Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien, soweit AIream im Rahmen der Zusammenarbeit personenbezogene Daten im Auftrag des Kunden verarbeitet. Er gilt ergänzend zu den AGB und geht den AGB bei Widersprüchen in Bezug auf Auftragsverarbeitung personenbezogener Daten vor.
1. Rollen der Parteien
- Der Kunde ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, soweit er über Zwecke und Mittel der Verarbeitung personenbezogener Daten im Kundenprojekt entscheidet.
- AIream ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, soweit AIream personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Kunden verarbeitet.
- Soweit AIream personenbezogene Daten für eigene Zwecke verarbeitet, insbesondere für Websitebetrieb, Kommunikation, Vertragsverwaltung, Abrechnung, Sicherheit und eigene Geschäftsvorgänge, handelt AIream als eigenständig Verantwortlicher. Für diese Verarbeitungen gilt die Datenschutzerklärung von AIream.
2. Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Gegenstand: Unterstützung des Kunden bei der Erstellung, Weiterentwicklung, Analyse, Prüfung, Bereitstellung und Dokumentation kundenspezifischer Web-Anwendungen durch die AIream-Entwicklungspipeline.
- Dauer: Die Verarbeitung erfolgt für die Dauer der Zusammenarbeit und bis zur Löschung oder Rückgabe der Daten gemäß AGB, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten, soweit dies für das Kundenprojekt erforderlich ist.
- Zweck: Umsetzung der vom Kunden vorgegebenen Roadmap-Punkte, Entwicklung und Prüfung von Software, Fehleranalyse, Testunterstützung, Dokumentation, Deployment-Unterstützung, Kommunikation zum Projekt und Bereitstellung des Workspace.
AIream verarbeitet personenbezogene Daten nicht für eigene Produktentwicklung, Werbung, Profilbildung oder Training öffentlicher oder anbieterinterner Foundation-Modelle.
3. Kategorien personenbezogener Daten
Je nach Kundenprojekt können insbesondere folgende Daten verarbeitet werden:
- Kontaktdaten, z. B. Name, E-Mail-Adresse, Telefonnummer, Firma, Rolle, Kommunikationsdaten.
- Projekt- und Inhaltsdaten, z. B. Beschreibungen, Dokumente, Tickets, Roadmap-Einträge, Anhänge, Screenshots, Dateien, Testdaten.
- Nutzungs- und technische Daten, z. B. Logdaten, IP-Adressen, Geräte- und Browserdaten, Fehlerprotokolle, Zugriffszeitpunkte, technische IDs.
- Geschäftsdaten des Kunden oder seiner Nutzer, soweit sie vom Kunden in das Projekt eingebracht werden.
- Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, Daten von Kindern, Gesundheitsdaten, biometrische Daten, Zahlungsdaten, Ausweisdaten oder strafrechtlich relevante Daten dürfen nur verarbeitet werden, wenn dies vorab ausdrücklich in Textform vereinbart wurde und die hierfür erforderlichen Schutzmaßnahmen festgelegt wurden.
4. Kategorien betroffener Personen
Je nach Kundenprojekt können insbesondere folgende Personengruppen betroffen sein:
- Ansprechpartner, Mitarbeiter, Auftragnehmer oder Berater des Kunden.
- Kunden, Interessenten, Nutzer oder Geschäftspartner des Kunden.
- Testnutzer, Bewerber, Teilnehmer, Patienten oder sonstige Personen, deren Daten der Kunde in das Projekt einbringt.
- Mitarbeiter oder Auftragnehmer von AIream, soweit diese im Rahmen der Projektkommunikation auftreten.
5. Weisungen des Kunden
- AIream verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht zur Verarbeitung besteht.
- Weisungen können insbesondere über den Workspace, Roadmap-Einträge, Tickets, E-Mail, Projektchats oder sonstige in Textform dokumentierte Kommunikationswege erteilt werden.
