Auftragsverarbeitungsvertrag.

Dieser Auftragsverarbeitungsvertrag („AVV“ oder „Vertrag“) ist integraler Bestandteil des Dienstleistungsvertrags gemäß den Allgemeinen Geschäftsbedingungen von FoundersDeck (der „Hauptvertrag“) zwischen:

• Engin Yildirim, Jägerstrasse 20, 78054 Villingen-Schwenningen, Deutschland (nachfolgend „FoundersDeck“, „Auftragsverarbeiter“ oder „Verarbeiter“), und
• dem Kunden, der die Dienste von FoundersDeck nutzt (nachfolgend „Kunde“ oder „Unternehmen“),

nachfolgend gemeinsam die „Parteien“ und jeweils einzeln eine „Partei“ genannt.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten, die der Kunde im Zusammenhang mit den Diensten an FoundersDeck hochlädt oder anderweitig zur Verfügung stellt, sowie die Verarbeitung personenbezogener Daten, die FoundersDeck im Zusammenhang mit den Diensten im Auftrag des Kunden verarbeitet.

Vorbemerkung: (A) Das Unternehmen handelt als Verantwortlicher; (B) das Unternehmen beabsichtigt, die Dienste, die eine Verarbeitung personenbezogener Daten implizieren, an den Auftragsverarbeiter zu vergeben; (C) die Parteien beabsichtigen, einen Auftragsverarbeitungsvertrag abzuschließen, der der Verordnung (EU) 2016/679 (die „DSGVO“) entspricht; und (D) die Parteien wünschen, ihre Rechte und Pflichten festzulegen. Daher wird Folgendes vereinbart:

„Personenbezogene Daten des Unternehmens“

bezeichnet alle personenbezogenen Daten, die von einem beauftragten Verarbeiter im Auftrag des Unternehmens gemäß oder im Zusammenhang mit dem Hauptvertrag verarbeitet werden.

„Beauftragter Verarbeiter“

bezeichnet FoundersDeck oder einen Unterauftragsverarbeiter.

„Datenschutzgesetze“

bezeichnet die DSGVO, das deutsche Bundesdatenschutzgesetz (BDSG) sowie alle weiteren anwendbaren Datenschutz- bzw. Privatsphäregesetze innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums („EWR“).

„Dienste“

hat die im Hauptvertrag festgelegte Bedeutung und umfasst die Uptime-Überwachung, das Hosting von Statusseiten, die Alarmierung sowie damit verbundene Dienste, die von FoundersDeck bereitgestellt werden.

„Unterauftragsverarbeiter“

bezeichnet jede Person, die vom Verarbeiter oder in dessen Auftrag mit der Verarbeitung personenbezogener Daten im Auftrag des Unternehmens im Zusammenhang mit diesem Vertrag beauftragt wird.

Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der DSGVO; ihre sinnverwandten Begriffe sind entsprechend auszulegen.

Der Verarbeiter ist verpflichtet:

• bei der Verarbeitung personenbezogener Daten des Unternehmens sämtliche anwendbaren Datenschutzgesetze einzuhalten;
• personenbezogene Daten des Unternehmens ausschließlich auf der Grundlage der dokumentierten Weisungen des jeweiligen Unternehmens zu verarbeiten (einschließlich der Vorgaben aus dem Hauptvertrag, diesem AVV sowie der Konfiguration der Dienste durch den Kunden).

Das Unternehmen weist FoundersDeck an, personenbezogene Daten des Unternehmens zum Zweck der Erbringung der Dienste gemäß Hauptvertrag und gemäß der vom Kunden im FoundersDeck-Dashboard vorgenommenen Konfiguration zu verarbeiten. Gegenstand, Dauer, Art, Zweck, Arten der personenbezogenen Daten und Kategorien betroffener Personen sind in Anlage 1 unten festgelegt.

Der Verarbeiter trifft angemessene Maßnahmen, um die Zuverlässigkeit jedes Beschäftigten, Beauftragten oder Auftragnehmers eines beauftragten Verarbeiters zu gewährleisten, der Zugang zu personenbezogenen Daten des Unternehmens haben kann. Dabei stellt er in jedem Einzelfall sicher, dass der Zugang strikt auf diejenigen Personen beschränkt ist, die zur Erbringung der Dienste auf die jeweiligen personenbezogenen Daten des Unternehmens zugreifen müssen, und dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen bzw. gesetzlichen Vertraulichkeitspflichten unterliegen.

