Auftragsverarbeitungsvertrag Nutzung "Libratech.ai"

zwischen

{{company_name}}

{{rep_by_name}}

{{address_line_1}}{{address_line_2}}

{{address_postal_code}} {{address_city}}

als Auftraggeber (nachfolgend "Auftraggeber")

und

Libra Technology GmbH

vert. d. d. Geschäftsführer

Herrn Viktor von Essen

Max-Urich-Str. 3

13355 Berlin

als Auftragsverarbeiter (nachfolgend "Auftragnehmer“)

- Auftraggeber und Auftragnehmer nachfolgend jeder auch "Partei" und gemeinsam "Parteien" -

Präambel

Der Auftraggeber möchte zukünftig die KI-Plattform der Auftragnehmerin "Libratech.ai" für die eigene anwaltliche Mandatsbearbeitung nutzen. Der Auftragnehmer gewährt dem Auftraggeber einen Zugriff zu der von ihm entwickelten Plattform und stellt sicher, dass dieses - ggf. nach Eingabe aller notwendigen Informationen oder auch Upload von weiteren Dokumenten - automatisiert auf individuelle Sachverhalte angepasste Texte erzeugt.

Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung („DS-GVO“). Zur Erfüllung der Anforderungen der DS-GVO an derartige Konstellationen schließen die Parteien den nachfolgenden Vertrag, dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

Da Gegenstand der Verarbeitung auch Daten von Mandanten des Auftraggebers sind, die unter die anwaltliche Schweigepflicht des Mandanten fallen, enthält diese Vereinbarung auch die Pflichten des Auftragnehmers, die dieser als sonstige Person im Sinne von § 203 StGB einhalten muss. Ferner schließen die Parteien ergänzend zu dieser AVV eine gesonderte Vertraulichkeitsvereinbarung in Bezug auf die Konformität mit § 43e BRAO ab.

Zusätzlich verpflichtet sich der Auftragnehmer zur Einhaltung der Bestimmungen des § 53a StPO. Der Auftragnehmer stellt sicher, dass die durch die Nutzung der Plattform erzeugten Daten und Texte, die im Rahmen von Ermittlungsverfahren relevant sein könnten, entsprechend den gesetzlichen Vorgaben behandelt werden. Dies umfasst insbesondere die Verpflichtung zur Verhinderung der Offenlegung oder unbefugten Nutzung von Daten, die der anwaltlichen Schweigepflicht unterliegen.

§ 1 Gegenstand/Umfang der Beauftragung

1. Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend „Auftraggeberdaten“) erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.

2. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und sofern vorhanden, aus der dazugehörigen Leistungsbeschreibung). Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 1 zu diesem Vertrag dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

3. Dem Auftragnehmer ist eine abweichende oder über die Festlegungen im Hauptvertrag hinausgehende Verarbeitung von Auftraggeberdaten untersagt. Dies gilt auch für die Verwendung anonymisierter Daten.

4. Die Verarbeitung der Auftraggeberdaten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Einbeziehung von Subunternehmern in einem Drittland derart, dass die Daten Dritten außerhalb der EU oder des EWR zugänglich gemacht werden würden oder die Daten außerhalb der EU oder des EWR verarbeitet werden würden, ist unzulässig, da das für den Auftraggeber geltende Datenschutzrecht nicht eingehalten werden kann bzw. die Regeln zur anwaltlichen Schweigepflicht aus § 203 StGB durch die Weitergabe verletzt werden würden.

5. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

§ 2 Weisungsbefugnisse des Auftraggebers

1. Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i. S. v. Art. 28 DS-GVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch „Weisungsrecht“). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

2. Weisungen werden vom Auftraggeber grundsätzlich schriftlich erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer schriftlich zu bestätigen. Die weisungs- und empfangsberechtigten Personen ergeben sich aus Anlage 2. Bei einem Wechsel oder einer längerfristigen Verhinderung der in Anlage 2 benannten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.

3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

§ 3 Schutzmaßnahmen des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

2. Der Auftragnehmer verpflichtet sich explizit auf die Einhaltung der anwaltlichen Schweigepflicht nach § 203 Abs. 1 Strafgesetzbuch (StGB) gegenüber dem Auftraggeber.

