Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Verarbeitung personenbezogener Daten, die die Firmendata UG (haftungsbeschränkt) i.G. („Auftragsverarbeiter“, „wir“, „FirmenData“) im Rahmen der Nutzung der FirmenData-Dienste im Auftrag des Kunden („Verantwortlicher“, „Sie“) durchführt.

Der Großteil der über die FirmenData-Dienste verfügbaren Daten sind personenbezogene Daten, die in öffentlichen Registern (Handelsregister, Unternehmensregister, Bundesanzeiger usw.) veröffentlicht und von FirmenData als eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO verarbeitet werden. Diese Verarbeitung ist in der Datenschutzerklärung unter firmendata.com/privacy-policy beschrieben. Dieser AVV gilt ausschließlich für die in Anhang 1 beschriebenen, eingeschränkten Verarbeitungsvorgänge, bei denen der Kunde Verantwortlicher ist und FirmenData als Auftragsverarbeiter im Auftrag des Kunden tätig wird.

Mit Annahme der FirmenData-AGB schließt der Verantwortliche diesen AVV mit dem Auftragsverarbeiter. Der AVV gilt ab dem Zeitpunkt der erstmaligen Nutzung der FirmenData-Dienste durch den Verantwortlichen und bleibt für die Dauer dieser Dienste in Kraft.

Die in diesem AVV verwendeten Begriffe haben die Bedeutung, die ihnen Art. 4 der Verordnung (EU) 2016/679 (DSGVO) zuweist, soweit hier nicht abweichend definiert. „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“, „Unter-Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die in der DSGVO genannte Bedeutung.

Vertragsgegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung der in Anhang 1 beschriebenen FirmenData-Dienste.

Dauer: Dieser AVV gilt, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, und endet zusammen mit dem zugrunde liegenden Vertragsverhältnis, vorbehaltlich Abschnitt 11 (Beendigung).

Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten und die Kategorien betroffener Personen ergeben sich aus Anhang 1.

Der Verantwortliche:

• ist verantwortlich für die Rechtmäßigkeit der durch den Auftragsverarbeiter im Rahmen dieses AVV durchgeführten Verarbeitung personenbezogener Daten, einschließlich der Sicherstellung einer wirksamen Rechtsgrundlage nach Art. 6 (und ggf. Art. 9) DSGVO;
• erteilt dem Auftragsverarbeiter dokumentierte Weisungen gemäß diesem AVV (die Vereinbarung zur Nutzung der Dienste stellt eine solche Weisung dar);
• informiert den Auftragsverarbeiter unverzüglich über erkannte Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter.

Der Auftragsverarbeiter:

• verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
• informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere anwendbare Datenschutzvorschriften verstößt;
• stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• trifft die in Anhang 2 („TOMs“) festgelegten geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO);
• setzt Unter-Auftragsverarbeiter ausschließlich gemäß Abschnitt 6 ein;
• unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung dessen Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen nach Kapitel III der DSGVO zustehenden Rechte;
• unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach den Artikeln 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen;
• benachrichtigt den Verantwortlichen unverzüglich nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO);
• löscht oder gibt nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten nach Beendigung der Erbringung der Verarbeitungsdienste an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht eine Verpflichtung zur Speicherung nach Unions- oder mitgliedstaatlichem Recht besteht;
• stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen gemäß Abschnitt 9.

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Zustimmung zur Hinzuziehung von Unter-Auftragsverarbeitern. Die zum Stand des Inkrafttretens dieses AVV eingesetzten Unter-Auftragsverarbeiter sind in Anhang 3 aufgeführt.

Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unter-Auftragsverarbeitern mindestens dreißig (30) Tage im Voraus und gibt dem Verantwortlichen damit die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Die Benachrichtigung erfolgt durch Aktualisierung der Unter-Auftragsverarbeiter-Liste auf dieser Seite oder per E-Mail an die Kontoinhaber-E-Mail-Adresse.

Erhebt der Verantwortliche aus angemessenen datenschutzbezogenen Gründen Einspruch gegen die Änderung, so wird der Auftragsverarbeiter wirtschaftlich vertretbare Anstrengungen unternehmen, dem Verantwortlichen eine Anpassung der Dienste anzubieten, die eine Verarbeitung durch den vorgeschlagenen neuen Unter-Auftragsverarbeiter vermeidet, ohne den Verantwortlichen unangemessen zu belasten. Ist eine solche Anpassung innerhalb einer angemessenen Frist nicht möglich, kann der Verantwortliche den betroffenen Teil der Dienste gemäß Abschnitt 11 kündigen.