Der Verarbeiter verarbeitet personenbezogene Daten des Unternehmens ausschließlich zum Zweck der Bereitstellung, des Supports und der Verbesserung der Dienste und setzt dabei geeignete technische und organisatorische Sicherheitsmaßnahmen ein. Der Verarbeiter wird die personenbezogenen Daten des Unternehmens zu keinem anderen Zweck verwenden oder verarbeiten.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ergreift der Verarbeiter geeignete technische und organisatorische Maßnahmen („TOM“), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gegebenenfalls einschließlich der in Art. 32 Abs. 1 DSGVO genannten Maßnahmen.

Die derzeit umgesetzten TOM umfassen:

• Verschlüsselung der Daten bei der Übertragung (TLS 1.2+) zwischen allen Endpunkten des Kunden, den Systemen von FoundersDeck und den Unterauftragsverarbeitern;
• Verschlüsselung im Ruhezustand (Encryption at Rest) für alle persistierten Monitoring- und Account-Daten in der Produktivdatenbank (PostgreSQL);
• Speicherung von Passwörtern unter Verwendung der Schlüsselableitungsfunktion Argon2id mit branchenüblichen Parametern;
• Rollenbasierte Zugriffskontrolle, die den Zugriff auf Datenbank und Infrastruktur auf das für den Betrieb erforderliche Mindestmaß an Personal beschränkt;
• Automatisierte, verschlüsselte Backups, die gemäß dokumentierten Rotations- und Aufbewahrungsrichtlinien aufbewahrt werden;
• Systematische Protokollierung administrativer Zugriffe und sicherheitsrelevanter Ereignisse mit einer Aufbewahrungsdauer, die zur Unterstützung der Vorfallsbearbeitung ausreicht;
• Regelmäßige Sicherheitsupdates und Patches der Betriebssysteme und Anwendungsabhängigkeiten;
• Physische Sicherheit durch den Hosting-Unterauftragsverarbeiter (Netcup GmbH, Tier-3-äquivalentes Rechenzentrum in Nürnberg, Deutschland).

Eine aktuelle Liste der TOM ist auf Anfrage unter info@foundersdeck.dev erhältlich.

Das Unternehmen erkennt an und stimmt zu, dass der Verarbeiter Unterauftragsverarbeiter zur Erbringung der Dienste einsetzt. Der Verarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter vertraglich verpflichtet ist, datenschutzrechtliche Pflichten einzuhalten, die mindestens denjenigen entsprechen, die in diesem AVV festgelegt sind, einschließlich Vertraulichkeitspflichten, die über das Ende der Beauftragung des Unterauftragsverarbeiters hinaus fortbestehen.

Der Verarbeiter setzt für die Verarbeitung personenbezogener Daten des Unternehmens im Zusammenhang mit dem Monitoring-Dienst und den Statusseiten ausschließlich Unterauftragsverarbeiter ein, die innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ansässig sind. Eine eingeschränkte Ausnahme gilt für den Zahlungs-Unterauftragsverarbeiter (Polar Software, Inc., USA), der ausschließlich als Merchant of Record zur Einziehung von Abonnementzahlungen beauftragt wird und lediglich Metadaten zum Kundenkonto (Rechnungs-E-Mail-Adresse, Abonnementstatus, Tarif, Kunden-ID) erhält. Es werden keine Monitoring-Daten, keine Statusseiten-Daten, keine Inhalte von Benachrichtigungen und keine personenbezogenen Daten betroffener Personen, die über die Dienste erhoben wurden, an Polar übermittelt.

Der Verarbeiter führt die aktuelle Liste der Unterauftragsverarbeiter auf der Trust- & Transparency-Seite (die „Unterauftragsverarbeiter-Liste“). Das Unternehmen akzeptiert die zum Zeitpunkt des Abschlusses dieses AVV aufgeführten Unterauftragsverarbeiter.