Der Auftragsnehmer wurde vom Auftraggeber darüber belehrt, dass über sämtliche Daten von Mandantinnen und Mandanten absolute Verschwiegenheit über alle im Rahmen der Beauftragung bekanntwerdenden Vorgänge und Daten zu wahren ist. Die Pflicht zur Verschwiegenheit besteht gegenüber allen, insbesondere auch gegenüber Familienangehörigen der Mitarbeiterinnen und Mitarbeiter und gegenüber Subunternehmern. Dem Auftragnehmer ist bekannt, dass die Verschwiegenheitsverpflichtung auch bei Beendigung der Geschäftsbeziehungen unverändert fortbesteht.

Des Weiteren wurde der Auftragnehmer über die gesetzlichen Bestimmungen zum Zeugnisverweigerungsrecht gemäß § 53a StPO belehrt. Der Auftragnehmer verpflichtet sich, sicherzustellen, dass alle Mitarbeiter, die im Rahmen ihrer Tätigkeit mit Daten des Auftraggebers in Berührung kommen oder bei denen ein solcher Kontakt nicht ausgeschlossen werden kann, bei Gerichten und Behörden über Tatsachen, die ihnen im Rahmen oder bei Gelegenheit ihrer Tätigkeit bekannt werden, ohne vorherige Befreiung von der Schweigepflicht weder aussagen noch sonstige Auskünfte erteilen.

3. Alle Personen und Subunternehmer, denen sich der Auftragsverarbeiter zur Erfüllung des Auftragsverhältnisses bedient, sind vor der Erbringung von Arbeiten vom Auftragnehmer zur Verschwiegenheit im Sinne dieser Verschwiegenheitsverpflichtung zu verpflichten. Der Auftragnehmer weist dem Auftraggeber diese Verpflichtung der Mitarbeiter sowie sonstiger Personen, denen er sich zur Erfüllung des Auftragsverhältnisses bedient, auf Verlangen nach. Es wird ausdrücklich darauf hingewiesen, dass eine Verletzung der Verschwiegenheitspflicht sowie das Unterlassen der Verschwiegenheitsverpflichtung weiterer Personen, derer sich der Auftragnehmer zur Erfüllung des Auftragsverhältnisses bedient, Anlass zu einem Strafverfahren sein können. Die einschlägigen strafrechtlichen Vorschriften (§ 203 Abs.1, Abs.3, Abs. 4 StGB) sind bekannt. Ebenso ist bekannt, dass diese Vorschriften für den Auftragnehmer und seine Mitarbeiterinnen und Mitarbeiter gelten. Es wird erklärt, dass die Belehrung verstanden wurde und keine weiteren Fragen und Aufklärungswünsche bestehen.

4. Der Auftragnehmer darf personenbezogene Daten von Mandanten Mitarbeitern und Subunternehmern nur insoweit übermitteln, offenlegen oder bereitstellen, wie dies für die Inanspruchnahme der Tätigkeit des Mitarbeiters oder des Subunternehmers erforderlich ist.

5. Der Auftragnehmer, seine Mitarbeiter und Subunternehmer dürfen sich nur insoweit Kenntnis von personenbezogenen Daten verschaffen, als dies für die Vertragserfüllung des Auftragsverarbeiters gegenüber dem Auftraggeber entsprechend der Regelungen des Hauptvertrages erforderlich ist

6. Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden „Mitarbeiter“ genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

7. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DS-GVO, insbesondere die in Anlage 3 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

8. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 3 nicht mehr ausreichend sind und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.

9. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 3 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.

10. Die Auftragnehmerin bekennt sich explizit zu allen Rechten und Pflichten aus § 43a und § 43e der Bundesrechtsanwaltsordnung (BRAO).

11. Der Auftragnehmer verfügt hinsichtlich der vertragsgegenständlichen Leistungen über eine ISO 27001-Zertifizierung und verpflichtet sich, diese für die Dauer des Hauptvertrags aufrechtzuerhalten. Sollte die Zertifizierung wegfallen, hat der Auftragnehmer den Auftraggeber unverzüglich schriftlich zu unterrichten und die Gründe für den Wegfall zu benennen.

§ 4 Informations- und Unterstützungspflichten des Auftragnehmers

1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß § 4 Abs. 1 S. 1 enthalten jeweils zumindest die in Art. 33 Absatz 3 DS-GVO genannten Angaben.

2. Der Auftragnehmer wird den Auftraggeber im Falle des § 4 Abs. 1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß § 7 Abs. 1 dieses Vertrages erforderlich sind. Ferner wird der Auftragnehmer dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung stellen.

§ 5 Sonstige Verpflichtungen des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DS-GVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

2. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO zu unterstützen.

3. Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind support@heydata.eu. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich schriftlich mitzuteilen.

4. Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegt.

§ 6 Subunternehmerverhältnisse

1. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen nicht zur Begründung von Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Ausgenommen sind die bereits bei Vertragsschluss bestehenden Subunternehmerverhältnisse, die in Anlage 4 dieser Vereinbarung aufgelistet sind. Mit Unterzeichnung dieser Vereinbarung erklärt der Auftraggeber seine ausdrückliche Zustimmung zu den in Anlage 4 aufgelisteten Subunternehmerverhältnissen. Weitere Ausnahmen sind nur nach vorheriger ausdrücklicher schriftlicher Zustimmung des Auftraggebers im Einzelfall zulässig. In diesem Fall hat der Auftragnehmer dafür Sorge zu tragen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber den von ihm beauftragten Subunternehmen gelten, wobei dem Auftraggeber gegenüber dem Subunternehmer sämtliche Kontrollrechte gemäß § 7 dieses Vertrages einzuräumen sind. Subunternehmerverhältnisse zu Dritten außerhalb der EU und des Europäischen Wirtschaftsraumes sind nicht gestattet. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Erteilt der Auftragnehmer mit Zustimmung des Auftraggebers Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten sowie die erforderliche Verpflichtung auf § 203 StGB aus diesem Vertrag dem Subunternehmer zu übertragen. Der Auftragsverarbeiter hat die Einhaltung der Pflichten der Subunternehmer zu überprüfen: Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

2. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

§ 7 Kontrollrechte

1. Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß § 3 Abs. 3 dieser Vereinbarung, zu überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

2. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

§ 8 Rechte Betroffener

1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 3 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.

2. Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 3 Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.

3. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

§ 9 Laufzeit und Kündigung

1. Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages.

2. Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt vor, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.

§ 10 Löschung und Rückgabe nach Vertragsende

1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von einem Jahr aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.

2. Der Auftragnehmer wird dem Auftraggeber die Löschung schriftlich bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren; § 7 Abs. 2 dieses Vertrags gilt hierfür entsprechend.

3. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

§ 11 Haftung

1. Die Haftung der Parteien richtet sich nach Art. 82 DS-GVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

§ 12 Schlussbestimmungen

1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

3. Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

4. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Berlin.

{{address_city}}, den {{date}}

__________________________

{{company_name}}

Berlin, den {{date}}

__________________________

Libra Technology GmbH

Anlagen

Anlage 1 –  Beschreibung der Datenarten und der Kategorien betroffener Personen

Beschreibung der betroffenen Personen / Betroffenengruppen sowie der besonders schutzbedürftigen Daten / Datenkategorien

Daten von: 1. Gesellschaftern und Mitarbeitern des Auftraggebers, 

2. Mandanten des Auftraggebers sowie von dem Mandatsgegenstand betroffene Personen wie z.B. Familienangehörige, Anspruchsgegner, Geschäftspartner, Dienstleister/Lieferanten

3. Mitarbeitern der in Ziff.2 genannten Personengruppen

Datenkategorien:

• Adressdaten 

• Bankdaten / Abrechnungsinformationen

• Mitarbeiterdaten

• Qualifikationsdaten

• Versicherungsdaten

• Persönliche Leistungsdaten

• Nutzerdaten

• Nutzungsdaten

• Nutzungshistorie

• Kommunikationsdaten

• Nachrichteninhalte

• Vertragsdaten

• Kontaktdaten

• Stammdaten

• Audio- und Sprachdaten

Anlage 2 –  Weisungs- und empfangsberechtigte Personen

Weisungsberechtigte Personen

• {{rep_name}}

Weisungsempfänger beim Auftragnehmer sind

• Dr. Bo Tranberg

• Viktor von Essen

Anlage 3 – Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DS-GVO)

Technische und organisatorische Maßnahmen (TOMs)

1. Zutrittskontrolle

Maßnahmen, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.

Beschreibung: 

• Sicherheitsschlösser und Zugangssysteme, die nur autorisierten Personen Zutritt gewähren.

• Videoüberwachung der Zugänge zu den Datenverarbeitungsanlagen.

• Sicherheitspersonal, das den physischen Zugang überwacht.

• Besucherprotokolle, um den Zutritt von Nicht-Mitarbeitern zu dokumentieren.

2. Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Beschreibung:

• Einsatz von Benutzerkonten mit starken Passwörtern und Multi-Faktor-Authentifizierung.

• Automatische Sperrung von Benutzerkonten nach mehreren fehlgeschlagenen Anmeldeversuchen.

