ANLAGE NR. 1 ZU DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN

VERTRAG ÜBER DIE AUFTRAGSVERARBEITUNG (AVV)

PRÄAMBEL

Dieser Vertrag über die Auftragsverarbeitung (nachfolgend: „Vertrag“ oder „AVV“) ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) für die Erbringung von Dienstleistungen über die Plattform „Dokum.ai“.

Der Vertrag regelt die Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 28 der Verordnung (EU) 2016/679 (nachfolgend: „DSGVO“).

Parteien dieses Vertrages sind:

  1. Der Kunde – im Folgenden „Verantwortlicher“ genannt.
  2. Der Anbieter (Dokumind sp. z o.o.) – im Folgenden „Auftragsverarbeiter“ genannt.

§ 1. VERTRAGSGEGENSTAND

  1. Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO, und der Auftragsverarbeiter verpflichtet sich, diese Daten im Einklang mit dem geltenden Recht und diesem Vertrag zu verarbeiten.
  2. Die Beauftragung umfasst personenbezogene Daten, die in Dateien, Dokumenten und Inhalten enthalten sind, welche vom Verantwortlichen in das System Dokum.ai eingegeben werden (nachfolgend: „Anvertraute Daten“).

§ 2. ZWECK, UMFANG UND DAUER DER VERARBEITUNG

  1. Zweck der Verarbeitung: Die Anvertrauten Daten werden ausschließlich zur Erfüllung der in den AGB definierten Dienstleistung verarbeitet, d. h. zur Bereitstellung eines SaaS-Dienstes zur automatischen Verarbeitung, OCR, Analyse von Dokumenten und deren sicherer Speicherung.
  2. Dauer: Die Verarbeitung erfolgt für die Dauer des Dienstleistungsvertrages zuzüglich der in den AGB festgelegten Migrationsphase (Übergangsfrist).
  3. Art der Daten: Gewöhnliche personenbezogene Daten sowie (abhängig vom Inhalt der vom Verantwortlichen hochgeladenen Dokumente) andere Datenkategorien.
  4. Kategorien betroffener Personen: Vertragspartner, Mitarbeiter, Mitarbeiter des Verantwortlichen sowie andere natürliche Personen, deren Daten in den im Rahmen des Dienstes verarbeiteten Dokumenten enthalten sind.

§ 3. PFLICHTEN DES AUFTRAGSVERARBEITERS

Der Auftragsverarbeiter verpflichtet sich:

  1. Die Anvertrauten Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Als dokumentierte Weisung gelten die Akzeptanz der AGB sowie die Handlungen des Verantwortlichen innerhalb der Anwendung (z. B. Hochladen einer Datei, Exportauftrag).
  2. Zur Verarbeitung der Daten nur Personen zuzulassen, die zur Verarbeitung verpflichtet wurden und sich zur Verschwiegenheit verpflichtet haben.
  3. Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen (Sicherheit der Verarbeitung), einschließlich der Verschlüsselung von Daten bei der Übertragung und im Ruhezustand.
  4. Den Verantwortlichen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen (DSGVO) zu unterstützen.
  5. Den Verantwortlichen bei der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde zu unterstützen.
  6. Nach Feststellung einer Verletzung des Schutzes Anvertrauter Daten dies dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Entdeckung, zu melden.
  7. **** Der Auftragsverarbeiter verpflichtet sich, dass die Anvertrauten Daten (einschließlich der in Dokumenten enthaltenen personenbezogenen Daten) nicht zum Trainieren, maschinellen Lernen oder zur Verbesserung globaler KI-Modelle des Auftragsverarbeiters oder seiner Unterauftragsverarbeiter verwendet werden, es sei denn, der Verantwortliche erteilt hierzu eine gesonderte Zustimmung (gemäß den in den AGB beschriebenen Anonymisierungsgrundsätzen).

§ 4. UNTERAUFTRAGSVERHÄLTNISSE (SUB-PROZESSOREN)

  1. Der Verantwortliche erteilt eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragnehmer) durch den Auftragsverarbeiter, insbesondere von Anbietern von Cloud-Infrastruktur und OCR/KI-Tools.
  2. Die aktuelle Liste der wichtigsten Unterauftragnehmer befindet sich in der Datenschutzerklärung des Auftragsverarbeiters.
  3. Der Auftragsverarbeiter stellt sicher, dass er den Unterauftragnehmern vertraglich dieselben Datenschutzpflichten auferlegt, die auch für den Auftragsverarbeiter gelten.
  4. Der Auftragsverarbeiter informiert den Verantwortlichen über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche hat das Recht, gegen solche Änderungen innerhalb von 14 Tagen Einspruch zu erheben.

§ 5. KONTROLLRECHT (AUDIT)

  1. Gemäß Art. 28 Abs. 3 lit. h DSGVO stellt der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag festgelegten Pflichten nachzuweisen.
  2. Aufgrund des Cloud-Modells der Dienstleistung (SaaS) erfolgt die Umsetzung des Auditrechts in erster Linie durch die Bereitstellung von Sicherheitsdokumentationen und Zertifikaten.
  3. Eine direkte Inspektion ist im Falle eines begründeten Verdachts auf Rechtsverletzungen nach vorheriger Terminvereinbarung und Unterzeichnung einer Vertraulichkeitsvereinbarung möglich.

§ 6. DATENTRANSFER AUSSERHALB DES EWR

  1. Der Auftragsverarbeiter speichert Daten auf Servern innerhalb des Europäischen Wirtschaftsraums (EWR).
  2. Sollte eine Übermittlung von Daten in ein Drittland (z. B. USA) erforderlich sein, erfolgt diese ausschließlich auf der Grundlage:
    a) Eines Angemessenheitsbeschlusses der Europäischen Kommission (z. B. EU-US Data Privacy Framework); oder
    b) Standardvertragsklauseln (SCC).

§ 7. LÖSCHUNG VON DATEN

  1. Der Auftragsverarbeiter löscht unverzüglich nach Beendigung der Dienstleistung alle personenbezogenen Daten.
  2. Die Parteien vereinbaren, dass die Löschung der Daten nach Ablauf der in den AGB beschriebenen 30-tägigen Übergangsfrist erfolgt (es sei denn, der Verantwortliche fordert zuvor deren sofortige Löschung). Nach diesem Termin werden die Daten dauerhaft und unwiderruflich gelöscht.

§ 8. SCHLUSSBESTIMMUNGEN

  1. In Angelegenheiten, die in diesem Vertrag nicht geregelt sind, gelten die Vorschriften der DSGVO und die Bestimmungen der AGB.
  2. Die Haftung des Auftragsverarbeiters aus diesem Vertrag ist gemäß den in Kapitel V der AGB festgelegten Grundsätzen beschränkt.
  3. Dieser Vertrag gilt ab dem Zeitpunkt der Akzeptanz der AGB durch den Kunden bis zum Abschluss der Datenverarbeitung.