Datenschutz

Letztes Update: 12. August 2025

Betreff und Laufzeit der DPA

1.1 Betreff

1.1.1 Der Gegenstand der DPA ergibt sich aus den Nutzungsbedingungen, die zwischen dem Auftragsverarbeiter und dem Verantwortlichen über die Bereitstellung der Patterno-Anwendung (nachfolgend als „Hauptvertrag“ bezeichnet) abgeschlossen wurden.

1.2 Laufzeit

1.2.1 Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Hauptvertrags. Das Recht, diese DPA aus wichtigem Grund fristlos zu kündigen, bleibt unberührt. Kündigungen müssen schriftlich erfolgen, um wirksam zu sein. Die Datenverarbeitung im Rahmen dieser DPA darf nur außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums durchgeführt werden, sofern die erforderlichen Datenschutzanforderungen gemäß Artikel 44 ff. DSGVO erfüllt sind.

Spezifikation des Umfangs der DPA

2.1 Art und Zweck der beabsichtigten Datenverarbeitung

2.1.1 Die Daten des Verantwortlichen dürfen vom Auftragsverarbeiter zum Zweck der Durchführung des Hauptvertrags verarbeitet werden.

2.2 Art der Daten und Kategorien von betroffenen Personen

2.2.1 Gegenstand der Verarbeitung personenbezogener Daten sind die in Anhang 1 angegebenen Datenarten/-kategorien und die darin angegebenen Personenkategorien.

Technische und organisatorische Maßnahmen

3.1 Der Auftragsverarbeiter trifft Sicherheit gemäß Artikel 28(3)(c) und 32 DSGVO, insbesondere im Zusammenhang mit Artikel 5(1), (2) DSGVO.

3.2 Der Auftragsverarbeiter hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung dokumentiert, insbesondere im Hinblick auf die spezifische Durchführung der DPA in Anhang 2. Der Verantwortliche stimmt den in Anhang 2 aufgeführten Maßnahmen zu und hat diese als angemessen akzeptiert. Soweit die Prüfung/Audit des Verantwortlichen Anpassungsbedarf aufzeigt, werden die erforderlichen Anpassungen einvernehmlich umgesetzt.

3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. In diesem Zusammenhang ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen zu implementieren. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

3.4 Die Verarbeitung von Daten durch Mitarbeiter des Auftragsverarbeiters außerhalb der Geschäftsräume des Auftragsverarbeiters (mobiles Arbeiten) ist zulässig. Der Verantwortliche erkennt an, dass in diesen Fällen die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen nicht vollständig passen. Der Auftragsverarbeiter sichert jedoch zu, dass er auch für die Datenverarbeitung im Rahmen dieser DPA außerhalb seiner eigenen Geschäftsräume entsprechende technische und organisatorische Maßnahmen ergreift. Der Auftragsverarbeiter wird dem Verantwortlichen auf dessen Verlangen die firmeninterne Richtlinie zum mobilen Arbeiten vorlegen.

Berichtigung, Einschränkung und Löschung von Daten

4.1 Der Auftragsverarbeiter darf die unter dieser DPA verarbeiteten Daten nicht eigenmächtig berichtigen, löschen oder deren Verarbeitung einschränken, sondern nur entsprechend den Weisungen des Verantwortlichen. Falls eine betroffene Person den Auftragsverarbeiter direkt kontaktiert, um das Recht auf Berichtigung, Löschung oder Einschränkung geltend zu machen, leitet der Auftragsverarbeiter die Anfrage an den Verantwortlichen weiter.

Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

5.1 Neben der Einhaltung der Bestimmungen dieser DPA hat der Auftragsverarbeiter gesetzliche Verpflichtungen gemäß den Artikeln 28 bis 33 der DSGVO; in dieser Hinsicht stellt der Auftragsverarbeiter insbesondere die Einhaltung folgender Anforderungen sicher:

5.1.1 Der Auftragsverarbeiter ist sich bewusst, dass er Unternehmensdaten, die besondere Vertraulichkeit erfordern und gegebenenfalls auch Geschäftsgeheimnisse des Verantwortlichen, verarbeiten kann. Bei der Verarbeitung stellt der Auftragsverarbeiter daher sicher, dass nur Mitarbeiter beschäftigt werden, die zur Geheimhaltung verpflichtet wurden und die zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Der Auftragsverarbeiter informiert seine Mitarbeiter über die außergewöhnliche Vertraulichkeit solcher Daten und sensibilisiert und schult alle Mitarbeiter entsprechend. Der Auftragsverarbeiter und jede unter seiner Kontrolle stehende Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich gemäß den Weisungen des Verantwortlichen verarbeiten, einschließlich der in dieser DPA erteilten Berechtigungen, es sei denn, sie sind gesetzlich verpflichtet, sie zu verarbeiten. Die weitergehenden Geheimhaltungspflichten gemäß Abschnitt 9 bleiben unberührt.

5.1.2 Der Verantwortliche und der Auftragsverarbeiter verpflichten sich, auf Verlangen mit der Aufsichtsbehörde bei der Erfüllung ihrer Pflichten zusammenzuarbeiten.

5.1.3 Der Verantwortliche wird unverzüglich über Maßnahmen und Maßnahmen der Aufsichtsbehörde informiert, soweit sie sich auf diese DPA beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen von Ordnungswidrigkeiten oder Strafverfahren im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen dieser DPA durch den Auftragsverarbeiter ermittelt.

5.1.4 Soweit der Verantwortliche einer Inspektion durch die Aufsichtsbehörde, Verwaltungs- oder Strafverfahren, einer Haftungsklage eines Betroffenen oder Dritter oder sonstiger Ansprüche im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen unterliegt, unterstützt der Auftragsverarbeiter den Verantwortlichen mit größtmöglicher Anstrengung.

5.1.5 Der Auftragsverarbeiter überwacht regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Auftragsverarbeiters gemäß den Anforderungen des geltenden Datenschutzrechts erfolgt und dass der Schutz der Rechte der betroffenen Personen sichergestellt ist.

5.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Verpflichtungen, die in den Artikeln 32 bis 36 der DSGVO hinsichtlich der Sicherheit personenbezogener Daten, der Verpflichtungen zur Meldung von Datenschutzverletzungen, der Datenschutz-Folgenabschätzungen und der vorherigen Konsultationen festgelegt sind. Dies umfasst unter anderem die Verpflichtung:

5.2.1 Einen angemessenen Datenschutz durch technische und organisatorische Maßnahmen sicherzustellen, die die Umstände und Zwecke der Verarbeitung sowie die vorhersehbare Wahrscheinlichkeit und Schwere eines potenziellen Sicherheitsvorfalls berücksichtigen und eine sofortige Erkennung relevanter Vorfälle ermöglichen.

5.2.2 Persönliche Datenverstöße unverzüglich dem Verantwortlichen zu melden.

5.2.3 Den Verantwortlichen bei der Erfüllung der Verpflichtung des Verantwortlichen zur Information der betroffenen Person zu unterstützen und dem Verantwortlichen in diesem Zusammenhang alle relevanten Informationen unverzüglich zur Verfügung zu stellen.

5.2.4 Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen.

5.2.5 Den Verantwortlichen bei vorherigen Konsultationen mit der Aufsichtsbehörde zu unterstützen.

5.3 Für Unterstützungsleistungen, die im Hauptvertrag nicht vereinbart sind oder aufgrund eines Verschuldens des Auftragsverarbeiters anfallen, kann der Auftragsverarbeiter eine angemessene Vergütung beanspruchen.

Sub-Auftragsverarbeiter

6.1 „Sub-Auftragsverarbeiter“ im Sinne dieser Bestimmung sind Dienstleister, die Dienstleistungen erbringen, die direkt mit der Erbringung der Hauptleistung im Rahmen dieser DPA zusammenhängen. Nicht umfasst vom Begriff Sub-Auftragsverarbeiter sind Dienstleister, die dem Auftragsverarbeiter Nebenleistungen erbringen, z. B. Telekommunikationsdienste, Post-/Transportdienste, Wartungs- und Benutzerservice oder die Entsorgung von Datenträgern sowie andere Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungssystemen. Der Auftragsverarbeiter verpflichtet sich jedoch, auch bei ausgelagerten Nebenleistungen angemessene und rechtlich einwandfreie vertragliche Vereinbarungen sowie Kontrollmaßnahmen umzusetzen, um den Datenschutz und die Datensicherheit der Daten des Verantwortlichen zu gewährleisten.

