AUFTRAGSVERARBEITUNGSVERTRAG

Zuletzt aktualisiert: 2026-06-25

zwischen

[CUSTOMER LEGAL NAME] (der „Verantwortliche" / Controller) [CUSTOMER REGISTERED ADDRESS] [CUSTOMER VAT / REGISTRATION NUMBER] vertreten durch [CUSTOMER SIGNATORY NAME], [CUSTOMER SIGNATORY ROLE]

und

Grewing Mirko D.I. (der „Auftragsverarbeiter" / Processor oder „ObligoBoard") Via delle Casine 19, Firenze, Italien P.IVA: IT07214970480 Codice Fiscale: GRWMRK79T26H501F PEC: mirko.grewing@pec.net vertreten durch Mirko Grewing, Inhaber

jeweils eine „Partei" und gemeinsam die „Parteien".

PRÄAMBEL

(A) Der Verantwortliche und der Auftragsverarbeiter haben einen oder mehrere Dienstleistungsverträge über die Nutzung der Software-as-a-Service-Plattform ObligoBoard geschlossen (der „Hauptvertrag").

(B) Die Durchführung des Hauptvertrags erfordert, dass der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Sinne der Verordnung (EU) 2016/679 („DSGVO") und, soweit anwendbar, der entsprechenden beibehaltenen UK-Rechtsvorschriften (UK GDPR) verarbeitet.

(C) Dieser Auftragsverarbeitungsvertrag (der „DPA") legt die Bedingungen fest, zu denen der Auftragsverarbeiter solche personenbezogenen Daten verarbeitet, und ist integraler Bestandteil des Hauptvertrags im Einklang mit Art. 28 DSGVO.

1. BEGRIFFSBESTIMMUNGEN

1.1 In diesem DPA nicht definierte großgeschriebene Begriffe haben die ihnen in der DSGVO zugewiesene Bedeutung. Es gelten folgende Begriffsbestimmungen:

• „Verantwortlicher" (Controller) — die natürliche oder juristische Person, die im Hauptvertrag als Kunde benannt ist und über die Zwecke und Mittel der Verarbeitung der Personenbezogenen Daten entscheidet.
• „Personenbezogene Daten" — alle personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit dem Hauptvertrag verarbeitet.
• „Verletzung des Schutzes personenbezogener Daten" — eine Verletzung der Sicherheit im Sinne von Art. 4 Nr. 12 DSGVO.
• „Verarbeitung" — jeder Vorgang oder jede Vorgangsreihe im Sinne von Art. 4 Nr. 2 DSGVO.
• „Auftragsverarbeiter" (Processor) — Grewing Mirko D.I., tätig als ObligoBoard.
• „Standardvertragsklauseln" oder „SCC" — die mit Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 erlassenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer.
• „Unterauftragsverarbeiter" (Sub-processor) — jeder Dritte, den der Auftragsverarbeiter mit der Verarbeitung Personenbezogener Daten im Auftrag des Verantwortlichen betraut.

2. GEGENSTAND, ART UND ZWECK

2.1 Gegenstand. Bereitstellung der ObligoBoard-SaaS-Plattform (Compliance-Management-Software) an den Verantwortlichen, wie im Hauptvertrag näher beschrieben.

2.2 Art und Zweck. Hosting, Speicherung, Abruf, Übermittlung, Organisation und Löschung Personenbezogener Daten, die für den Betrieb der vom Verantwortlichen genutzten Plattformfunktionen erforderlich sind, einschließlich, aber nicht beschränkt auf: Nutzerauthentifizierung, Organisationsverwaltung, Verfolgung von Compliance-Aufgaben, Nachweisspeicherung, Dokumentenerstellung (Datenschutzerklärungen, Cookie-Richtlinien), Cookie-Scanning, Abrechnungsverwaltung und Kundensupport.

2.3 Dokumentierte Weisungen. Die dokumentierten Weisungen des Verantwortlichen an den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag, diesem DPA und der Nutzung der Plattformfunktionen durch den Verantwortlichen im Rahmen ihrer vorgesehenen Funktionalität. Etwaige zusätzliche Weisungen sind schriftlich zu erteilen.

