Vereinbarung zur Auftragsverarbeitung

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend „Vereinbarung") konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zwischen ihnen geschlossenen Hauptvertrag über IT-Dienstleistungen (nachfolgend „Hauptvertrag"). Sie gilt für alle Tätigkeiten, bei denen Beschäftigte der hagel IT-Services GmbH oder von ihr beauftragte Unterauftragsverarbeiter personenbezogene Daten des Auftraggebers im Auftrag verarbeiten — einschließlich des Einsatzes des KI-gestützten Echtzeit-Assistenzsystems „Quill".

Auftraggeber (nachfolgend „Verantwortlicher") ist der im Hauptvertrag bezeichnete Kunde.
Auftragnehmer (nachfolgend „Auftragsverarbeiter") ist die

Soweit nachfolgend auf Artikel verwiesen wird, sind die Artikel der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO") gemeint. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieser Vereinbarung vor.

§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich abschließend aus Anlage 1 zu dieser Vereinbarung.

(2) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Eine Verarbeitung in einem Drittland erfolgt nur, soweit sie in Anlage 3 ausgewiesen ist und die dort genannten Garantien nach Kapitel V DSGVO eingehalten werden.

(3) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags, sofern sich aus den Bestimmungen dieser Vereinbarung — insbesondere zu Löschung und Rückgabe nach § 10 — keine darüber hinausgehenden Pflichten ergeben.

§ 2 Verantwortlichkeit und Weisungsrecht

(1) Der Verantwortliche ist im Rahmen dieser Vereinbarung allein für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer (Art. 28 Abs. 3 lit. a). Die im Hauptvertrag und in dieser Vereinbarung getroffenen Festlegungen gelten als Erstweisung. Einzelweisungen sind in Textform zu erteilen und werden vom Auftragsverarbeiter dokumentiert.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

§ 3 Vertraulichkeit

(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4).

(2) Die Verpflichtung auf das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Die mit der Verarbeitung befassten Beschäftigten werden über die einschlägigen Datenschutzbestimmungen sowie die Weisungsgebundenheit unterrichtet.

§ 4 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Art. 28 Abs. 3 lit. c, Art. 32). Die Maßnahmen sind dem Stand der Technik entsprechend fortzuentwickeln; der Auftragsverarbeiter darf einzelne Maßnahmen anpassen, sofern das vereinbarte Schutzniveau dadurch nicht unterschritten wird.

(2) Der Auftragsverarbeiter überprüft die Wirksamkeit der Maßnahmen regelmäßig und weist sie dem Verantwortlichen auf Anfrage nach (siehe § 7).

§ 5 Inanspruchnahme weiterer Auftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen (Art. 28 Abs. 2 Satz 2). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt und werden vom Verantwortlichen genehmigt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Frist von mindestens 14 Tagen vorab in Textform. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund widersprechen (Art. 28 Abs. 2 Satz 1). Im Fall eines berechtigten Widerspruchs sind die Parteien bemüht, eine einvernehmliche Lösung zu finden; gelingt dies nicht, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.

(3) Der Auftragsverarbeiter erlegt dem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in dieser Vereinbarung festgelegt sind, insbesondere die Gewährung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 4). Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten.

(4) Erfolgt eine Verarbeitung durch einen Unterauftragsverarbeiter in einem Drittland, stellt der Auftragsverarbeiter sicher, dass die Anforderungen des Kapitels V DSGVO erfüllt sind (Angemessenheitsbeschluss — etwa das EU-US Data Privacy Framework — und/oder EU-Standardvertragsklauseln nebst erforderlicher zusätzlicher Maßnahmen). Die maßgeblichen Garantien sind in Anlage 3 ausgewiesen.

(5) Als Unterauftragsverarbeitung im Sinne dieser Vereinbarung gilt nicht die Inanspruchnahme von Nebenleistungen Dritter, die der Auftragsverarbeiter als reine Hilfsleistung in Anspruch nimmt (z. B. Telekommunikations-, Post-/Transport- oder Wartungsleistungen). Der Auftragsverarbeiter ist jedoch verpflichtet, auch hier den Schutz der personenbezogenen Daten zu gewährleisten.

§ 6 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23, insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) nachzukommen (Art. 28 Abs. 3 lit. e).

(2) Richtet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der in Art. 32 bis 36 genannten Pflichten — insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde (Art. 28 Abs. 3 lit. f).

§ 7 Nachweise und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h).