• Regelmäßige Überprüfung der Zugriffsrechte und Anpassung bei Änderungen in der Mitarbeiterrolle.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung:

• Detaillierte Berechtigungskonzepte und Rollenvergaben in den IT-Systemen.

• Datenzugriff nur für wichtige , Protokollierung des Datenzugriffs, um unbefugte Lese-, Kopier-, Änderungs- oder Entfernungsvorgänge festzustellen.

• Einsatz von Verschlüsselungstechnologien zum Schutz der Daten.

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Beschreibung:

• Sichere Übertragungsprotokolle wie HTTPS, SFTP oder VPN.

• Verschlüsselung von Datenträgern und E-Mails, die personenbezogene Daten enthalten.

• Protokollierung und Monitoring aller Datenübertragungen.

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Beschreibung:

• Audit-Logs, die alle Eingaben, Änderungen und Löschungen von Daten dokumentieren.

• Regelmäßige Überprüfung der Log-Dateien durch die IT-Sicherheitsbeauftragten.

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Beschreibung:

• Verträge zur Auftragsdatenverarbeitung, die die Weisungen des Auftraggebers genau festlegen.

• Regelmäßige Schulungen der Mitarbeiter zur Einhaltung dieser Weisungen.

• Technische Restriktionen im IT-System, die die Verarbeitung auf die vertraglich festgelegten Zwecke beschränken.

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung:

• Regelmäßige Backups und redundante Speichersysteme.

• Notfallpläne und Disaster-Recovery-Strategien.

• Schutz vor Malware und Viren durch den Einsatz entsprechender Sicherheitssoftware.

8. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Beschreibung:

• Logische Trennung der Kundendaten durch Mandantentrennung in der Softwarearchitektur.

• Einsatz von Containerisierungstechnologien wie Docker, um Anwendungen in isolierten Umgebungen laufen zu lassen.

• Physikalische Trennung von Test-, Entwicklungs- und Produktivumgebungen.

9. Datenlöschung

Maßnahmen, die gewährleisten, dass personenbezogene Daten gelöscht werden, sobald der Verarbeitungszweck entfallen ist und keine Aufbewahrungspflichten mehr bestehen.

Beschreibung:

• Automatisierte Löschverfahren, die auf Basis der gesetzlichen Aufbewahrungsfristen aktiviert werden.

• Sichere Löschmethoden wie Datenüberschreibung oder Vernichtung von Datenträgern nach DIN-Normen, um Datenrestaurierung zu verhindern.

• Dokumentation aller Löschvorgänge im Löschprotokoll für die Nachvollziehbarkeit.

• Die auf Auftraggeberseite erfolgenden individuellen Dateneingaben auf der Plattform libratech.ai und die daraus resultierenden Datenausgaben der Plattform (z.B. im Rahmen der Chatbot- oder KI-Assistenten-Funktionen) dürfen von dem Auftragnehmer jeweils nur für die Dauer des jeweiligen Nutzungsvorgangs gespeichert werden. Soweit Daten (z.B. Vertragsdokumente) von den Nutzern im Rahmen der RAG-Funktionen dem User-Profilen zugespeichert werden, müssen sie vom Auftragnehmer auf der Plattform endgültig gelöscht werden, sobald der jeweilige User sie in seinem Profil löscht, spätestens mit dem Vertragsende. Sämtliche Ein- und Ausgabedaten oder von Usern zugespeicherten Daten dürfen nicht zu anderen Zwecken als der vom User veranlassten Plattform-Nutzung verwendet werden.

10. Evaluierung

Maßnahmen, zur Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Beschreibung:

• Regelmäßige interne und externe Audits der Sicherheitsmaßnahmen.

• Penetrationstests und Schwachstellenanalysen durch externe Dienstleister.

• Fortlaufende Bewertung und Anpassung der TOMs an aktuelle Sicherheitsstandards.

Anlage 4 –  Genehmigte Subunternehmer

Subunternehmer

Die nachfolgenden Unternehmen sind genehmigte Subunternehmer i. S. d. § 6 dieser Vereinbarung. Alle sind ISO 27001 zertifiziert, vollständig DSGVO-konform und haben die Vertraulichkeit i.S.d. § 203 StGB zugesichert. Alle Daten werden während der Übertragung und im Ruhezustand verschlüsselt.

Die nachfolgenden Unternehmen sind Subunternehmer, die reine Nebenleistungen gemäß § 6 Abs. 2 dieser Vereinbarung erbringen. Alle sind vollständig DSGVO-konform.