3. LAUFZEIT

3.1 Dieser DPA tritt zum Wirksamkeitsdatum des Hauptvertrags in Kraft und bleibt für dessen Laufzeit in Kraft, zuzüglich eines etwaigen nach Beendigung erforderlichen Zeitraums, den der Auftragsverarbeiter zur Erfüllung seiner Pflichten nach Abschnitt 6.8 (Rückgabe oder Löschung) benötigt.

4. KATEGORIEN BETROFFENER PERSONEN UND PERSONENBEZOGENER DATEN

4.1 Kategorien betroffener Personen.

• Mitarbeiter, Auftragnehmer und autorisierte Nutzer der Plattform des Verantwortlichen
• Ansprechpartner, Lieferanten und sonstige Dritte des Verantwortlichen, deren Daten der Verantwortliche in die Plattform hochlädt
• Betroffene Personen, deren Daten in vom Verantwortlichen hochgeladenen Compliance-Unterlagen, Richtlinien, Nachweisen oder Aufzeichnungen genannt werden

4.2 Kategorien Personenbezogener Daten.

• Identitätsdaten: Name, E-Mail, Rolle/Funktion
• Authentifizierungsdaten: Passwort-Hashes, Sitzungstoken, Identifikatoren der Zwei-Faktor-Authentifizierung
• Organisationsdaten: Organisationsname, Anschrift, USt-IdNr., Kontaktdaten
• Aktivitätsdaten: auf der Plattform durchgeführte Aktionen, Zeitstempel, IP-Adressen, Audit-Protokolle
• Inhaltsdaten: Dokumente, Nachweisdateien, Compliance-Aufzeichnungen, Richtlinientexte, Cookie-Scan-Ergebnisse, von Nutzern eingegebene Freitextfelder
• Abrechnungsdaten: über Stripe verarbeitete Rechnungsinformationen (begrenzt; siehe Anlage III)
• Sonstige Personenbezogene Daten, die der Verantwortliche über Plattformfunktionen hochlädt

4.3 Besondere Kategorien. Der Verantwortliche lädt keine besonderen Kategorien Personenbezogener Daten im Sinne von Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) hoch, sofern dies nicht zuvor ausdrücklich schriftlich mit dem Auftragsverarbeiter vereinbart wurde.

5. PFLICHTEN DES VERANTWORTLICHEN

5.1 Der Verantwortliche sichert zu, dass:

• (a) er über eine gültige Rechtsgrundlage nach Art. 6 DSGVO (und ggf. Art. 9 DSGVO) für die von ihm angewiesene Verarbeitung verfügt;
• (b) er den betroffenen Personen die nach Art. 13 und 14 DSGVO erforderlichen Informationen bereitstellt;
• (c) er das nach Art. 30 Abs. 1 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten für die als Verantwortlicher durchgeführte Verarbeitung führt;
• (d) er dokumentierte Weisungen nur für rechtmäßige, erforderliche und verhältnismäßige Verarbeitung erteilt.

5.2 Der Verantwortliche ist für die Richtigkeit, Qualität und Rechtmäßigkeit der dem Auftragsverarbeiter bereitgestellten Personenbezogenen Daten verantwortlich.

6. PFLICHTEN DES AUFTRAGSVERARBEITERS

6.1 Dokumentierte Weisungen. Der Auftragsverarbeiter verarbeitet Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch hinsichtlich Übermittlungen in Drittländer, es sei denn, er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem er unterliegt, zu anderem verpflichtet. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

6.2 Vertraulichkeit des Personals. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.3 Sicherheitsmaßnahmen. Der Auftragsverarbeiter setzt die in Anlage II beschriebenen technischen und organisatorischen Maßnahmen um und erhält sie aufrecht, um ein dem Risiko angemessenes Schutzniveau im Einklang mit Art. 32 DSGVO zu gewährleisten. Der Auftragsverarbeiter prüft, bewertet und evaluiert die Wirksamkeit dieser Maßnahmen regelmäßig.

6.4 Unterauftragsverarbeiter.

(a) Allgemeine Genehmigung. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung Personenbezogener Daten zu betrauen, vorbehaltlich dieses Abschnitts 6.4. Die aktuelle Liste der Unterauftragsverarbeiter ist in Anlage III aufgeführt.

(b) Mitteilung von Änderungen. Der Auftragsverarbeiter unterrichtet den Verantwortlichen über beabsichtigte Hinzufügungen oder Ersetzungen von Unterauftragsverarbeitern mindestens dreißig (30) Tage im Voraus per E-Mail an den Abrechnungs- oder Verwaltungskontakt des Verantwortlichen oder per In-Plattform-Benachrichtigung.