6.2 Der Verantwortliche stimmt der Beauftragung der in Anhang 3 aufgeführten Sub-Auftragsverarbeiter zu, sofern eine vertragliche Vereinbarung zwischen dem Auftragsverarbeiter und dem jeweiligen Sub-Auftragsverarbeiter gemäß Artikel 28(2) bis (4) DSGVO geschlossen wird.

6.3 Die Auslagerung von Datenverarbeitung an weitere Sub-Auftragsverarbeiter oder der Wechsel der beauftragten Sub-Auftragsverarbeiter ist zulässig, sofern:

6.3.1 Der Auftragsverarbeiter den Verantwortlichen innerhalb eines angemessenen Zeitraums im Voraus schriftlich oder in Textform über die Auslagerung an Sub-Auftragsverarbeiter informiert.

6.3.2 Der Verantwortliche nicht schriftlich widerspricht; und

6.3.3 Eine vertragliche Vereinbarung gemäß Artikel 28(2) bis (4) DSGVO als vertragliche Grundlage verwendet wird.

6.4 Der Widerspruch gemäß Abschnitt 6.3.2 muss innerhalb eines Monats nach Bereitstellung der Informationen erfolgen. Im Falle eines Widerspruchs trägt der Verantwortliche die Konsequenzen (z. B. subjektive Leistungsunmöglichkeit) und alle zusätzlichen Kosten, die dadurch entstehen, dass der Sub-Auftragsverarbeiter nicht beauftragt werden kann. Kann der Auftragsverarbeiter aufgrund des Widerspruchs die im Hauptvertrag vereinbarte Leistung nicht oder nur zu wirtschaftlich unzumutbaren Aufwendungen erbringen, steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht zu.

6.5 Der Transfer personenbezogener Daten des Verantwortlichen an den Sub-Auftragsverarbeiter und die erstmalige Beauftragung des Sub-Auftragsverarbeiters sind nur zulässig, nachdem alle Anforderungen für die Auslagerung der Datenverarbeitung an Sub-Auftragsverarbeiter erfüllt sind.

6.6 Falls der Sub-Auftragsverarbeiter die vereinbarte Leistung außerhalb der EU/EWR erbringt, stellt der Auftragsverarbeiter sicher, dass die vom Sub-Auftragsverarbeiter erbrachte Leistung durch geeignete Maßnahmen datenschutzkonform ist. Dasselbe gilt, falls Dienstleister im Sinne von Abschnitt 6.1 Nebenleistungen erbringen sollen.

6.7 Eine weitere Auslagerung durch den Sub-Auftragsverarbeiter ist nur im Rahmen der gesetzlichen Bestimmungen zulässig.

Kontrollrechte des Verantwortlichen

7.1 Der Verantwortliche hat das Recht, nach Absprache mit dem Auftragsverarbeiter, Inspektionen in den Geschäftsräumen des Auftragsverarbeiters durchzuführen oder Inspektionen durch namentlich zu benennende Prüfer durchführen zu lassen. Der Verantwortliche hat das Recht, sich während der Geschäftszeiten in den Geschäftsräumen des Auftragsverarbeiters durch Stichproben von der Einhaltung dieser DPA zu überzeugen, die mindestens vier Wochen im Voraus angekündigt werden müssen. Solche Inspektionen finden nicht mehr als einmal pro Jahr statt.

7.2 Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche sich von der Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage die notwendigen Informationen zur Verfügung zu stellen und insbesondere den Nachweis der Umsetzung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu erbringen.