- Mündliche Weisungen sind vom Kunden unverzüglich in Textform zu bestätigen.
- AIream informiert den Kunden unverzüglich, wenn AIream der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt. AIream ist berechtigt, die Ausführung einer offensichtlich rechtswidrigen Weisung bis zur Klärung auszusetzen.
- Der Kunde bleibt für die Rechtmäßigkeit der Verarbeitung, die Zulässigkeit der Weisungen und die Wahrung der Rechte betroffener Personen verantwortlich.
6. Pflichten von AIream
AIream verpflichtet sich:
- personenbezogene Daten ausschließlich im Rahmen dieses AVV, der AGB und der dokumentierten Weisungen des Kunden zu verarbeiten;
- die mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterwerfen;
- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen und aufrechtzuerhalten;
- den Kunden nach Möglichkeit bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen zu unterstützen;
- den Kunden bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden angemessen zu unterstützen, soweit die Verarbeitung durch AIream betroffen ist;
- personenbezogene Daten nach Ende der Verarbeitung nach Wahl des Kunden zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
- dem Kunden die zur Erfüllung der Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung zu stellen.
7. Pflichten des Kunden
Der Kunde verpflichtet sich:
- personenbezogene Daten nur dann an AIream zu übermitteln oder im Workspace bereitzustellen, wenn hierfür eine ausreichende Rechtsgrundlage besteht;
- betroffene Personen ordnungsgemäß zu informieren, soweit dies erforderlich ist;
- keine besonderen Kategorien personenbezogener Daten, Gesundheitsdaten, Daten von Kindern, biometrischen Daten, Zahlungsdaten, Ausweisdaten oder strafrechtlich relevanten Daten bereitzustellen, sofern dies nicht vorab ausdrücklich in Textform vereinbart wurde;
- keine Geschäftsgeheimnisse mit besonderem Schutzbedarf, hochvertraulichen Unternehmensdaten, regulierten Daten oder sonstigen sensiblen Inhalte bereitzustellen, sofern deren Verarbeitung durch AIream, Unterauftragsverarbeiter oder KI-gestützte Werkzeuge nicht vorab ausdrücklich in Textform vereinbart wurde;
- besonders vertrauliche, sensible oder regulierte Daten vor der Bereitstellung klar zu kennzeichnen und nur in dem Umfang bereitzustellen, der für das Kundenprojekt erforderlich ist;
- AIream rechtzeitig über branchenspezifische, regulatorische oder besondere datenschutzrechtliche Anforderungen zu informieren;
- Weisungen klar, vollständig und rechtmäßig zu erteilen;
- Testdaten nach Möglichkeit zu anonymisieren, zu pseudonymisieren oder synthetisch zu erzeugen, wenn echte personenbezogene Daten für die Entwicklung nicht erforderlich sind;
- Zugänge, Rollen und Berechtigungen auf Kundenseite angemessen zu verwalten.
Stellt der Kunde besondere Kategorien personenbezogener Daten, Geschäftsgeheimnisse mit besonderem Schutzbedarf, hochvertrauliche Unternehmensdaten, regulierte Daten oder sonstige sensible Inhalte ohne vorherige ausdrückliche Vereinbarung bereit, erfolgt dies außerhalb des vereinbarten Leistungsumfangs. Der Kunde bleibt für die Rechtmäßigkeit, Erforderlichkeit, Kennzeichnung und Minimierung dieser Daten sowie für daraus entstehende Risiken, Schäden, Ansprüche Dritter oder behördliche Maßnahmen verantwortlich, soweit AIream hierfür nicht nach zwingendem Recht oder aufgrund einer eigenen Pflichtverletzung haftet.
8. Technische und organisatorische Maßnahmen (TOMs)
AIream trifft angemessene technische und organisatorische Maßnahmen unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken.