(c) Widerspruchsrecht. Innerhalb von dreißig (30) Tagen ab dieser Mitteilung kann der Verantwortliche aus angemessenen, dokumentierten Datenschutzgründen widersprechen. Können sich die Parteien nicht innerhalb weiterer dreißig (30) Tage auf eine Lösung einigen, kann der Verantwortliche den Hauptvertrag und diesen DPA durch schriftliche Mitteilung ohne Vertragsstrafe für den vermiedenen Teil kündigen. Die fortgesetzte Nutzung der Plattform nach Ablauf der Frist gilt als Annahme der Änderung des Unterauftragsverarbeiters.

(d) Pflichten des Unterauftragsverarbeiters. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch schriftlichen Vertrag Datenschutzpflichten auf, die den ihm nach diesem DPA auferlegten Pflichten entsprechen. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung dieser Pflichten durch den Unterauftragsverarbeiter voll verantwortlich.

6.5 Unterstützung bei Betroffenenrechten. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nach Art. 12-22 DSGVO. Werden Anträge unmittelbar an den Auftragsverarbeiter gerichtet, benachrichtigt dieser den Verantwortlichen unverzüglich und antwortet nicht unmittelbar, außer auf Weisung des Verantwortlichen oder soweit gesetzlich vorgeschrieben.

6.6 Meldung einer Verletzung des Schutzes personenbezogener Daten. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Benachrichtigung enthält, soweit zu diesem Zeitpunkt bekannt:

• (a) die Art der Verletzung, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und betroffenen Datensätze;
• (b) die wahrscheinlichen Folgen;
• (c) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen;
• (d) die Kontaktstelle für weitere Informationen.

Der Auftragsverarbeiter stellt weitere Informationen bereit, sobald sie verfügbar werden, und arbeitet mit dem Verantwortlichen bei der Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO zusammen.

6.7 Unterstützung bei der DSFA. Der Auftragsverarbeiter leistet dem Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der Aufsichtsbehörden nach Art. 35 und 36 DSGVO.

6.8 Rückgabe oder Löschung. Bei Beendigung oder Ablauf des Hauptvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen, die innerhalb von dreißig (30) Tagen nach Beendigung schriftlich auszuüben ist, entweder:

• (a) alle Personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format an den Verantwortlichen zurückgeben; oder
• (b) alle Personenbezogenen Daten löschen,

es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt die Speicherung der Personenbezogenen Daten vor. Nach Ablauf der Wahlfrist gilt die Löschung als Standard. Der Auftragsverarbeiter bestätigt den Abschluss der Rückgabe oder Löschung innerhalb von sechzig (60) Tagen schriftlich. Sicherungskopien werden gemäß dem regulären Backup-Rotationsplan des Auftragsverarbeiters gelöscht, mit einer maximalen Restaufbewahrung von neunzig (90) Tagen.

6.9 Audit-Zusammenarbeit.

• (a) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind.
• (b) Der Verantwortliche kann die Einhaltung dieses DPA durch den Auftragsverarbeiter auf eigene Kosten höchstens einmal pro Zwölfmonatszeitraum prüfen (es sei denn nach einer den Verantwortlichen betreffenden Verletzung des Schutzes personenbezogener Daten), mit einer schriftlichen Vorankündigung von mindestens dreißig (30) Tagen und während der üblichen Geschäftszeiten des Auftragsverarbeiters.
• (c) Der Auftragsverarbeiter kann Audit-Anfragen durch Vorlage einschlägiger Zertifizierungen, Bescheinigungen oder Prüfberichte Dritter (einschließlich ISO-27001-Zertifizierungen und SOC-2-Berichten von Unterauftragsverarbeitern) erfüllen, soweit dies angemessen ist.
• (d) Der Verantwortliche und seine Prüfer halten während eines Vor-Ort-Audits die angemessenen Sicherheits- und Vertraulichkeitsanforderungen des Auftragsverarbeiters ein.
• (e) Auditfeststellungen werden vom Auftragsverarbeiter umgehend durch einen dokumentierten Abhilfeplan behandelt.

