Dieser Vertrag über die Auftragsverarbeitung personenbezogener Daten (im Folgenden „Vertrag“) regelt die Rechte und Pflichten zwischen der Simple Tools GmbH, Mühlweg 2a, 85614 Kirchseeon (im Folgenden „Auftragnehmer“) und dem jeweiligen Kunden (im Folgenden „Auftraggeber“).
Der Auftragnehmer übernimmt die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers, insbesondere durch die Bereitstellung und Nutzung der Plattform „Mika“. Die Verarbeitung erfolgt gemäß den Bestimmungen der DSGVO sowie den vertraglich festgelegten Anweisungen des Auftraggebers.
Ziel dieses Vertrages ist es, den Schutz der verarbeiteten personenbezogenen Daten sicherzustellen und eine rechtskonforme Verarbeitung zu gewährleisten.
Der Auftragnehmer behält sich das Recht vor, den Vertrag im Falle von technischen oder rechtlichen Änderungen anzupassen, um die Einhaltung der DSGVO und andere Anforderungen zu gewährleisten.
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der Plattform „Mika“. Diese Datenverarbeitung umfasst unter anderem die Analyse von Texten, hochgeladenen Dokumenten, die pseudonymisierte Verarbeitung und den Einsatz der KI-Assistenten.
Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer oder bis zur Kündigung durch eine der Parteien.
Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer umfasst folgende Arten der Verarbeitung:
Der Zweck der Verarbeitung besteht darin, dem Auftraggeber die Nutzung der Plattform zur Erstellung, Verwaltung und Verbesserung von KI-Assistenten zu ermöglichen.
Von der Verarbeitung betroffen sind die folgenden Kategorien von Personen:
Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich gemäß den Anweisungen des Auftraggebers und den geltenden Datenschutzgesetzen zu verarbeiten. Eine Verwendung der Daten zu anderen Zwecken ist untersagt.
Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung eingesetzten Personen mit den Datenschutzbestimmungen vertraut sind und die Vertraulichkeit der Daten wahren.
Der Auftragnehmer setzt den Strukturfilter immer ein, um personenbezogene Daten zu schützen. Der Einsatz und die Pflege des Pseudonymisierungsfilters obliegen dem Auftraggeber. Wird der Pseudonymisierungsfilter aktiviert, übernimmt der Auftragnehmer die Verantwortung für die korrekte Funktionalität.
Die Verantwortung für die personenbezogenen Daten liegt beim Auftraggeber, bis die Daten erfolgreich und fehlerfrei an die Plattform übermittelt wurden.
Der Auftragnehmer verpflichtet sich, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen. Diese Maßnahmen umfassen, aber sind nicht beschränkt auf:
Die Sicherheitsmaßnahmen können den technischen Entwicklungen entsprechend angepasst werden, solange das vereinbarte Schutzniveau nicht unterschritten wird.
Der Auftragnehmer ist berechtigt, im Rahmen der Datenverarbeitung externe Partner einzusetzen, die bestimmte Aufgaben übernehmen, wie zum Beispiel die Bereitstellung von KI-Diensten durch spezialisierte Anbieter. Diese Partner unterstützen die Bereitstellung und Verbesserung der Plattform „Mika“.
Die Verarbeitung der personenbezogenen Daten durch diese Partner erfolgt gemäß den geltenden Datenverarbeitungsvereinbarungen und unterliegt den Anforderungen der GDPR.
Der Auftragnehmer bleibt verantwortlich für die Sicherstellung, dass die Partner die Datenverarbeitung im Rahmen der Datenschutzbestimmungen ordnungsgemäß durchführen.
Der Auftraggeber ist dafür verantwortlich, sicherzustellen, dass er die erforderlichen Berechtigungen und Einwilligungen für die Verarbeitung der von ihm zur Verfügung gestellten personenbezogenen Daten eingeholt hat. Er trägt die alleinige Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen bei der Erhebung, Verarbeitung und Nutzung der Daten.
Der Auftraggeber ist zudem verantwortlich für die Pflege und Vollständigkeit des Pseudonymisierungsfilters sowie für die korrekte Nutzung der bereitgestellten Datenschutzfunktionen, die teilweise durch den Auftraggeber selbst verwaltet werden können.
Eine Prüfung der Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglich vereinbarten Maßnahmen erfolgt im Rahmen der von beiden Parteien vereinbarten Prozesse. Direkter Zugriff auf den Code oder die internen Systeme des Auftragnehmers ist dabei nicht vorgesehen.
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Anforderung gegen geltende Datenschutzbestimmungen verstößt.
Bei einem Verstoß gegen den Schutz personenbezogener Daten oder bei anderen Datenschutzvorfällen verpflichtet sich der Auftragnehmer, den Auftraggeber unverzüglich zu benachrichtigen, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls.
Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten entweder zu löschen oder dem Auftraggeber, je nach dessen Wahl, zurückzugeben. Dies gilt auch für etwaige Datenkopien.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Verlangen den Nachweis der ordnungsgemäßen Löschung oder Rückgabe der Daten zu erbringen.
Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind für einen Zeitraum von mindestens drei Jahren nach Vertragsbeendigung aufzubewahren.
Sollten zusätzliche Arbeiten im Zusammenhang mit der Löschung oder Rückgabe von Daten erforderlich sein, die über die im Vertrag vorgesehenen Maßnahmen hinausgehen, können nach vorheriger Absprache und Zustimmung des Auftraggebers zusätzliche Kosten entstehen.
Der Auftragnehmer haftet nur im Rahmen der gesetzlichen Bestimmungen und haftet nicht für Schäden, die durch Handlungen, Vorschläge oder Empfehlungen der KI-Assistenten entstehen. Der Auftraggeber trägt die Verantwortung für die Überprüfung und Nutzung der Ergebnisse, die von den KI-Assistenten bereitgestellt werden.
Eine Vertragsstrafe wird nur im Falle eines nachweislichen Verstoßes gegen wesentliche Pflichten dieses Vertrags und im gesetzlich vorgeschriebenen Rahmen fällig.
Beide Parteien sind verpflichtet, alle im Rahmen dieses Vertragsverhältnisses erlangten Informationen vertraulich zu behandeln, auch nach Beendigung des Vertrags. Dies gilt insbesondere für Geschäftsgeheimnisse und datenschutzrelevante Informationen.
Nebenabreden zu diesem Vertrag bedürfen der Schriftform.
Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige, die dem wirtschaftlichen Zweck am nächsten kommt.