Atoki UG (haftungsbeschränkt), Melchior-Bauer-Straße 16, 14469 Potsdam, Deutschland, nachfolgend "Auftragsverarbeiter", und dem jeweiligen Kunden, nachfolgend "Verantwortlicher".

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen eine technische Plattform zur Unterstützung von DSAR-, Datenschutz-, Dokumentations- und Nachweisprozessen zur Verfügung.

(3) Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der Nutzung dieser Plattform und nach dokumentierter Weisung des Verantwortlichen. Die Dauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrages, soweit nichts Abweichendes geregelt ist.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt insbesondere zu folgenden Zwecken:

  • Bereitstellung und Betrieb der ATOKI DSGVO-/DSAR-Operations- und Nachweisplattform.
  • Unterstützung standardisierter ACCESS-/Auskunftsprozesse.
  • Entscheidungsbasierte Unterstützung weiterer Betroffenenrechtsprozesse.
  • Erstellung und Verwaltung strukturierter Audit-, Evidence- und Accountability-Nachweise.
  • Protokollierung system-, sicherheits- und DSAR-relevanter Ereignisse.
  • Monitoring technischer Systemprozesse und Systemintegrität.
  • Technische Verwaltung von Organisations-, Mandanten- und Zugriffskontexten.

Rechtliche Entscheidungen über Betroffenenrechte, Rechtsgrundlagen, Fristen, Ablehnungen oder Kommunikationspflichten verbleiben beim Verantwortlichen.

§ 3 Kategorien personenbezogener Daten

Im Rahmen der Nutzung der Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Namen, Kontaktdaten, E-Mail-Adressen und Organisationszugehörigkeiten.
  • Benutzerkennungen, Rollen, Zugriffs- und Authentifizierungsinformationen.
  • IP-Adressen, technische Protokolldaten und sicherheitsrelevante Systemdaten.
  • DSAR-/Request-Metadaten, insbesondere Request IDs, Tenant IDs, Tenant Slugs, Statuswerte, Fristen und Zeitstempel.
  • Entscheidungs-, Bearbeitungs- und Ausführungsmetadaten, insbesondere Scope, decision-level comments, execution metadata und terminale Statusinformationen.
  • Evidence-Metadaten, Audit-Protokolle, soweit vorhanden: Hash-, Manifest- oder Integritätsinformationen und Nachweispfade.
  • Vom Verantwortlichen bereitgestellte oder über die Plattform erzeugte Quellartefakte, Dokumente und Nachweisdateien.
  • In kundenseitig bereitgestellten DSAR-Materialien enthaltene Datenkategorien; je nach Nutzung können darunter auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO fallen.

Der konkrete Umfang der verarbeiteten Daten bestimmt sich durch die Nutzung der Plattform, die Konfiguration und die Weisungen des Verantwortlichen.

§ 3a Ergänzende Datenkategorien

Ergänzend können im Rahmen der Plattformnutzung folgende Metadaten verarbeitet werden:

Das Feld verification_method beschreibt den technischen oder organisatorischen Verifikationsweg, zum Beispiel operator_attestation. Es ist nicht für biometrische Merkmale oder besondere Kategorien personenbezogener Daten vorgesehen.

  • Account- und Vertragszuordnungsdaten.
  • Tenant-ID, Mandantenname und Mandanten-Slug.
  • Paket-/Subscription-Zuordnung.
  • Request-Level Intake Metadata, insbesondere Externe Referenz und Kommentar zum Eingang.
  • Contact-Verification-Metadaten, insbesondere is_verified, verified_at, verified_by und verification_method.

§ 4 Kategorien betroffener Personen

Die Verarbeitung kann insbesondere folgende Kategorien betroffener Personen betreffen:

  • Betroffene Personen im Rahmen von DSAR- oder sonstigen Betroffenenrechtsanfragen.
  • Kunden, Mandant:innen, Patient:innen oder sonstige betroffene Personen des Verantwortlichen, soweit einschlägig.
  • Mitarbeitende, Nutzer:innen und Ansprechpartner:innen des Verantwortlichen.

§ 5 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Weisungen können in Textform erfolgen, insbesondere per E-Mail, Vertrag, Konfiguration oder über technische Funktionen innerhalb der Plattform.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Die Umsetzung kann bis zur Klarstellung ausgesetzt werden.

§ 6 Vertraulichkeit

(1) Der Auftragsverarbeiter stellt sicher, dass Personen mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet sind.

(2) Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Hierzu gehören insbesondere:

  • Zugriffskontrollen, rollenbasierte Zugriffssysteme und Authentifizierungsmechanismen.
  • Mandanten-Isolation durch technische Zugriffskontrollen, tenantbezogene Zugriffskontexte und Datenbank-/Applikationskontrollen.
  • Audit-Logging zur Nachvollziehbarkeit system-, sicherheits- und DSAR-relevanter Ereignisse.
  • Verschlüsselte Datenübertragung und kontrollierte Schnittstellen.
  • Backup- und Wiederherstellungssysteme mit Offsite-Speicherung zur operativen Wiederherstellung.
  • Monitoring und Prüfprozesse für Systemintegrität.
  • Schutz vor unbefugtem Zugriff, Verlust und unbeabsichtigter Veränderung.