7. INTERNATIONALE ÜBERMITTLUNGEN

7.1 Der Auftragsverarbeiter übermittelt Personenbezogene Daten nicht außerhalb des Europäischen Wirtschaftsraums („EWR") oder des Vereinigten Königreichs, außer:

• (a) in ein Land, das von einem Angemessenheitsbeschluss nach Art. 45 DSGVO erfasst ist; oder
• (b) auf Grundlage geeigneter Garantien nach Art. 46 DSGVO, einschließlich der Standardvertragsklauseln (Modul 2 — Verantwortlicher an Auftragsverarbeiter, oder Modul 3 — Auftragsverarbeiter an Unterauftragsverarbeiter, soweit anwendbar); oder
• (c) auf Grundlage eines anderen rechtmäßigen Übermittlungsmechanismus nach Kapitel V DSGVO.

7.2 Befinden sich Unterauftragsverarbeiter außerhalb des EWR oder des Vereinigten Königreichs, sichert der Auftragsverarbeiter zu, dass ein geeigneter Übermittlungsmechanismus besteht, wie in Anlage III dargelegt.

7.3 Soweit der Auftragsverarbeiter sich auf die SCC stützt, um Personenbezogene Daten an einen Unterauftragsverarbeiter in einem Drittland zu übermitteln, erteilt der Verantwortliche dem Auftragsverarbeiter hiermit die erforderliche Vollmacht, solche SCC im Namen des Verantwortlichen zu Bedingungen abzuschließen, die nicht weniger schützend sind als die in diesem DPA festgelegten.

8. HAFTUNG

8.1 Die Haftung jeder Partei aus oder im Zusammenhang mit diesem DPA unterliegt den im Hauptvertrag festgelegten Haftungsbeschränkungen und -ausschlüssen, außer soweit solche Beschränkungen zwingendem anwendbarem Recht widersprechen würden (einschließlich Art. 1229 des italienischen Zivilgesetzbuchs, der Haftungsausschlüsse für colpa grave und dolo — grobe Fahrlässigkeit und Vorsatz — verbietet).

8.2 Ungeachtet einer Haftungsobergrenze im Hauptvertrag behält jede Partei ihre Haftung gegenüber betroffenen Personen nach Art. 82 DSGVO. Hat eine Partei den vollständigen Schadensersatz für einen von einer betroffenen Person erlittenen Schaden geleistet, kann sie von der anderen Partei den Teil des Schadensersatzes zurückfordern, der dem Verantwortungsanteil der anderen Partei am Schaden entspricht.

8.3 Die Gesamthaftung des Auftragsverarbeiters nach diesem DPA ist im Einklang mit dem Hauptvertrag begrenzt, mit Ausnahme von:

• (a) Haftung für Schäden, die durch eine Verarbeitung unter Verstoß gegen klar dokumentierte Weisungen des Verantwortlichen verursacht werden;
• (b) Haftung für Verstöße gegen Abschnitt 6.6 (Meldung von Verletzungen);
• (c) Haftung für Verstöße gegen Abschnitt 6.8 (Rückgabe oder Löschung), sofern ein solcher Verstoß eine Verletzung des Schutzes personenbezogener Daten verursacht;
• (d) gegen den Auftragsverarbeiter verhängte Geldbußen, die auf Vorsatz oder grobe Fahrlässigkeit des Auftragsverarbeiters zurückzuführen sind.

9. LAUFZEIT UND BEENDIGUNG

9.1 Dieser DPA endet automatisch mit der Beendigung des Hauptvertrags, vorbehaltlich Abschnitt 6.8 (Rückgabe oder Löschung) und sonstiger fortbestehender Pflichten.

9.2 Jede Bestimmung, die die Beendigung überdauern soll, bleibt nach der Beendigung in Kraft, einschließlich (ohne Beschränkung) der Abschnitte 6.8 (Rückgabe oder Löschung), 8 (Haftung) und 11 (Anwendbares Recht).

10. ÄNDERUNGEN

10.1 Der Auftragsverarbeiter kann diesen DPA aktualisieren, um Änderungen des anwendbaren Rechts, regulatorischer Leitlinien oder wesentliche Änderungen seiner Verarbeitungstätigkeiten widerzuspiegeln. Wesentliche Änderungen erfordern eine schriftliche Vorankündigung von dreißig (30) Tagen an den Verantwortlichen.

