Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Stand: April 2026
Zwischen
dem registrierten Kunden der Biscotti CMP – nachfolgend „Verantwortlicher“ oder „Kunde“ genannt –
und der
Campcruisers GmbH Berliner Str. 21 B 14612 Falkensee Bundesrepublik Deutschland
Registergericht: Amtsgericht Potsdam Registernummer: HRB 40180 P USt-IdNr.: DE368000447 Steuernummer: 29/249/36095 Geschäftsführer: Daniel Bosch\nAußerdem vertretungsberechtigt: Philipp André Marschall (Prokurist) E-Mail: info@biscotti-cmp.com Telefon: +49 3322 50703301 Geschäftszeiten: Mo-Fr, 09:00 - 17:00 Uhr – nachfolgend „Auftragsverarbeiter“ oder „Anbieter“ genannt –
– Verantwortlicher und Auftragsverarbeiter nachfolgend gemeinsam auch die „Parteien“ genannt –
Präambel
Herzlich willkommen bei der Campcruisers GmbH! Wir freuen uns sehr, Sie als Kunden begrüßen zu dürfen. Transparenz, höchste Sicherheitsstandards und ein partnerschaftlicher Umgang auf Augenhöhe stehen bei uns an erster Stelle. Der Schutz Ihrer Daten und der Daten Ihrer Website-Besucher ist für uns nicht nur eine gesetzliche Verpflichtung, sondern ein zentrales Qualitätsversprechen unseres Unternehmens.
Der Verantwortliche nutzt die vom Auftragsverarbeiter entwickelte, betriebene und vertriebene cloudbasierte Software-as-a-Service (SaaS) Lösung „Biscotti CMP“ (Consent Management Platform). Im Rahmen der Erbringung dieser SaaS-Dienstleistungen, die unter der Domain biscotti-cmp.com sowie der Applikation app.biscotti-cmp.com bereitgestellt werden, verarbeitet der Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten. Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der Biscotti CMP ergeben. Er findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag (Nutzungsvertrag über die SaaS-Dienste) in Zusammenhang stehen und bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.
Dieser Vertrag ist zwingend erforderlich, um den Anforderungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere des Art. 28 DSGVO, sowie den ergänzenden Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) vollumfänglich zu entsprechen.
[!NOTE] Vertragsschluss im elektronischen Geschäftsverkehr Dieser Vertrag wird gemäß Art. 28 Abs. 9 DSGVO in einem elektronischen Format geschlossen. Er ist bei Anmeldung/Registrierung durch den Verantwortlichen integraler Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) der Biscotti CMP. Der Vertragsschluss erfolgt durch die ausdrückliche elektronische Zustimmung im Zuge der Registrierung (z.B. durch Anklicken eines Bestätigungs-Buttons) und bedarf zu seiner Gültigkeit und rechtlichen Wirksamkeit keiner gesonderten, handschriftlichen Unterschrift.
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand der Verarbeitung Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich des Einwilligungsmanagements (Consent Management) und der datenschutzrechtlichen Compliance-Automatisierung. Der Gegenstand der Verarbeitung personenbezogener Daten ergibt sich aus dem zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Biscotti CMP. Die Verarbeitung umfasst alle datenbezogenen Vorgänge, die zur Bereitstellung der vertraglich vereinbarten Software-Funktionalitäten erforderlich sind. Hierzu gehören insbesondere, aber nicht abschließend:
- Die Bereitstellung und Auslieferung von Einwilligungsbannern (Cookie-Bannern) auf den Webseiten des Verantwortlichen.
- Die Erfassung, Speicherung, Verwaltung und Dokumentation von Einwilligungsentscheidungen (Zustimmung / Ablehnung) der Endnutzer (Website-Besucher) des Verantwortlichen gemäß Art. 7 Abs. 1 DSGVO und § 25 Abs. 1 TDDDG.
- Die Durchführung von KI-gestützten Cookie-Scans auf den Webseiten des Verantwortlichen zur Identifikation und Kategorisierung von Tracking-Technologien und deren Abgleich mit der IAB-Anbieter-Datenbank.
- Die Verarbeitung von Signalen im Rahmen des Google Consent Mode v2, des IAB Transparency & Consent Framework (TCF 2.2) sowie der Global Privacy Control (GPC).
- Die IP-basierte Ermittlung der Jurisdiktion des Website-Besuchers zur dynamischen Ausspielung rechtskonformer Banner-Varianten (z.B. DSGVO, CCPA/CPRA).