7.3 Der Nachweis dieser Maßnahmen, die sich nicht nur auf die spezifische Datenverarbeitung im Rahmen dieser DPA beziehen, kann erbracht werden durch:

7.3.1 Einhaltung von genehmigten Verhaltenskodizes gemäß Artikel 40 DSGVO.

7.3.2 Zertifizierung gemäß einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO.

7.3.3 Aktuelle Bescheinigungen, Berichte oder Auszüge aus Berichten unabhängiger Organisationen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheitsabteilungen, Datenschutzprüfer, Qualitätsprüfer).

7.3.4 Geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. gemäß den Standards für IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik).

7.4 Der Auftragsverarbeiter kann eine angemessene Vergütung für die Ermöglichung der Durchführung von Inspektionen durch den Verantwortlichen beanspruchen.

Weisungsbefugnis des Verantwortlichen

8.1 Der Verantwortliche bestätigt mündliche Anweisungen unverzüglich mindestens in Textform (dokumentierte Anweisung). Der Verantwortliche kann keinen Anspruch aus Anweisungen ableiten, die nicht rechtzeitig in Textform bestätigt wurden.

8.2 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, falls der Auftragsverarbeiter der Meinung ist, dass eine Anweisung gegen Datenschutzvorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Anweisung auszusetzen, bis die Anweisung vom Verantwortlichen bestätigt oder geändert wurde.

8.3 Der Auftragsverarbeiter ist verpflichtet, alle Kenntnisse über personenbezogene Daten, Geschäftsgeheimnisse und Datensicherheitsmaßnahmen des Verantwortlichen, die im Rahmen der vertraglichen Beziehung erlangt werden, vertraulich zu behandeln.

Vertraulichkeit

9.1 Der Auftragsverarbeiter darf Kenntnis von vertraulichen Informationen nur in dem Maße erlangen, wie es für die Erfüllung seiner Aufgaben gegenüber dem Verantwortlichen erforderlich ist. Sofern der Auftragsverarbeiter Mitarbeiter oder Dienstleister zur Vertragserfüllung einsetzt, legt der Auftragsverarbeiter diesen Personen dieselben Verpflichtungen aus dieser DPA auf. Entsprechende Erklärungen werden dem Verantwortlichen auf Anforderung vorgelegt. Der Auftragsverarbeiter kann auch Mustererklärungen vorlegen, sofern die Vorlage aller eingereichten Erklärungen im Einzelfall aus rechtlichen oder tatsächlichen Gründen unverhältnismäßig ist und sofern der Auftragsverarbeiter schriftlich zusichert, dass alle relevanten Mitarbeiter/Dienstleister gemäß diesem Muster verpflichtet wurden. Abschnitt 6 und insbesondere Abschnitt 6.1 bleiben in jedem Fall unberührt.

9.2 Soweit zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Hauptvertrag oder an anderer Stelle bereits eine Geheimhaltungsverpflichtung vereinbart wurde, gelten die Bestimmungen zur Vertraulichkeit aus diesem Abschnitt 9 zusätzlich zu dieser Geheimhaltungsverpflichtung. Im Falle eines Konflikts in Bezug auf eine bestimmte Situation gilt für den Auftragsverarbeiter die stringentere Bestimmung.

9.3 Die im Abschnitt 9 festgelegte Geheimhaltungspflicht gilt auch nach Beendigung der vertraglichen Beziehung für unbestimmte Zeit.

Löschung und Rückgabe personenbezogener Daten

10.1 Kopien oder Duplikate der Daten dürfen ohne Wissen des Verantwortlichen nicht erstellt werden. Dies gilt nicht für Sicherungskopien, soweit diese erforderlich sind, um eine ordnungsgemäße Datenverarbeitung sowie eine Datenverarbeitung zu gewährleisten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.

10.2 Nach Abschluss der vertraglich vereinbarten Dienstleistungen oder früher auf Wunsch des Verantwortlichen – spätestens bei Beendigung des Hauptvertrags – ist der Auftragsverarbeiter verpflichtet, alle Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie ihm zur Verfügung gestellte Datenbestände, die im Zusammenhang mit dem Vertragsverhältnis erstellt wurden, dem Verantwortlichen zurückzugeben oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Das gleiche gilt für Test- und Verwerfungsmaterial. Der Vernichtungsnachweis wird auf Anfrage vorgelegt.