(2) Der Nachweis kann auch durch die Vorlage geeigneter, aktueller Zertifizierungen, Testate oder Berichte (z. B. nach ISO 27001 oder genehmigten Verhaltensregeln nach Art. 40) geführt werden. Kontrollen vor Ort werden mit angemessener Vorankündigung, in der Regel zu den üblichen Geschäftszeiten und ohne vermeidbare Störung des Betriebsablaufs durchgeführt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung oder Maßnahme gegen Datenschutzvorschriften verstößt.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich nach Bekanntwerden (Art. 33 Abs. 2). Die Meldung enthält, soweit verfügbar, die nach Art. 33 Abs. 3 erforderlichen Angaben.

(2) Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und stimmt sich hierzu mit dem Verantwortlichen ab.

§ 9 Löschung und Rückgabe nach Beendigung

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g).

(2) Während der Laufzeit werden Daten nach dem dokumentierten Löschkonzept (Anlage 2) automatisiert nach Ablauf der jeweiligen Aufbewahrungsfrist gelöscht oder anonymisiert. Audio-Rohdaten von Gesprächen werden nicht dauerhaft gespeichert.

(3) Die Löschung wird dem Verantwortlichen auf Verlangen in geeigneter Form bestätigt.

§ 10 Haftung und Schlussbestimmungen

(1) Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.

(2) Änderungen und Ergänzungen dieser Vereinbarung sowie ihrer Anlagen bedürfen der Textform; dies gilt auch für die Aufhebung dieses Formerfordernisses.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen und datenschutzrechtlichen Zweck am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — soweit zulässig — der Sitz des Auftragsverarbeiters.

Anlage 1 — Gegenstand und Einzelheiten der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung und Dokumentation von IT-Support-, Managed-Service- und Beratungsleistungen nach Maßgabe des Hauptvertrags, einschließlich des Einsatzes des KI-gestützten Echtzeit-Assistenzsystems „Quill" zur Unterstützung der Beschäftigten des Auftragsverarbeiters in Support- und Vertriebsgesprächen (Transkription, kontextbezogene Hinweise, Zusammenfassung, Ticket-Erstellung).

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Auslesen, Abfragen, Verwenden (insbesondere Transkription gesprochener Sprache, KI-gestützte Analyse, Zusammenfassung und Vorschlagsgenerierung), Übermitteln an die in Anlage 3 genannten Unterauftragsverarbeiter sowie Löschen.

Zweck: Qualitätssicherung und Dokumentation von Support- und Vertriebsgesprächen, Erstellung und Bearbeitung von Tickets, kontextbezogene Assistenz der Beschäftigten sowie Auswertung zur Verbesserung der Servicequalität.

Art der personenbezogenen Daten:

• Stamm- und Kontaktdaten (Name, Funktion, Telefonnummer, E-Mail-Adresse)
• Kommunikationsinhalte (Gesprächstranskripte sowie Inhalte aus Tickets und E-Mails im Service-Kontext)
• Vertrags- und Nutzungsdaten im Rahmen der betreuten IT-Umgebung
• technische Daten der betreuten Systeme (Geräte-, Konfigurations- und Protokolldaten)
• Sprachdaten als flüchtiger Datenstrom während des Gesprächs (keine dauerhafte Speicherung von Audio-Rohdaten)

Kategorien betroffener Personen: Beschäftigte und Ansprechpartner des Verantwortlichen sowie Anrufer und Endnutzer, die im Rahmen der Serviceleistung mit dem Auftragsverarbeiter in Kontakt treten.

Besondere Kategorien personenbezogener Daten (Art. 9): sind nicht Gegenstand der Verarbeitung. Der Verantwortliche stellt sicher, dass er solche Daten nicht ohne gesonderte Vereinbarung übermittelt.

Dauer: für die Dauer des Hauptvertrags zuzüglich der gesetzlichen und im Löschkonzept (Anlage 2) festgelegten Aufbewahrungsfristen.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32)

Die nachfolgenden Maßnahmen beschreiben das umgesetzte Schutzniveau. Sie entsprechen dem Stand der Technik und werden regelmäßig überprüft und fortentwickelt.