10.2 Widerspricht der Verantwortliche einer wesentlichen Änderung aus dokumentierten Datenschutzgründen und können sich die Parteien nicht innerhalb von dreißig (30) Tagen auf eine Lösung einigen, kann der Verantwortliche den Hauptvertrag ohne Vertragsstrafe für den vermiedenen Teil kündigen.

11. ANWENDBARES RECHT UND GERICHTSSTAND

11.1 Dieser DPA unterliegt italienischem Recht.

11.2 Die Parteien unterwerfen sich der ausschließlichen Zuständigkeit des Tribunale di Firenze (Gericht von Florenz, Italien), unbeschadet der zwingenden Betroffenenrechte nach Art. 79 Abs. 2 DSGVO.

12. RANGFOLGE

12.1 Im Falle eines Widerspruchs zwischen diesem DPA und dem Hauptvertrag geht dieser DPA vor, soweit der Widerspruch die Verarbeitung Personenbezogener Daten betrifft.

12.2 Im Falle eines Widerspruchs zwischen diesem DPA und den SCC (soweit anwendbar) gehen die SCC im Umfang des Widerspruchs vor.

13. SALVATORISCHE KLAUSEL

13.1 Sollte eine Bestimmung dieses DPA unwirksam oder undurchführbar sein, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft, und die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame Bestimmung, die der ursprünglichen Absicht am nächsten kommt.

ANLAGE I — BESCHREIBUNG DER VERARBEITUNG

ANLAGE II — TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (Art. 32 DSGVO)

Der Auftragsverarbeiter erhält die folgenden Maßnahmen aufrecht, die er regelmäßig überprüft und aktualisiert.

Verschlüsselung

• Verschlüsselung bei der Übertragung (TLS 1.2 oder höher) für alle Plattform-Endpunkte
• Verschlüsselung im Ruhezustand (AES-256) für in der Produktionsdatenbank gespeicherte Personenbezogene Daten
• Verschlüsselung im Ruhezustand für im Objektspeicher (Vercel Blob) gespeicherte Personenbezogene Daten

Zugangskontrolle

• Starke Passwortauthentifizierung (bcrypt-gehashte Anmeldedaten) mit Ablauf der Sitzungstoken für alle administrativen und Kundenzugänge
• Rollenbasierte Zugriffskontrolle innerhalb der Plattform
• Grundsatz des geringstmöglichen Privilegs für alle internen Zugriffe
• Sitzungstimeout und Inaktivitäts-Abmeldung
• Audit-Protokolle administrativer Aktionen, mindestens zwölf (12) Monate aufbewahrt

Pseudonymisierung und Anonymisierung

• Pseudonymisierung von Identifikatoren in Nicht-Produktionsumgebungen
• Anonymisierung von Nutzungstelemetrie, soweit möglich

Resilienz

• Automatisierte tägliche Backups mit Point-in-Time-Wiederherstellung
• Multiregionale Redundanz über die Infrastruktur des Cloud-Anbieters
• Disaster-Recovery-Verfahren mit dokumentierter Recovery Time Objective (RTO) und Recovery Point Objective (RPO)

Test und Bewertung

• Schwachstellen-Scanning von Drittanbieter-Abhängigkeiten über die automatisierten Warnungen von GitHub bei jeder Veröffentlichung
• Automatisierte Testsuite (Unit-, Integrations-, End-to-End-Tests und eine Tenant-Isolation-Fuzz-Suite, die die Datenzugriffsgrenzen im Mandantenbetrieb prüft), die bei jeder Pull Request vor dem Merge in den Produktionsbranch ausgeführt wird
• TypeScript-Typprüfung bei jeder Pull Request
• Migrations-Prüfsummenverifizierung bei jeder Pull Request (verhindert Schemadrift zwischen Entwicklung, Staging und Produktion)
• Verpflichtende Pull-Request-Prüfung für jeden Merge in den Produktionsbranch (keine direkten Pushes; Branch-Schutz erzwungen)

Personal

• Der Betreiber ist eine Ditta Individuale (italienischer Einzelkaufmann); die natürliche Person Mirko Grewing ist die einzige Person mit administrativem Zugriff auf Personenbezogene Daten. Vertraulichkeitspflichten werden persönlich und im Rahmen der berufsrechtlichen Verschwiegenheitspflichten erfüllt, die den Betreiber nach italienischem Recht binden.
• Der Betreiber hält seinen Kenntnisstand zu Datenschutz- und Informationssicherheitsentwicklungen durch laufendes Studium der EDSA-Leitlinien (EDPB), der Leitlinien der italienischen Garante und einschlägiger Sicherheitspublikationen aktuell. Formalisierte Onboarding-/Offboarding-Verfahren und strukturierte Sensibilisierungsschulungen werden eingeführt, sobald das Geschäft über den Betrieb als Einzelkaufmann hinauswächst; der Vertrag wird zu diesem Zeitpunkt nach Abschnitt 10.1 angepasst.

