Auftrag zur Verarbeitung personenbezogener Daten
Anhang 2 – Unterauftragsverhältnisse
Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:
Primärer Unterauftragsverarbeiter die für die Erbringung unserer Dienstleistungen eingesetzt wird:
- Google-Cloud-Dienste: Google Cloud EMEA Limited, 70 Sir John Rogerson’s Quay, Dublin 2, Ireland; Zweck: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Telekommunikationsdienstleistungen (E-Mail), Sicherheitsleistungen, Technische Wartungsleistungen; Auftragsverarbeitungsvertrag/ Data Processing and Security Terms (Customers): https://cloud.google.com/terms/data-processing-addendum;
Rechtsgrundlage US-Datentransfers: Angemessenheitsbeschluss im Rahmen des „Data Privacy Framework” (DPF), Zertifizierung Google: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active;
Technische Sicherheitsvorkehrungen: Es gelten die „Safeguards for international data transfers with Google Cloud“ https://services.google.com/fh/files/misc/safeguards_for_international_data_transfers_with_google_cloud.pdf: Verschlüsselung bei der Übertragung/im Ruhezustand/bei der Nutzung; Verstärkte Kundenkontrollen, kryptografische Schlüsselverwaltung, Cloud External Key Manager, Zugangskontrolle, Sicherheit nach dem Stand der Technik 10/ Organisatorische Schutzmaßnahmen: Transparenz, behördliche Anfragen nach Daten; Übernahme von Standards und bewährten Verfahren; Datenresidenz & physische Speicherung von Daten, standortbezogener Zugriff - OpenAI: Schnittstellenzugang (sog. „API“) zu KI-basierten Diensten, die darauf ausgelegt sind, natürliche Sprache und mit ihr verbundene Eingaben sowie Daten zu verstehen und zu generieren, Informationen zu analysieren und Vorhersagen zu treffen; Die Nutzung der OpenAI-Funktionen ist für die Vertragspartner optional und erfolgt nur mit deren ausdrücklicher Bestätigung; Dienstanbieter: OpenAI OpCo, LLC, 3180 18th St., San Francisco, CA 94110 USA; Website: https://openai.com/product; Datenschutzerklärung: https://openai.com/policies/privacy-policy; Auftragsverarbeitungsvertrag: https://openai.com/policies/data-processing-addendum; Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung in Drittländern): https://openai.com/policies/data-processing-addendum; Widerspruchsmöglichkeit (Opt-Out): https://docs.google.com/forms/d/e/1FAIpQLSevgtKyiSWIOj6CV6XWBHl1daPZSOcIWzcUYUXQ1xttjBgDpA/viewform.
Unterstützende Dienste:
Die folgenden Dienste dienen dem Auftragsverarbeiter in erster Linie, um das Vertragsverhältnis mit dem Auftraggeber durchzuführen. In diesem Fall verarbeitet der Auftragsverarbeiter die personenbezogenen Daten als Verantwortlicher (z.B. Kontaktinformationen der Mitarbeiter der Kunden oder Inhalte der Kommunikationen mit ihnen). Dagegen werden diese Dienste nur ausnahmsweise im Rahmen der für den Auftraggeber durchgeführten Auftragsverarbeitung (welche primär die Daten der Social Media Nutzer/ Endkunden betrifft) eingesetzt. Das sind z.B. Fälle, in denen ein Servicevorgang via E-Mail oder Chat besprochen wird und Informationen zu den beteiligten Nutzern enthält. Dennoch legt der Auftragsverarbeiter auch an diese Dienste die gleichen Voraussetzungen an die Rechtmäßigkeit und Sicherheit ihres Einsatzes, wie bei Primärdiensten an.
- Google Workspace: Cloudbasierte Anwendungssoftware (z.B. Text- und Tabellenberarbeitung, Termine- und Kontakteverwaltung), Cloudspeicher und Cloudinfrastrukturdienste; Dienstanbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson’s Quay, Dublin 2, Ireland; Website: https://cloud.google.com/; Datenschutzerklärung: https://cloud.google.com/terms/cloud-privacy-notice, Sicherheitshinweise: https://cloud.google.com/security/privacy; Auftragsverarbeitungsvertrag: https://cloud.google.com/terms/cloud-privacy-notice; US-Datentransfers: Angemessenheitsbeschluss im Rahmen des „Data Privacy Framework” (DPF), s.o.
- SendGrid: Über SendGrid senden wir alle E-Mails an Kunden (Rechnungen, Reports, Newsletter, sonstige transaktionale Mails); Dienstanbieter: Twilio Irland Limited, 25 – 28 North Wall Quay, North Wall, Dublin 1, D01 H104, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: https://sendgrid.com; Datenschutzerklärung: https://www.twilio.com/legal/privacy; Auftragsverarbeitungsvertrag: https://www.twilio.com/legal/data-protection-addendum; Rechtsgrundlage US-Datentransfers: Angemessenheitsbeschluss im Rahmen des „Data Privacy Framework” (DPF), Zertifizierung Twilio: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TNLbAAO&status=Active.
- Slack: Instant-Messaging-Dienst; Dienstanbieter:Slack Technologies, Inc., 500 Howard Street, San Francisco, CA 94105, USA; Website: https://slack.com/intl/de-de/; Datenschutzerklärung: https://slack.com/intl/de-de/legal; Auftragsverarbeitungsvertrag: https://slack.com/intl/de-de/terms-of-service/data-processing; Rechtsgrundlage US-Datentransfers: Angemessenheitsbeschluss im Rahmen des „Data Privacy Framework” (DPF), Zertifizierung Slack: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000GnMBAA0&status=Active.
- Zoom: Videokonferenzen, Webkonferenzen und Webinare; Dienstanbieter: Zoom Video Communications, Inc., 55 Almaden Blvd., Suite 600, San Jose, CA 95113, USA; Website: https://zoom.us; Datenschutzerklärung: https://zoom.us/docs/de-de/privacy-and-legal.html; Auftragsverarbeitungsvertrag: https://zoom.us/docs/de-de/privacy-and-legal.html (referred to as Global DPA); Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung in Drittländern): https://zoom.us/docs/de-de/privacy-and-legal.html (Bezeichnet als Globale DPA); Technische Sicherheitsmaßnahmen: „FAQs: International Data Transfers“ https://zoom.us/docs/doc/EEA_Transfer_of_Data.pdf.