1. Vertraulichkeit

• Zutrittskontrolle: Betrieb der Anwendungsdatenbank in einem nach ISO 27001 zertifizierten Rechenzentrum (Hetzner Online GmbH, Deutschland); Betrieb der Kern-Backend-Komponenten auf einem unternehmenseigenen Server in einem zugangsgesicherten Rechenzentrum in Hamburg.
• Zugangskontrolle: Authentifizierung der Beschäftigten ausschließlich über Microsoft Entra ID (Single-Sign-On) mit Mehr-Faktor-Authentifizierung; ausschließlich personalisierte Konten; kein anonymer Zugang.
• Zugriffskontrolle: rollenbasiertes Berechtigungskonzept nach Abteilung (need-to-know); zeilenbasierte Zugriffssteuerung in der Datenbank (Row-Level-Security) je Anfrage; getrennte Datenbankschemata und Datenbankbenutzer je Anwendung mit minimalen Rechten.
• Trennungskontrolle: logische Mandantentrennung je Kunde; auf den jeweiligen Kunden beschränkte Auswertung und Recherche (kunden­bezogene Eingrenzung der KI-Recherche).

2. Integrität

• Übertragungskontrolle: durchgehende Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen — Weboberfläche, Verbindungstunnel und Datenbankverbindungen; keine unverschlüsselte Übertragung über offene Netze.
• Eingabekontrolle: revisionssicheres Audit-Log für jeden schreibenden Vorgang (wer, wann, was) zur Nachvollziehbarkeit von Verarbeitungs- und Aufnahmeentscheidungen.
• Ruhende Daten werden durch die vorstehenden Zutritts-, Zugangs- und Zugriffskontrollen sowie durch den Betrieb in zugangsgesicherten Rechenzentren geschützt.

3. Verfügbarkeit und Belastbarkeit

• Betrieb in professionellen Rechenzentren mit unterbrechungsfreier Stromversorgung, Brandschutz und Klimatisierung.
• regelmäßige, getestete Datensicherungen der Anwendungsdatenbank; dokumentierter Wiederherstellungsprozess.

4. Verfahren zur Überprüfung, Bewertung und Evaluierung

• Datenminimierung und Pseudonymisierung, soweit für den Zweck möglich.
• automatisiertes Löschkonzept (Retention): Transkript-Texte werden nach 365 Tagen gelöscht; weitere Datenarten nach festgelegten Fristen; das Audit-Log unterliegt der gesetzlichen Aufbewahrung.
• regelmäßige Überprüfung der Wirksamkeit der Maßnahmen sowie Auftragskontrolle gegenüber Unterauftragsverarbeitern.

5. Besondere Maßnahmen des Assistenzsystems „Quill"

• Audio nur als Datenstrom: Gesprächsaudio wird ausschließlich im Arbeitsspeicher verarbeitet und nicht auf Datenträger geschrieben — es entstehen keine ruhenden Audio-Rohdaten.
• Einwilligungssteuerung: eine Aufzeichnung/Transkription erfolgt nur nach vorheriger Ansage mit Widerspruchsmöglichkeit oder auf Grundlage einer bereits bestehenden vertraglichen Vereinbarung; jede Einwilligungsentscheidung wird protokolliert.
• Lokale Vorverarbeitung: Spracherkennung, Relevanz-Klassifikation und Vektor-Indexierung erfolgen auf unternehmenseigener Infrastruktur, sodass insoweit kein Datenabfluss an Dritte stattfindet.

Anlage 3 — Unterauftragsverarbeiter

Zum Stand dieser Vereinbarung werden die folgenden Unterauftragsverarbeiter eingesetzt. Die Verarbeitung findet, soweit nicht anders angegeben, innerhalb der EU/des EWR statt.

Geplante / optionale Dienste: Für den optionalen KI-Sprachagenten (automatisierte Anrufe) ist der Einsatz von Retell AI, Inc. (USA) vorgesehen; ein optionaler Ausweich-Anbieter für das KI-Sprachmodell ist Amazon Web Services EMEA SARL (Region eu-central-1, Frankfurt). Diese Dienste werden erst nach gesonderter Vorab-Information gemäß § 5 Abs. 2 und unter Wahrung der Garantien nach Kapitel V DSGVO produktiv eingesetzt.

Spracherkennung, Relevanz-Klassifikation und Vektor-Indexierung erfolgen auf unternehmenseigener Infrastruktur der hagel IT-Services GmbH und stellen keine Unterauftragsverarbeitung dar.

Diese Vereinbarung wird in Verbindung mit dem jeweiligen Hauptvertrag geschlossen. Für den Abschluss einer unterzeichneten Fassung oder bei Fragen zur Auftragsverarbeitung wenden Sie sich an info@hagel-it.de.