- Die KI-gestützte Generierung von Rechtstexten (Impressum, Datenschutzerklärung, Cookie-Richtlinie) über den integrierten Legal Suite Assistenten unter Einsatz von Google Gemini.
- Die Bereitstellung von Prüfprotokollen (Audit-Logs), Webhooks zur Echtzeit-Benachrichtigung, A/B-Testing-Funktionalitäten sowie Datenexport-Funktionen zur Erfüllung von Betroffenenrechten nach Art. 15 DSGVO.
- Die Verwaltung von Agentur-Unterkonten im Rahmen des „Agency“-Tarifs, einschließlich der Mandantenverwaltung und des White-Label-Brandings.
1.2 Dauer der Verarbeitung Die Laufzeit dieses Auftragsverarbeitungsvertrags richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrages über die Nutzung der Biscotti CMP. Der Vertrag tritt mit der Registrierung des Verantwortlichen und der Aktivierung des Kontos (bei kostenlosen Tarifen) bzw. mit der Zahlungsbestätigung (bei kostenpflichtigen Tarifen wie Starter, Growth, Business, Agency) in Kraft. Er endet automatisch mit der Beendigung des Hauptvertrages, gleich aus welchem Rechtsgrund (z.B. durch ordentliche Kündigung, außerordentliche Kündigung oder Löschung des Accounts). Die Kündigungsfrist für den Hauptvertrag beträgt 1 Tag zum Ende der jeweiligen Abrechnungsperiode. Bestimmungen dieses Vertrages, die ihrer Natur nach über die Beendigung hinaus gelten sollen (insbesondere Regelungen zur Löschung und Rückgabe von Daten sowie Haftungsfragen), bleiben von der Beendigung unberührt.
§ 2 Art und Zweck der Verarbeitung
2.1 Art der Verarbeitung Die Art der Verarbeitung umfasst das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die Verarbeitung erfolgt primär automatisiert in der Cloud-Infrastruktur des Auftragsverarbeiters (z.B. gehostet auf der Google Cloud Platform, Server-Standort typischerweise Europäische Union).
2.2 Zweck der Verarbeitung Der Zweck der Verarbeitung liegt ausschließlich in der Erfüllung der vertraglichen Pflichten aus dem Hauptvertrag. Dies beinhaltet:
- Nachweisbarkeit der Einwilligung: Speicherung der Einwilligungsdaten zur Erfüllung der Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 Abs. 2 i.V.m. Art. 7 Abs. 1 DSGVO.
- Technische Bereitstellung: Auslieferung des Einwilligungsbanners und Sicherstellung der Funktionalität der Website des Verantwortlichen unter Berücksichtigung der Nutzerpräferenzen.
- Compliance-Analyse: Automatisierte Überprüfung der Webseiten des Verantwortlichen auf datenschutzrechtliche Risiken (Cookie-Scanner).
- Rechtstexterstellung: Verarbeitung von Unternehmens- und Kontaktdaten des Verantwortlichen zur KI-gestützten Erstellung von maßgeschneiderten Rechtstexten.
- Abrechnung und Kontoverwaltung: Verwaltung der Nutzerkonten, Zuweisung von Sitzungs-Limits (z.B. 5.000 Sitzungen im Free-Tarif, 500.000 im Business-Tarif) und Abwicklung der Sitzungsübertragungen.
- Agentur-Verwaltung: Ermöglichung der Verwaltung von bis zu 25 Unterkonten im Agency-Tarif, einschließlich der Bereitstellung von Wiederverkäufer-Seiten und E-Mail-Versandfunktionen.
Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters, insbesondere zu eigenen Werbezwecken oder zur Erstellung von Nutzerprofilen, die über die vertragliche Leistungserbringung hinausgehen, ist strengstens untersagt, es sei denn, es liegt eine ausdrückliche gesetzliche Erlaubnis oder eine separate Einwilligung vor.
§ 3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden die folgenden Kategorien personenbezogener Daten verarbeitet. Der Verantwortliche legt den genauen Umfang der Daten durch seine Nutzung der Biscotti CMP und die Konfiguration der Software selbst fest:
- Einwilligungsdaten: Entscheidungen (Zustimmung / Ablehnung für verschiedene Kategorien wie Essentiell, Funktional, Analyse, Marketing, KI-Dienste), Zeitstempel (Datum und genaue Uhrzeit der Einwilligung), eindeutige Identifikationsnummer (zur pseudonymen Zuordnung der Entscheidung zum jeweiligen Endgerät/Browser).