Der Verarbeiter wird das Unternehmen über jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens dreißig (30) Tage im Voraus per E-Mail an die hinterlegte E-Mail-Adresse des Kunden oder durch Aktualisierung der Unterauftragsverarbeiter-Liste informieren. Das Unternehmen kann einer solchen Änderung innerhalb dieses Zeitraums von dreißig Tagen aus berechtigten datenschutzrechtlichen Gründen widersprechen. Können sich die Parteien über den Einwand nicht einigen, darf das Unternehmen die betroffenen Dienste mit Wirkung zum Zeitpunkt der Beauftragung des neuen Unterauftragsverarbeiters ohne Vertragsstrafe kündigen.

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Verarbeiter das Unternehmen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Unternehmens, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen zu reagieren.

Der Verarbeiter ist verpflichtet:

• das Unternehmen unverzüglich zu benachrichtigen, wenn er einen Antrag einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält;
• sicherzustellen, dass er auf einen solchen Antrag nur auf der Grundlage dokumentierter Weisungen des Unternehmens oder soweit nach geltendem Recht erforderlich reagiert; in diesem Fall hat der Verarbeiter, soweit gesetzlich zulässig, das Unternehmen vor der Beantwortung über diese gesetzliche Anforderung zu informieren.

Der Verarbeiter wird das Unternehmen unverzüglich — in jedem Fall jedoch innerhalb von zweiundsiebzig (72) Stunden — benachrichtigen, sobald er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten des Unternehmens erlangt. Dabei stellt er dem Unternehmen ausreichende Informationen zur Verfügung, damit das Unternehmen etwaige Pflichten zur Meldung oder Benachrichtigung betroffener Personen über die Datenschutzverletzung gemäß den Datenschutzgesetzen erfüllen kann.

Der Verarbeiter wird mit dem Unternehmen kooperieren und auf Anweisung des Unternehmens angemessene wirtschaftliche Maßnahmen ergreifen, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Datenschutzverletzung zu unterstützen.

Der Verarbeiter unterstützt das Unternehmen in angemessenem Umfang bei Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen mit Aufsichtsbehörden, die das Unternehmen nach Art. 35 oder Art. 36 DSGVO billigerweise für erforderlich hält, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die beauftragten Verarbeiter und unter Berücksichtigung der Art der Verarbeitung sowie der ihnen zur Verfügung stehenden Informationen.

Der Verarbeiter wird unverzüglich und in jedem Fall innerhalb von zehn (10) Werktagen ab dem Datum der Beendigung jeglicher Dienste, die die Verarbeitung personenbezogener Daten des Unternehmens umfassen (das „Beendigungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens löschen und deren Löschung veranlassen, sofern die Aufbewahrung nicht nach geltendem Recht erforderlich ist. Die Löschung aus automatisierten, verschlüsselten Backups erfolgt im Rahmen des regulären Backup-Rotationszyklus und ist innerhalb weiterer dreißig (30) Tage abgeschlossen. Auf schriftliche Anfrage stellt der Verarbeiter eine Bestätigung darüber aus, dass die Löschung erfolgt ist.

Der Verarbeiter wird dem Unternehmen auf angemessene schriftliche Anfrage alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieses Vertrags erforderlich sind, und Audits — einschließlich Inspektionen — durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die beauftragten Verarbeiter ermöglichen und dazu beitragen.

Audits werden während der üblichen Geschäftszeiten mit angemessener Vorankündigung und in einer Weise durchgeführt, die den Betrieb des Verarbeiters nicht unangemessen beeinträchtigt. Der Verarbeiter kann seine Pflichten gemäß diesem Abschnitt erfüllen, indem er geeignete Zertifizierungen oder Berichte unabhängiger Dritter — sofern verfügbar — vorlegt und angemessene Kundenfragebögen beantwortet.

Informations- und Prüfrechte des Unternehmens entstehen nach diesem Abschnitt nur insoweit, als der Vertrag dem Unternehmen nicht bereits anderweitig Informations- und Prüfrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.

Personenbezogene Daten des Unternehmens, die den Monitoring-Dienst, die Statusseiten, die Alarmierung und alle weiteren operativen Dienste betreffen, werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet, konkret in Nürnberg, Deutschland (Netcup GmbH). Es werden keine Monitoring-Daten, keine Statusseiten-Daten und keine personenbezogenen Daten betroffener Personen in Drittländer außerhalb der EU/des EWR übermittelt.