10.3 Dokumentationen, die als Nachweis der ordnungsgemäßen Datenverarbeitung im Sinne dieser DPA dienen, werden vom Auftragsverarbeiter über die Laufzeit der DPA hinaus gemäß den jeweiligen Aufbewahrungsfristen aufbewahrt. Der Auftragsverarbeiter kann diese dem Verantwortlichen nach Ablauf der DPA-Laufzeit zur Entlastung des Auftragsverarbeiters übergeben.

Haftung

11.1 Falls Schadensersatzansprüche im Sinne des Artikels 82 DSGVO, Bußgelder im Sinne des Artikels 83 DSGVO und/oder andere Sanktionen im Sinne des Artikels 84 DSGVO gegen eine Partei im Zusammenhang mit den unter dieser DPA geregelten Verarbeitungstätigkeiten angedroht oder verhängt werden, informiert diese betroffene Partei die andere Partei unverzüglich in Textform. Der Verantwortliche und der Auftragsverarbeiter verpflichten sich, sich gegenseitig bei der Abwehr der vorgenannten Ansprüche zu unterstützen.

11.2 Der Verantwortliche und der Auftragsverarbeiter haften für die Datenverarbeitung im Außenverhältnis gemäß den geltenden Gesetzen. Die Haftung im Innenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter richtet sich nach den Bestimmungen des Hauptvertrags.

Schlussbestimmungen

12.1 Die Bestimmungen dieser DPA gelten nur für die Verarbeitung personenbezogener Daten gemäß Artikel 28 DSGVO und haben Vorrang vor etwaigen widersprüchlichen oder abweichenden Bestimmungen des Hauptvertrags, soweit dies der Fall ist.

12.2 Alle Änderungen dieser DPA müssen schriftlich erfolgen. Dies gilt auch für Änderungen dieser Schriftformklausel. Die Schriftform kann auch durch Austausch von Briefen erreicht werden (mit Ausnahme von Kündigungen) oder durch elektronisch übermittelte Signaturen (Fax, Übermittlung von gescannten Unterschriften per E-Mail). Abschnitt 127(2) und (3) BGB findet jedoch ansonsten keine Anwendung.

Anhang 1: Kategorien betroffener Personen und Kategorien personenbezogener Daten

Anhang 2: Technische und organisatorische Maßnahmen

Vertraulichkeit

a) Zugangskontrolle (Räumlichkeiten) — Kein unbefugter Zugang zu Datenverarbeitungssystemen, gewährleistet durch:

b) Zugriffskontrolle (Systemzugang) — Keine unbefugte Systemnutzung, gewährleistet durch:

c) Zugriffskontrolle (Datenzugang) — Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen innerhalb des Systems, gewährleistet durch:

d) Trennungskontrolle — Separate Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, gewährleistet durch:

e) Pseudonymisierung — Verarbeitung personenbezogener Daten auf eine Weise, dass die Daten ohne Rückgriff auf zusätzliche Informationen nicht einer spezifischen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt und angemessenen technischen und organisatorischen Maßnahmen unterliegen.

Integrität

a) Übertragungskontrolle — Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen bei der elektronischen Übertragung oder beim Transport, gewährleistet durch:

b) Eingabekontrolle — Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, gewährleistet durch:

Verfügbarkeit und Belastbarkeit

a) Verfügbarkeitskontrolle — Schutz vor zufälliger oder vorsätzlicher Zerstörung oder Verlust, gewährleistet durch:

b) Schnelle Wiederherstellbarkeit — Gewährleistet durch regelmäßige Backups und eine entsprechende Backup-Strategie (online/offline; vor Ort/außerhalb).

Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung

Anhang 3: Sub-Auftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der in diesem Anhang 3 aufgeführten Sub-Auftragsverarbeiter zu, sofern eine vertragliche Vereinbarung zwischen dem jeweiligen Sub-Auftragsverarbeiter gemäß Artikel 28(2)–(4) DSGVO geschlossen wird.