Zu den TOMs gehören insbesondere, soweit für das jeweilige Projekt anwendbar:
- Zugriffskontrolle: rollenbasierte Zugriffsrechte, Need-to-know-Prinzip, individuelle Benutzerkonten, angemessene Authentifizierungsmaßnahmen.
- Zugangsschutz: Schutz administrativer Zugänge, sichere Passwort- und Schlüsselverwaltung, Einschränkung privilegierter Zugriffe.
- Übertragungsschutz: verschlüsselte Übertragung über aktuelle TLS-Verbindungen, soweit technisch verfügbar.
- Speicherschutz: angemessene Verschlüsselung oder Zugriffsbeschränkung für gespeicherte Daten, Secrets und Konfigurationen.
- Trennung: projektbezogene Trennung von Workspaces, Repositories, Umgebungen und Berechtigungen.
- Protokollierung: angemessene Protokollierung sicherheitsrelevanter Zugriffe und Änderungen, soweit technisch und wirtschaftlich angemessen.
- Verfügbarkeit: angemessene Maßnahmen zur Wiederherstellung von Entwicklungs- und Workspace-Zugängen nach technischen Störungen, soweit diese im Verantwortungsbereich von AIream liegen.
- Löschung: Prozesse zur Löschung oder Rückgabe von Projektdaten nach Vertragsende gemäß AGB und diesem AVV.
- Vertraulichkeit: Vertraulichkeitsverpflichtungen für Personen, die Zugriff auf personenbezogene Daten erhalten.
- Prüfung: regelmäßige interne Überprüfung und Anpassung der TOMs unter Berücksichtigung der Projekt- und Risikolage.
Produktivumgebungen des Kunden, vom Kunden ausgewählte Drittanbieter und vom Kunden betriebene Systeme fallen nicht unter die TOMs von AIream, soweit AIream deren Betrieb nicht ausdrücklich übernommen hat.
9. Unterauftragsverarbeiter
- Der Kunde erteilt AIream eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese für Hosting, Workspace-Betrieb, Code-Repositories, Kommunikation, E-Mail, Dateiablage, KI-gestützte Verarbeitung, Testing, Deployment, Monitoring oder sonstige Vertragserfüllung erforderlich sind.
- AIream verpflichtet Unterauftragsverarbeiter vertraglich im erforderlichen Umfang auf Datenschutz- und Vertraulichkeitspflichten, die den Pflichten dieses AVV im Wesentlichen entsprechen.
- AIream bleibt gegenüber dem Kunden für die Erfüllung der datenschutzrechtlichen Pflichten der eingesetzten Unterauftragsverarbeiter verantwortlich.
- AIream informiert den Kunden über neue oder ersetzte Unterauftragsverarbeiter in angemessener Weise, z. B. durch eine aktuelle Liste, E-Mail oder Hinweis im Workspace.
- Der Kunde kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Information widersprechen. Kann der Widerspruch nicht durch zumutbare Maßnahmen gelöst werden, ist AIream berechtigt, die betroffenen Leistungen auszusetzen oder den betroffenen Projektteil zu beenden.
Aktuelle Unterauftragsverarbeiter
Die konkrete Liste ist vor produktiver Nutzung personenbezogener Daten zu ergänzen und aktuell zu halten.
| Anbieter | Zweck | Ort der Verarbeitung | Drittlandtransfer / Garantie |
|---|---|---|---|
| [Git-/Repository-Anbieter ergänzen] | Code-Repository, Projektdateien | [ergänzen] | [ergänzen] |
| [Hosting-/Workspace-Anbieter ergänzen] | Workspace, Preview, Storage | [ergänzen] | [ergänzen] |
| [KI-Modellanbieter ergänzen] | KI-gestützte Code- und Textverarbeitung | [ergänzen] | [ergänzen] |
| [E-Mail-/Kommunikationsanbieter ergänzen] | Projektkommunikation | [ergänzen] | [ergänzen] |
10. Drittlandübermittlungen
- Eine Verarbeitung oder Zugänglichmachung personenbezogener Daten außerhalb der EU/des EWR erfolgt nur, soweit die Voraussetzungen der DSGVO eingehalten werden.