Die einzige Ausnahme betrifft den Zahlungs-Unterauftragsverarbeiter (Polar Software, Inc., USA), der Account-Metadaten (Rechnungs-E-Mail-Adresse, Abonnementstatus, Tarif, Kunden-ID) ausschließlich zum Zweck der Zahlungsabwicklung und der Steuererhebung als Merchant of Record erhält. Diese Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks und, soweit anwendbar, auf Grundlage der Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Der Verarbeiter wird das Unternehmen über jede Änderung der Rechtsordnungen, in denen Unterauftragsverarbeiter tätig sind, im Voraus gemäß Abschnitt 05 informieren; das Unternehmen behält sich das Widerspruchsrecht zu den dort festgelegten Bedingungen vor.

Dieser AVV bleibt so lange in Kraft, wie FoundersDeck Verarbeitungstätigkeiten personenbezogener Daten im Auftrag des Kunden durchführt, oder bis zur Beendigung des Hauptvertrags und bis alle personenbezogenen Daten des Unternehmens gemäß Abschnitt 09 zurückgegeben oder gelöscht worden sind.

Vertraulichkeit. Jede Partei ist verpflichtet, diesen Vertrag sowie sämtliche Informationen, die sie im Zusammenhang mit diesem Vertrag über die andere Partei und deren Geschäftstätigkeit erhält („Vertrauliche Informationen“), vertraulich zu behandeln und diese Vertraulichen Informationen ohne vorherige schriftliche Zustimmung der anderen Partei weder zu nutzen noch offenzulegen, es sei denn, die Offenlegung ist gesetzlich vorgeschrieben oder die betreffenden Informationen sind bereits öffentlich zugänglich.

Mitteilungen. Alle Mitteilungen und Kommunikationen im Rahmen dieses Vertrags bedürfen der Textform und werden per E-Mail an info@foundersdeck.dev (für FoundersDeck) bzw. an die im FoundersDeck-Account des Kunden hinterlegte E-Mail-Adresse (für den Kunden) übermittelt.

Vorrang. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG).

Für Kunden, die Unternehmer, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen sind, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag Konstanz, Deutschland.

Gegenstand

Bereitstellung von Uptime-Überwachung, Hosting von Statusseiten, Alarmierung sowie damit verbundener Dienste durch FoundersDeck für den Kunden.

Dauer

Für die Laufzeit des Hauptvertrags zuzüglich der Löschfristen gemäß Abschnitt 09.

Art der Verarbeitung

Erhebung, Speicherung, Strukturierung, Organisation, Nutzung, Übermittlung, Löschung und Vernichtung personenbezogener Daten, soweit zur Bereitstellung der Dienste erforderlich.

Zweck

Erbringung von Uptime-Überwachung und Statusseiten-Diensten für den Kunden, einschließlich der Benachrichtigung der vom Kunden benannten Empfänger im Falle von Vorfällen.

Arten personenbezogener Daten

E-Mail-Adressen und (optional) Telefonnummern oder Webhook-Endpunkte der vom Kunden benannten Alarm-Empfänger; in Server-Logs enthaltene IP-Adressen; Account-Zugangsdaten der eigenen Teammitglieder des Kunden; jegliche personenbezogene Daten, die unbeabsichtigt in URLs, HTTP-Antworten, Monitor-Bezeichnungen oder Vorfall-Metadaten enthalten sind, die vom Kunden konfiguriert wurden.

Kategorien betroffener Personen

Beschäftigte, Auftragnehmer und benannte Alarm-Empfänger des Kunden; Administratoren der Statusseiten des Kunden; Besucher der Statusseiten des Kunden (soweit Log-Daten anfallen).

Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt der Veröffentlichung dieses AVV beauftragt. Die jeweils aktuelle Liste wird auf der Trust- & Transparency-Seite geführt und gemäß Abschnitt 05 aktualisiert.

Dieser AVV kommt zwischen den Parteien automatisch mit der Annahme der Allgemeinen Geschäftsbedingungen von FoundersDeck durch den Kunden zustande. Eine zusätzliche Unterschrift, Gegenzeichnung oder ein Vertriebsgespräch ist nicht erforderlich. Kunden, die für ihre eigenen Unterlagen ein unterzeichnetes Gegenstück benötigen, können sich an info@foundersdeck.dev wenden.