- Technische Daten: IP-Adressen (werden primär zur standortbasierten Erkennung der Jurisdiktion verarbeitet und im Regelfall umgehend anonymisiert/gekürzt, sofern keine abweichende Konfiguration durch den Verantwortlichen erfolgt), Browser-Informationen, Geräte-Informationen, User-Agent-Strings, Sitzungsdaten.
- Cookie- und Tracker-Daten: Scan-Ergebnisse der Webseiten des Verantwortlichen, einschließlich gefundener Cookies, lokaler Speicherinhalte, Drittanbieter-Tracker und deren Klassifizierung.
- KI-generierte Inhalte: Daten, die der Verantwortliche in den Legal Suite Assistenten eingibt, um Rechtstexte (Datenschutzerklärung, Impressum, AGB) zu generieren. Dies kann Unternehmensdaten, Namen von Vertretungsberechtigten, Adressen und spezifische Verarbeitungstätigkeiten umfassen, die über die Google Gemini API verarbeitet werden.
- Kontaktdaten (Account-Inhaber): Vor- und Nachname, E-Mail-Adresse, Unternehmensname, Anschrift, Telefonnummer, Umsatzsteuer-Identifikationsnummer (USt-IdNr.) der Kunden bzw. Account-Inhaber.
- Nutzungsdaten: Dashboard-Aktivitäten, Banner-Statistiken (Aufrufe, Interaktionen, Akzeptanzraten), Compliance-Berichte, Prüfprotokolle über Kontoänderungen.
- Zahlungsdaten: Abrechnungsinformationen, die über den Zahlungsdienstleister Stripe verarbeitet werden (wobei Kreditkartendaten direkt bei Stripe tokenisiert und nicht im Klartext beim Auftragsverarbeiter gespeichert werden).
§ 4 Kategorien betroffener Personen
Die Verarbeitung betrifft die folgenden Kategorien von betroffenen Personen:
- Website-Besucher (Endnutzer): Natürliche Personen, die die Webseiten des Verantwortlichen besuchen und deren Einwilligungsentscheidungen über das Biscotti CMP Banner abgefragt, verarbeitet und gespeichert werden.
- Kunden (Account-Inhaber): Natürliche Personen, Einzelunternehmer oder Vertreter juristischer Personen, die als Vertragspartner des Auftragsverarbeiters ein Konto bei Biscotti CMP registriert haben.
- Team-Mitglieder und Mitarbeiter: Personen, die vom Account-Inhaber (Verantwortlichen) als zusätzliche Nutzer in das Biscotti CMP Dashboard eingeladen wurden, um das System zu verwalten.
- Kunden von Agenturen (Sub-Account-Inhaber): Endkunden von Agenturen, die den „Agency“-Tarif nutzen und für die Unterkonten angelegt wurden.
§ 5 Pflichten und Rechte des Verantwortlichen
5.1 Rechtmäßigkeit der Verarbeitung Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Verantwortliche verantwortlich (Art. 4 Nr. 7 DSGVO). Der Verantwortliche stellt sicher, dass eine wirksame Rechtsgrundlage (z.B. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO) für die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter besteht. Dies gilt insbesondere für den Einsatz der Biscotti CMP zur Einholung von Einwilligungen nach § 25 Abs. 1 TDDDG.
5.2 Informationspflichten Der Verantwortliche ist vollumfänglich dafür verantwortlich, die betroffenen Personen (insbesondere die Website-Besucher) gemäß Art. 13 und Art. 14 DSGVO transparent, präzise und rechtzeitig über die Datenverarbeitung zu informieren. Der Auftragsverarbeiter stellt dem Verantwortlichen hierfür die notwendigen technischen Informationen über die Funktionsweise der Biscotti CMP sowie Mustertexte über den Legal Suite Assistenten zur Verfügung. Die rechtliche Prüfung und Einbindung der Datenschutzerklärung obliegt dem Verantwortlichen.