Der Auftragsverarbeiter erlegt jedem Unter-Auftragsverarbeiter Datenschutzpflichten auf, die hinter den in diesem AVV festgelegten nicht zurückbleiben, insbesondere durch einen schriftlichen Vertrag gemäß Art. 28 Abs. 4 DSGVO.

Kommt ein Unter-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten dieses Unter-Auftragsverarbeiters voll verantwortlich.

Einige Unter-Auftragsverarbeiter haben ihren Sitz außerhalb der EU/des EWR. Soweit personenbezogene Daten an solche Unter-Auftragsverarbeiter übermittelt werden, setzt der Auftragsverarbeiter geeignete Garantien gemäß Kapitel V der DSGVO ein, insbesondere Standardvertragsklauseln (SCC) der Europäischen Kommission, ergänzt soweit erforderlich um zusätzliche technische, organisatorische und vertragliche Maßnahmen.

Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden, gemäß Art. 30 Abs. 2 DSGVO und stellt dieses dem Verantwortlichen auf Anfrage zur Verfügung.

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

Der Auftragsverarbeiter stellt dem Verantwortlichen alle zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung, insbesondere einschlägige Richtlinien, die aktuelle TOM-Beschreibung (Anhang 2), die aktuelle Unter-Auftragsverarbeiter-Liste (Anhang 3) sowie, soweit verfügbar, Berichte über Prüfungen durch Dritte.

Verlangt der Verantwortliche darüber hinaus angemessen weitere Informationen oder eine Vor-Ort-Inspektion, so vereinbaren die Parteien Zeit, Umfang und Modalitäten einer solchen Inspektion in beiderseitigem Einvernehmen. Vor-Ort-Inspektionen erfordern eine angemessene schriftliche Vorankündigung (mindestens 30 Tage, außer bei substantiiertem Verdacht auf eine wesentliche Verletzung) und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen stören. Die dem Auftragsverarbeiter im Zusammenhang mit der Inspektion entstehenden Kosten trägt der Verantwortliche, es sei denn, die Inspektion deckt eine wesentliche Verletzung dieses AVV durch den Auftragsverarbeiter auf.

Die Haftung der Parteien aus diesem AVV richtet sich nach den Haftungsbeschränkungen des zugrunde liegenden FirmenData-AGB, vorbehaltlich der zwingenden gesetzlichen Haftung nach der DSGVO.

Dieser AVV tritt zum oben genannten Stichtag in Kraft und gilt für die Dauer der Bereitstellung der Dienste durch den Auftragsverarbeiter an den Verantwortlichen gemäß den zugrunde liegenden FirmenData-AGB.

Die Beendigung dieses AVV erfolgt durch Beendigung des zugrunde liegenden Vertragsverhältnisses. Vorschriften, die ihrer Natur nach über die Beendigung hinaus fortgelten sollen (insbesondere Klauseln zu Löschung, Haftung, Verzeichnissen, anwendbarem Recht und Schlussbestimmungen), bestehen auch nach Beendigung dieses AVV fort.

Nach Beendigung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht eine Verpflichtung zur Speicherung nach Unions- oder mitgliedstaatlichem Recht besteht.

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Berlin, soweit gesetzlich zulässig.

Bei Widersprüchen zwischen den Bestimmungen dieses AVV und den zugrunde liegenden FirmenData-AGB gehen die Bestimmungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.

Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Bestimmung zu ersetzen, die der unwirksamen oder undurchführbaren Bestimmung wirtschaftlich am nächsten kommt.

Änderungen und Ergänzungen dieses AVV bedürfen der Textform (Art. 28 Abs. 9 DSGVO, §126b BGB). Dies gilt auch für die Änderung dieses Formerfordernisses selbst.

Vertragsgegenstand: Bereitstellung der in den zugrunde liegenden AGB beschriebenen FirmenData-Dienste, soweit diese Bereitstellung eine Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen umfasst.

Art und Zweck der Verarbeitung: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen in folgenden, eingeschränkten Konstellationen:

• Such- und Lookup-Anfragen über die öffentliche REST-API oder den MCP-Server, die personenbezogene Identifikatoren enthalten, die vom Verantwortlichen gewählt wurden (zum Beispiel Name eines Vorstandsmitglieds oder Gesellschafters oder eine als Identifikator genutzte E-Mail-Adresse). Der Auftragsverarbeiter verarbeitet die Werte der Abfrageparameter kurzfristig zur Berechnung und Rückgabe passender Ergebnisse.
• Webhook-Konfigurationsdaten: vom Verantwortlichen konfigurierte Webhook-Ziel-URLs (die durch vom Verantwortlichen gewählte Pfad- oder Abfragekomponenten Personen identifizieren können) sowie Zustelllogs der an diese URLs gesendeten Payloads.
• Vom Verantwortlichen im Rahmen von Support-Anfragen bereitgestellte Inhalte, soweit diese personenbezogene Daten enthalten.