Offsite-Backups dienen der Wiederherstellung und stellen keine WORM-, Object-Lock- oder technisch immutable Retention dar. Audit Logs werden nach dem Prinzip der Datenminimierung geführt und sollen keine unnötigen Rohinhalte oder vollständigen Personenprofile duplizieren.

§ 8 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen, soweit dies für Betrieb, Hosting, Kommunikation, Wartung, Sicherheit oder Support erforderlich ist.

(2) Eine aktuelle Liste der Unterauftragsverarbeiter ist unter https://atoki-core.de/subprocessors abrufbar und wird auf Anfrage in Textform bereitgestellt.

(3) Der Verantwortliche wird über wesentliche Änderungen der Unterauftragsverarbeiter mit angemessener Frist informiert; als Zielwert gelten grundsätzlich mindestens 14 Tage vor dem geplanten Einsatz, soweit nicht dringende Sicherheits-, Betriebs- oder Compliance-Gründe eine kürzere Frist erfordern.

(4) Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

(5) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich auf gleichwertige Datenschutzpflichten im Sinne von Art. 28 DSGVO.

§ 9 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und der vertraglich vereinbarten Leistungen bei der Wahrung der Rechte betroffener Personen, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und der Meldung von Datenschutzverletzungen.

§ 10 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten im Verantwortungsbereich des Auftragsverarbeiters. Die Meldung enthält, soweit möglich, Art der Verletzung, betroffene Datenkategorien, mögliche Auswirkungen und bereits ergriffene Gegenmaßnahmen.

Die rechtliche Bewertung und Meldung gegenüber Aufsichtsbehörden oder Betroffenen erfolgt durch den Verantwortlichen, soweit gesetzlich nicht anders vorgesehen.

§ 11 Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen im angemessenen Umfang zu überprüfen.

(2) Dies kann insbesondere durch Selbstauskünfte, Dokumentationsprüfung, Nachweisunterlagen, Auditberichte oder andere geeignete Nachweise erfolgen.

(3) Vor-Ort-Audits sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten und unter Beachtung von Vertraulichkeit, Sicherheits- und Betriebsinteressen zulässig.

§ 12 Rückgabe, Löschung und Nachweisaufbewahrung

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter personenbezogene operative Kundendaten oder gibt sie dem Verantwortlichen zurück, soweit keine gesetzlichen, vertraglichen oder berechtigten Aufbewahrungsgründe entgegenstehen.

(2) Die Löschung erfolgt grundsätzlich innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstige zulässige Gründe bestehen.

(3) Minimierte Nachweis- und Accountability-Artefakte können im gesetzlich zulässigen und erforderlichen Umfang bis zu 10 Jahre nach Vertragsende gespeichert werden, soweit dies zur Rechenschaftspflicht, Verteidigung von Ansprüchen oder gesetzlichen Aufbewahrung erforderlich ist. Diese Frist gilt ausschließlich für minimierte Nachweisartefakte und nicht für operative Kundendaten oder Full-System-Backups.

(4) Full-System-Backups dienen der operativen Wiederherstellung und sind von langfristiger Audit-Proof-Aufbewahrung zu unterscheiden.

§ 12a Retention- und Deaktivierungsgrenze

Die Deaktivierung eines Mandanten ist keine Löschung historischer Daten. Historische Anfragen, Audit-Einträge, Reports und Nachweise werden nach Maßgabe des Löschkonzepts, der vereinbarten Retention und gesetzlicher Anforderungen behandelt.

§ 13 Haftung und Schlussbestimmungen

(1) Für die Haftung der Parteien gelten die Regelungen des zugrunde liegenden Hauptvertrages, soweit zwingendes Datenschutzrecht nichts anderes bestimmt.

(2) Änderungen dieses Vertrages bedürfen der Textform. Es gilt deutsches Recht.

Anlage 1 - Technische und organisatorische Maßnahmen (Kurzüberblick)

  • Zugriffskontrolle: rollenbasierte Zugriffssysteme, Authentifizierung, minimale Rechtevergabe.
  • Weitergabekontrolle: verschlüsselte Datenübertragung und kontrollierte Schnittstellen.
  • Speicherkontrolle: Mandanten-Isolation, tenantbezogene Zugriffskontexte, Audit-Logging.
  • Verfügbarkeitskontrolle: Backup-Systeme, Offsite-Backups, Restore-Prozesse, Monitoring.
  • Integritätskontrolle: Protokollierung system-, sicherheits- und DSAR-relevanter Ereignisse, technische Prüfprozesse.