5.3 Agentur- und Reseller-Nutzung Nutzt der Verantwortliche den „Agency“-Tarif und legt Unterkonten für seine eigenen Kunden an, so bleibt der Verantwortliche im Verhältnis zum Auftragsverarbeiter der alleinige Vertragspartner und datenschutzrechtlich Verantwortliche. Der Verantwortliche garantiert, dass er über die erforderlichen vertraglichen Vereinbarungen (einschließlich eigener Auftragsverarbeitungsverträge) mit seinen Endkunden verfügt. Richtet der Verantwortliche eine Wiederverkäufer-Seite ein oder nutzt er eigene E-Mail-Server unter eigener Domain, so trägt er die alleinige datenschutzrechtliche und wettbewerbsrechtliche Verantwortung für diese Infrastruktur. Der Auftragsverarbeiter übernimmt hierfür keine Haftung.
5.4 Meldung von Fehlern Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
§ 6 Weisungsrecht des Verantwortlichen
6.1 Art und Umfang der Weisungen Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Der Hauptvertrag sowie dieser AVV stellen die anfängliche dokumentierte Weisung dar. Die Nutzung der Funktionen der Biscotti CMP (z.B. Konfiguration des Banners, Starten eines Scans, Generierung von Texten) durch den Verantwortlichen im Dashboard gilt als dokumentierte Einzelweisung.
6.2 Form der Weisungen Weisungen können in der Regel über die Benutzeroberfläche der Software (Applikation) erteilt werden. Darüber hinausgehende Weisungen sind in Textform (z.B. per E-Mail an support@biscotti-cmp.com) zu erteilen. Mündliche Weisungen sind vom Verantwortlichen unverzüglich in Textform zu bestätigen.
6.3 Bedenken gegen Weisungen Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO, das BDSG oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. Offensichtlich rechtswidrige Weisungen darf der Auftragsverarbeiter ablehnen.
§ 7 Vertraulichkeitsverpflichtung
7.1 Verpflichtung der Mitarbeiter Der Auftragsverarbeiter bestätigt, dass er alle Personen, die zur Verarbeitung der personenbezogenen Daten des Verantwortlichen befugt sind (Mitarbeiter, freie Mitarbeiter, Organe), vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat (Art. 28 Abs. 3 lit. b DSGVO) oder diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung umfasst auch das Datengeheimnis und bleibt auch nach Beendigung der Tätigkeit oder des Beschäftigungsverhältnisses bestehen.
7.2 Schulung und Sensibilisierung Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen regelmäßig in Bezug auf die Bestimmungen des Datenschutzes (DSGVO, BDSG) und der Datensicherheit unterwiesen und sensibilisiert werden. Der Auftragsverarbeiter, vertreten durch die Geschäftsführung (Daniel Bosch, Philipp André Marschall), trägt Sorge für eine datenschutzkonforme Unternehmenskultur.
7.3 Datenschutzbeauftragter Der Auftragsverarbeiter hat, sofern gesetzlich nach § 38 Abs. 1 BDSG oder Art. 37 DSGVO erforderlich (z.B. bei in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung beschäftigt sind), einen fachkundigen und zuverlässigen Datenschutzbeauftragten benannt.
Sollte keine gesetzliche Pflicht zur Benennung bestehen, stellt der Auftragsverarbeiter dennoch sicher, dass die datenschutzrechtlichen Pflichten durch die Geschäftsführung vollumfänglich überwacht und eingehalten werden.
§ 8 Technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
8.1 Grundsatz der Sicherheit der Verarbeitung Der Auftragsverarbeiter erklärt verbindlich, dass er unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Diese Maßnahmen orientieren sich an anerkannten IT-Sicherheitsstandards (wie ISO 27001 und SOC 2).
8.2 Konkrete Maßnahmen Der Auftragsverarbeiter setzt insbesondere die folgenden Maßnahmen um und hält diese während der gesamten Vertragslaufzeit aufrecht:
a) Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Verschlüsselung bei der Übertragung: Alle Datenübertragungen zwischen dem Endnutzer, dem Verantwortlichen und der Biscotti CMP Infrastruktur erfolgen zwingend über modernste Verschlüsselungsprotokolle (TLS 1.2 oder TLS 1.3).
- Verschlüsselung im Ruhezustand: Alle Datenbanken und Speichermedien auf der Google Cloud Platform (Server-Standort NL) sind auf Festplattenebene verschlüsselt (AES-256).