Klarstellung: Die zugrunde liegenden Registerdaten (Daten zu in den von FirmenData abgedeckten öffentlichen Registern genannten Personen) werden vom Auftragsverarbeiter als eigener Verantwortlicher verarbeitet und fallen daher nicht in den Anwendungsbereich dieses AVV. Diese Verarbeitung ist in der Datenschutzerklärung gesondert beschrieben.

Kategorien betroffener Personen:

• Mitarbeiter, Auftragnehmer und Vertreter des Verantwortlichen, die mit den FirmenData-Diensten im Auftrag des Verantwortlichen interagieren;
• Dritte, deren personenbezogene Identifikatoren der Verantwortliche in Abfrageparameter oder Webhook-Konfigurationsdaten aufnimmt;

Kategorien personenbezogener Daten:

• personenbezogene Identifikatoren (Name, E-Mail-Adresse, Funktion), die der Verantwortliche als Abfrageinput oder Webhook-Konfiguration übermittelt;
• zugehörige Metadaten (Zeitpunkt der Übermittlung, verwendeter API-Schlüssel, Antwortstatus);
• Freitexte des Verantwortlichen im Rahmen von Support-Korrespondenz.

Dauer: Für die Dauer der zugrunde liegenden Dienste, vorbehaltlich der in der Datenschutzerklärung festgelegten Speicherfristen.

Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Konkrete Maßnahmen entwickeln sich mit dem Stand der Technik; die folgende Liste beschreibt den Stand zum Inkrafttreten dieses AVV.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zugriffskontrolle: Zugriff auf Produktivsysteme erhalten ausschließlich befugte Personen über individuelle, durch Mehr-Faktor-Authentifizierung gesicherte Konten.
• Rollenbasierte Zugriffssteuerung nach dem Prinzip der minimalen Rechte.
• Zutrittskontrolle: Die produktive Infrastruktur wird in zertifizierten Hetzner-Rechenzentren in Deutschland mit mehrstufigen Zutrittskontrollen betrieben.
• Transportverschlüsselung: Die gesamte Client-Server-Kommunikation erfolgt über TLS 1.2 oder höher.
• Verschlüsselung im Ruhezustand: Produktivdatenbanken und Objektspeicher sind im Ruhezustand verschlüsselt.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabekontrolle: Datenänderungen sind über Anwendungsprotokolle und (für Registerdaten) Herkunftsmetadaten nachvollziehbar.
• Übertragungskontrolle: Die gesamte interne Service-Kommunikation ist im Transit verschlüsselt; produktive Secrets werden in einem dedizierten Secrets-Manager verwaltet.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Datensicherungen: Produktivdatenbanken werden regelmäßig gesichert; Backups werden außerhalb des Hauptsystems aufbewahrt.
• Notfallwiederherstellung: dokumentierte Wiederherstellungsverfahren mit regelmäßigen Wiederherstellungstests.
• Monitoring: 24/7-Überwachung der Produktivsysteme mit Bereitschaftsalarmierung bei sicherheits- oder verfügbarkeitsrelevanten Vorfällen.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der TOMs und Anpassung an den Stand der Technik.
• Dokumentiertes Incident-Response-Verfahren mit Nachbearbeitung.
• Schwachstellenmanagement: Abhängigkeitsprüfung und zeitnahe Einspielung von Sicherheits-Patches nach Veröffentlichung.

5. Datensparsamkeit und Speicherbegrenzung

• Es werden nur Daten verarbeitet, die für die vereinbarten Verarbeitungszwecke erforderlich sind.
• Die Löschung erfolgt gemäß den in der Datenschutzerklärung festgelegten Speicherfristen.

Folgende Unter-Auftragsverarbeiter werden zum Stand des Inkrafttretens dieses AVV eingesetzt. Die aktuelle Fassung dieser Liste ist auf dieser Seite verfügbar; Änderungen werden gemäß Abschnitt 6 mitgeteilt.

Hinweis zum Claude MCP-Connector: Aktiviert ein Endnutzer des Verantwortlichen den FirmenData-Connector innerhalb des Claude-Produkts von Anthropic, verarbeitet Anthropic die daraus resultierenden Claude-Konversationsinhalte als eigener Verantwortlicher. Dies ist kein Unter-Auftragsverarbeitungsverhältnis im Sinne dieses AVV und in Abschnitt 14 der Datenschutzerklärung beschrieben.