Reaktion auf Sicherheitsvorfälle

• Sicherheitsalarmierung rund um die Uhr über die Infrastruktur des Cloud-Anbieters (Plattformüberwachung von Vercel + Neon)
• Die Reaktion auf Sicherheitsvorfälle folgt den Grundsätzen der Art. 33 und 34 DSGVO, mit Benachrichtigung betroffener Verantwortlicher innerhalb von 72 Stunden gemäß Abschnitt 6.6 dieses DPA
• Ein schriftliches Incident-Response-Runbook wird gepflegt, sobald das Geschäft über den Betrieb als Einzelkaufmann hinauswächst; bis dahin werden Reaktionsentscheidungen vom Betreiber persönlich anhand des oben genannten Rahmens der Art. 33-34 DSGVO getroffen

Sorgfaltsprüfung der Unterauftragsverarbeiter

• Auswahlkriterien für Unterauftragsverarbeiter einschließlich einer Datenschutzbewertung
• Durch schriftliche Vereinbarung auferlegte vertragliche Pflichten (DPAs/MSAs)
• Die Sorgfaltsprüfung stützt sich auf die veröffentlichten Sicherheitsbescheinigungen jedes Unterauftragsverarbeiters (z. B. ISO 27001, SOC 2 Type II), soweit verfügbar; der Auftragsverarbeiter prüft jede wesentliche Änderung dieser Bescheinigungen, sobald sie ihm bekannt wird

ANLAGE III — UNTERAUFTRAGSVERARBEITER

Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt dieses DPA vom Auftragsverarbeiter beauftragt. Die Liste wird gemäß Abschnitt 6.4 aktualisiert.

Die jeweils aktuelle Fassung dieser Liste wird unter https://obligoboard.com/sub-processors veröffentlicht. Wesentliche Aktualisierungen lösen den Benachrichtigungsmechanismus in Abschnitt 6.4(b) aus.

ANLAGE IV — STANDARDVERTRAGSKLAUSELN

Werden Personenbezogene Daten in Abwesenheit eines Angemessenheitsbeschlusses an einen Unterauftragsverarbeiter in einem Drittland übermittelt, binden die Parteien die mit Durchführungsbeschluss (EU) 2021/914 der Kommission erlassenen Standardvertragsklauseln ein, mit:

• Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter), ausgewählt für Übermittlungen Auftragsverarbeiter → Unterauftragsverarbeiter;
• Modul 2 (Verantwortlicher an Auftragsverarbeiter), sofern der Verantwortliche Daten unmittelbar an einen Auftragsverarbeiter außerhalb des EWR übermittelt;
• Klausel 7 (Andockklausel) ausgewählt;
• Klausel 9(a) Option 2 (allgemeine schriftliche Genehmigung) ausgewählt, mit einer Benachrichtigungsfrist von dreißig (30) Tagen wie in Abschnitt 6.4(b);
• Klausel 11(a) Option (unabhängige Streitbeilegungsstelle) nicht ausgewählt;
• Klausel 17 Option 1 (Recht eines EU-Mitgliedstaats, das Drittbegünstigtenrechte zulässt): Recht von Italien;
• Klausel 18 (Gerichtsstand und Zuständigkeit): Italien;
• Anhang I.A und I.B mit den Angaben der Parteien aus diesem DPA ausgefüllt;
• Anhang I.C: die italienische Garante per la protezione dei dati personali;
• Anhang II mit den technischen und organisatorischen Maßnahmen aus Anlage II dieses DPA ausgefüllt;
• Anhang III mit den Unterauftragsverarbeitern aus Anlage III dieses DPA ausgefüllt.

Für Übermittlungen in das Vereinigte Königreich gilt das UK International Data Transfer Addendum zu den EU-SCC (herausgegeben vom ICO).

UNTERSCHRIFTENBLOCK