- Pseudonymisierung: Einwilligungsentscheidungen werden nicht mit Klarnamen, sondern mit einer zufällig generierten, kryptografischen Identifikationsnummer verknüpft. IP-Adressen werden standardmäßig gekürzt/anonymisiert, sobald die standortbasierte Zuordnung abgeschlossen ist.
b) Vertraulichkeit (Zutritts-, Zugangs- und Zugriffskontrolle)
- Zutrittskontrolle: Die physische Sicherheit der genutzten Server wird durch den externen Infrastruktur-Dienstleister (z.B. Google Cloud) gewährleistet. Die Rechenzentren unterliegen strengen branchenüblichen Zugangs- und Sicherheitskontrollen. Die eigenen Büroräume der Campcruisers GmbH sind durch angemessene physische Zugangsbeschränkungen (z.B. Sicherheitsschlösser) gesichert.
- Zugangskontrolle: Der Zugang zu den IT-Systemen des Auftragsverarbeiters ist durch restriktive Passwortrichtlinien, Multi-Faktor-Authentifizierung (MFA) für relevante administrative Zugänge sowie Sitzungs-Timeouts abgesichert. Systeme wie Cloudflare Turnstile kommen zum Einsatz, um Login-Versuche vor Bot-Angriffen zu schützen.
- Zugriffskontrolle: Es gilt das Prinzip der minimalen Rechtevergabe (Role-Based Access Control - RBAC). Mitarbeiter des Auftragsverarbeiters haben nur auf die Daten Zugriff, die für ihre jeweilige Aufgabe zwingend erforderlich sind. Die Kundendaten der verschiedenen Tarife sind logisch voneinander getrennt (Mandantenfähigkeit).
c) Integrität (Weitergabe-, Eingabe- und Trennungskontrolle)
- Weitergabekontrolle: Daten werden nicht auf physischen Datenträgern transportiert. Die Übermittlung erfolgt ausschließlich über gesicherte Netzwerke.
- Eingabekontrolle: Die Biscotti CMP verfügt über ein umfassendes Prüfprotokoll (Audit-Log). Es ist jederzeit nachvollziehbar, welcher Nutzer (Kunde, Team-Mitglied, Agentur) zu welchem Zeitpunkt welche Änderungen im Dashboard vorgenommen hat (z.B. Änderung der Banner-Texte, Anpassung der Cookie-Kategorien).
- Trennungskontrolle: Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet. Produktiv-, Test- und Entwicklungsumgebungen sind strikt voneinander isoliert.
d) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Verfügbarkeit: Der Auftragsverarbeiter ergreift branchenübliche, angemessene Maßnahmen zur Sicherstellung der Verfügbarkeit der Systeme (Hosting auf der Google Cloud Platform). Es werden jedoch keine expliziten SLA-Verfügbarkeiten garantiert und es existiert keine vollumfängliche Redundanz der Infrastruktur.
- Belastbarkeit: Die Systemarchitektur ist so konzipiert, dass die zu erwartenden Sitzungsvolumina im Regelfall zuverlässig verarbeitet werden. Ein dediziertes Load-Balancing oder automatische Skalierungsmechanismen (Auto-Scaling) kommen jedoch nicht zum Einsatz.
- Wiederherstellbarkeit: Der Auftragsverarbeiter trifft angemessene Vorkehrungen (z.B. regelmäßige Backups der Datenbanken), um bei einem technischen Vorfall eine Wiederherstellung der Daten zu ermöglichen. Es gilt jedoch keine Garantie für verlustfreie Wiederherstellung, weshalb der Verantwortliche aufgefordert ist, ihm zur Verfügung stehende Exportfunktionen eigenverantwortlich zu nutzen.
e) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Der Auftragsverarbeiter überprüft regelmäßig intern die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen.
- Es existieren interne Prozesse zur Reaktion auf Sicherheitsvorfälle (Incident-Response), um potenziellen Vorfällen im gesetzlichen Rahmen begegnen zu können.
- Die TOMs unterliegen einem kontinuierlichen Verbesserungsprozess.
8.3 Anpassung der TOMs Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen in Textform mitzuteilen.
§ 9 Unterauftragsverarbeiter
9.1 Beauftragung von Unterauftragsverarbeitern Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 DSGVO), weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragsverarbeiter stellt sicher, dass er Unterauftragsverarbeiter sorgfältig auswählt und diese vertraglich denselben Datenschutzpflichten unterwirft, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO).