- Geeignete Garantien können insbesondere ein Angemessenheitsbeschluss der Europäischen Kommission, das EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder andere nach der DSGVO zulässige Mechanismen sein.
- Der Kunde erkennt an, dass bei Einsatz bestimmter Cloud-, KI-, Repository- oder Kommunikationsdienste Drittlandbezüge entstehen können. Details ergeben sich aus der jeweils aktuellen Unterauftragsverarbeiterliste.
11. Unterstützung bei Betroffenenrechten
- Wendet sich eine betroffene Person unmittelbar an AIream und betrifft die Anfrage ein Kundenprojekt, leitet AIream die Anfrage an den Kunden weiter, soweit eine Zuordnung möglich ist.
- AIream beantwortet solche Anfragen nicht eigenständig, es sei denn, der Kunde weist AIream dazu an oder AIream ist gesetzlich hierzu verpflichtet.
- AIream unterstützt den Kunden angemessen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchspflichten, soweit die Verarbeitung durch AIream betroffen ist.
12. Datenschutzverletzungen
- AIream informiert den Kunden unverzüglich, nachdem AIream eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO festgestellt hat, soweit diese das Kundenprojekt betrifft.
- Die Information enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der betroffenen Daten und Personen, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen.
- Die Bewertung, ob eine Meldung an eine Aufsichtsbehörde oder Benachrichtigung betroffener Personen erforderlich ist, obliegt dem Kunden, soweit der Kunde Verantwortlicher ist. AIream unterstützt den Kunden hierbei angemessen.
13. Nachweise und Audits
- AIream stellt dem Kunden auf Anfrage die zur Erfüllung von Art. 28 DSGVO erforderlichen Informationen in angemessenem Umfang zur Verfügung.
- Audits durch den Kunden oder einen beauftragten Prüfer sind nach angemessener Vorankündigung, während üblicher Geschäftszeiten und unter Wahrung der Vertraulichkeit, Sicherheit und Rechte anderer Kunden möglich.
- Audits dürfen den Geschäftsbetrieb von AIream nicht unangemessen beeinträchtigen und müssen auf den für das Kundenprojekt relevanten Umfang beschränkt bleiben.
- Soweit gleichwertige Nachweise, Berichte, Zertifikate oder Sicherheitsdokumentationen verfügbar sind, kann AIream diese vorrangig bereitstellen.
- Aufwände für kundenspezifische Audits, die über gesetzlich erforderliche Standardunterstützung hinausgehen, können nach vorheriger Ankündigung gesondert berechnet werden.
14. Löschung und Rückgabe
- Nach Ende des zuletzt gebuchten Pakets gelten die Löschfristen der AGB.
- Der Kunde ist dafür verantwortlich, vor Ablauf der Löschfrist benötigte Inhalte, insbesondere Quellcode, Roadmap-Exporte, Dokumente und sonstige Materialien, zu exportieren oder herunterzuladen.
- Auf dokumentierte Weisung des Kunden löscht AIream personenbezogene Daten früher, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherungsinteressen entgegenstehen.
- Gesetzlich aufzubewahrende Daten werden nur für die jeweilige Aufbewahrungspflicht gespeichert und nicht mehr für Projektzwecke verarbeitet.
15. Haftung
Die Haftung der Parteien richtet sich nach den AGB, soweit zwingendes Datenschutzrecht keine abweichende Haftung vorsieht. Gesetzliche Ansprüche betroffener Personen und Befugnisse von Aufsichtsbehörden bleiben unberührt.
16. Schlussbestimmungen
- Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
- Im Falle eines Widerspruchs zwischen diesem AVV und den AGB geht dieser AVV in Bezug auf Auftragsverarbeitung personenbezogener Daten vor.
- Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.