9.2 Aktuell genehmigte Unterauftragsverarbeiter Bei Vertragsschluss sind die folgenden Unterauftragsverarbeiter für die Erbringung der Biscotti CMP Dienste tätig und gelten durch den Verantwortlichen als genehmigt. Der Auftragsverarbeiter hat sichergestellt, dass bei US-Anbietern die jeweilige EU-Niederlassung als Vertragspartner fungiert, um das Datenschutzniveau der EU zu wahren:
| Dienst / Anbieter | Vertragspartner & Sitz | Zweck der Verarbeitung | Verarbeitungsort |
|---|---|---|---|
| Google Cloud Platform (GCP) | Google Cloud EMEA Limited, 70 Sir John Rogerson’s Quay, Dublin 2, Irland | Hosting, Server-Infrastruktur, Datenbanken | Europäische Union |
| Google Gemini API | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland | KI-Generierung von Rechtstexten (Legal Suite) | EU / EWR |
| Google Analytics 4 & Google Ads | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland | Analyse des Nutzerverhaltens, Marketing | EU / EWR |
| Stripe | Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland | Zahlungsabwicklung, Abonnement-Verwaltung | EU / EWR |
| Resend | Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA [abgesichert durch SCCs] | E-Mail-Versand (Transaktionsmails, Passwort-Reset) | USA / EU |
| Cloudflare Turnstile | Cloudflare Germany GmbH, Rosental 7, 80331 München, Deutschland | Bot-Schutz, DDoS-Abwehr, WAF | Global |
| WhatsApp Business | WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland | Kundenservice, Support-Kommunikation | EU / EWR |
9.3 Drittlandtransfer Findet eine Verarbeitung durch Unterauftragsverarbeiter außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) statt (z.B. bei Resend), stellt der Auftragsverarbeiter sicher, dass die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies erfolgt in der Regel durch den Abschluss der aktuellen Standardvertragsklauseln (SCCs) der EU-Kommission in Verbindung mit einer Transferfolgenabschätzung (Transfer Impact Assessment) und der Implementierung zusätzlicher technischer Maßnahmen (z.B. Verschlüsselung).
9.4 Wechsel oder Hinzuziehung neuer Unterauftragsverarbeiter Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Ersatz von Unterauftragsverarbeitern informieren. Die Information erfolgt in Textform (z.B. per E-Mail an die im Account hinterlegte Adresse) mindestens 30 Tage vor der geplanten Änderung. Der Verantwortliche kann der Änderung aus wichtigem, datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Zugang der Mitteilung widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs, den der Auftragsverarbeiter nicht durch zumutbare Maßnahmen ausräumen kann, ist der Verantwortliche berechtigt, den Hauptvertrag außerordentlich zum Zeitpunkt des Wirksamwerdens der Änderung zu kündigen.
§ 10 Unterstützung bei Betroffenenrechten
10.1 Unterstützungspflicht Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (Art. 15 bis 22 DSGVO) zu erfüllen (Art. 28 Abs. 3 lit. e DSGVO).
10.2 Technische Umsetzung in Biscotti CMP Die Biscotti CMP zielt darauf ab, den Verantwortlichen bei seinen Pflichten technisch zu unterstützen:
- Auskunftsrecht (Art. 15 DSGVO) & Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Die Software bietet Datenexport-Möglichkeiten (z.B. als CSV), bzw. können Exporte spezifischer Einwilligungs-IDs beim Support datenschutzkonform angefragt werden.
- Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Das Einwilligungsbanner der Biscotti CMP bietet Endnutzern die Funktion, getroffene Einstellungen aufzurufen und jederzeit zu widerrufen.
- Recht auf Löschung (Art. 17 DSGVO): Erhobene Daten können durch den Verantwortlichen über bereitgestellte Funktionen im Dashboard gelöscht oder nachweislich beim Support zur Löschung veranlasst werden.
10.3 Weiterleitung von Anfragen Macht eine betroffene Person ihre Rechte direkt gegenüber dem Auftragsverarbeiter geltend, wird dieser die Anfrage nicht selbstständig beantworten, sondern die betroffene Person unverzüglich an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen aufgrund der vorliegenden Daten möglich ist. Der Auftragsverarbeiter leitet die Anfrage unverzüglich an den Verantwortlichen weiter.
§ 11 Unterstützung bei DSFA und Meldepflichten
11.1 Datenschutz-Folgenabschätzung (Art. 35 DSGVO) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO sowie bei einer gegebenenfalls erforderlichen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).
11.2 Meldung von Verletzungen des Schutzes personenbezogener Daten Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Datenpanne), die die im Auftrag verarbeiteten Daten betrifft, unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, in Textform zu melden.
§ 12 Löschung und Rückgabe von Daten
12.1 Löschung nach Vertragsende Nach Abschluss der Erbringung der Verarbeitungsleistungen (Beendigung des Hauptvertrages) ist der Auftragsverarbeiter verpflichtet, nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten (z.B. handels- und steuerrechtliche Aufbewahrungspflichten nach HGB und AO) eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
12.2 Standardprozess der Biscotti CMP Sofern der Verantwortliche keine abweichende Weisung erteilt, gilt folgender Standardprozess: Der Verantwortliche hat die Möglichkeit, seine Daten vor Vertragsende über die Export-Funktion (CSV) selbstständig zu sichern. Nach Wirksamwerden der Kündigung und Ablauf der Abrechnungsperiode wird das Konto des Verantwortlichen deaktiviert. Die im Konto gespeicherten personenbezogenen Daten werden für eine Übergangsfrist von 30 Tagen (Aufbewahrungsfrist) vorgehalten, um bei einem versehentlichen Downgrade eine Wiederherstellung zu ermöglichen. Nach Ablauf dieser 30 Tage werden die Daten unwiderruflich und datenschutzkonform aus den produktiven Systemen gelöscht.
12.3 Bestätigung der Löschung Der Auftragsverarbeiter bestätigt dem Verantwortlichen auf dessen ausdrückliches Verlangen die datenschutzkonforme Löschung der Daten in Textform.
§ 13 Kontrollrechte und Audits
13.1 Recht auf Überprüfung Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO und in diesem Vertrag niedergelegten Pflichten nachzuweisen. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten, zur Verschwiegenheit verpflichteten Prüfer durchgeführt werden, und trägt zu diesen bei.
13.2 Durchführung von Audits Um die Sicherheit der Rechenzentren und die Vertraulichkeit der Daten anderer Kunden (Mandantentrennung) nicht zu gefährden, vereinbaren die Parteien folgendes Vorgehen für Audits:
- Der Verantwortliche wird sein Kontrollrecht primär durch die Anforderung und Auswertung von aussagekräftigen Zertifikaten (z.B. ISO 27001) oder durch detaillierte Fragebögen zur IT-Sicherheit ausüben.
- Sollten diese Informationen nicht ausreichen, ist der Verantwortliche berechtigt, eine Inspektion vor Ort in den Geschäftsräumen der Campcruisers GmbH (Berliner Str. 21 B, 14612 Falkensee) durchzuführen.
- Vor-Ort-Inspektionen sind mit einer angemessenen Vorlaufzeit (in der Regel mindestens 14 Tage) anzukündigen.
§ 14 Haftung und Schadensersatz
14.1 Außenverhältnis (Gegenüber betroffenen Personen) Für den Ersatz von Schäden haftet der Verantwortliche und der Auftragsverarbeiter gegenüber der betroffenen Person nach Maßgabe von Art. 82 DSGVO. Der Auftragsverarbeiter haftet für den Schaden, der durch eine Verarbeitung entsteht, nur dann, wenn er seinen Pflichten aus der DSGVO nicht nachgekommen ist oder gegen die rechtmäßig erteilten Weisungen des Verantwortlichen gehandelt hat.
14.2 Innenverhältnis (Zwischen den Parteien) Im Innenverhältnis stellen sich die Parteien von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
14.3 Haftungsbegrenzung aus dem Hauptvertrag Ergänzend gelten die Haftungsregelungen des Hauptvertrages (AGB). Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen, es sei denn, es handelt sich um die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). In diesem Fall ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
§ 15 Schlussbestimmungen
15.1 Schriftform und Änderungen Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (z.B. E-Mail). Der Auftragsverarbeiter behält sich vor, diesen Vertrag zu ändern, um ihn an geänderte Rechtslagen oder technische Entwicklungen anzupassen. Der Verantwortliche wird über Änderungen per E-Mail informiert.
15.2 Rangfolge Sollten einzelne Bestimmungen dieses Auftragsverarbeitungsvertrages im Widerspruch zu den Bestimmungen des Hauptvertrages (AGB) stehen, so gehen die Bestimmungen dieses Auftragsverarbeitungsvertrages in Bezug auf den Datenschutz und die Datensicherheit vor.
15.3 Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Bestimmung zu ersetzen.
15.4 Anwendbares Recht und Gerichtsstand Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters (Falkensee). Die Vertragssprache ist Deutsch.