Rechtliche Informationen

Ergänzung zur Datenverarbeitung (MSA)

Letzte Aktualisierung: 30. Januar 2024

Die vorliegende Ergänzung zur Datenverarbeitung (Data Processing Addendum, „DPA“) ist Bestandteil der Rahmenvereinbarung für Abonnements von Avetta („Hauptvereinbarung“) zwischen Avetta und dem Auftraggeber und enthält die zusätzlichen Bestimmungen, Anforderungen und Bedingungen, unter denen Avetta bei der Bereitstellung von Services im Rahmen der Hauptvereinbarung personenbezogene Daten erhält, bearbeitet, verarbeitet, offenlegt, überträgt und speichert. Sämtliche großgeschriebenen Begriffe, die in der vorliegenden DPA nicht definiert sind, werden in der Bedeutung verwendet, die ihnen in der Hauptvereinbarung zugewiesen wird.

1. Begriffsbestimmungen und Auslegung

1.1 Begriffsbestimmungen

„Anwendbares Datenschutzrecht“ bezeichnet Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten durch die jeweilige Partei im Zusammenhang mit der Hauptvereinbarung anwendbar sind, darunter (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung, „DSGVO“), gegebenenfalls abgewandelt und ergänzt durch die einschlägigen Gesetze und Vorschriften der EU-Mitgliedstaaten, in denen der Auftraggeber direkt oder indirekt tätig ist, (ii) der UK Data Protection Act 2018 und die UK General Data Protection Regulation („UK GDPR“), (iii) der Australian Privacy Act 1988 und die National Privacy Principles, (iv) der California Consumer Privacy Act von 2018 in der durch den California Privacy Rights Act von 2020 geänderten Fassung und alle damit zusammenhängenden Verordnungen oder Richtlinien (zusammenfassend der„CCPA“), (v) der Canadian Personal Information Protection and Electronic Documents Act („PIPEDA“) und (vi) alle anderen internationalen, bundesstaatlichen, staatlichen, provinziellen und lokalen Gesetze, Regeln, Verordnungen, Richtlinien und staatlichen Bestimmungen zum Schutz der Privatsphäre oder zum Datenschutz, die derzeit in Kraft sind oder zukünftig in Kraft treten.

„Betroffene Person“ bezeichnet eine Person, die Gegenstand der personenbezogenen Daten ist und auf die sich die personenbezogenen Daten direkt oder indirekt beziehen bzw. die diese Person direkt oder indirekt identifizieren.

„Data Privacy Framework“ bezeichnet das EU-US Data Privacy Framework, die Ergänzung zum EU-US Data Privacy Framework für das Vereinigte Königreich sowie das Swiss-US Data Privacy Framework, die jeweils zur Begünstigung des transatlantischen Handels zwischen dem US-Handelsministerium und der Europäischen Kommission, der britischen Regierung und der schweizerischen Bundesregierung geschlossen wurden, um US-Körperschaften verlässliche Mechanismen für die Übermittlung personenbezogener Daten aus dem EWR, dem Vereinigten Königreich (und Gibraltar) sowie der Schweiz in die Vereinigten Staaten zu bieten und gleichzeitig einen Datenschutz zu gewährleisten, der mit den Gesetzen der EU, des Vereinigten Königreichs und der Schweiz vereinbar ist.

„EWR“ bezeichnet den Europäischen Wirtschaftsraum, dem alle Mitgliedstaaten der Europäischen Union sowie Island, Norwegen und Liechtenstein angehören.

„EU SCC“ bezeichnet die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittländer, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission enthalten sind und unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de abgerufen werden können.

„Personenbezogene Daten“ bezeichnet sämtliche von Avetta verarbeiteten Informationen, die (i) eine Person identifizieren oder sich auf eine Person beziehen, die direkt oder indirekt aus diesen Daten allein oder in Kombination mit anderen Informationen, die sich im Besitz oder unter der Kontrolle von Avetta befinden, identifiziert werden kann, oder die (ii) gemäß anwendbarem Datenschutzrecht anderweitig als geschützte personenbezogene Daten oder personenbezogene Informationen gelten.

„Verarbeitung“ bezeichnet jede Aktivität, die die Verwendung personenbezogener Daten umfasst, oder wird in der Bedeutung verwendet, die der Begriff im jeweils anwendbaren Datenschutzrecht erhält. Die Verarbeitung umfasst den Erhalt, die Erfassung und die Speicherung der Daten sowie die Durchführung von Vorgängen oder einer Reihe von Vorgängen mit den Daten, einschließlich der Organisation, der Änderung, des Abrufs, der Verwendung, der Offenlegung, der Löschung und der Vernichtung der Daten. Die Verarbeitung umfasst zudem die Übermittlung personenbezogener Daten an Dritte.

„Datenschutzverletzung“ bezeichnet eine Verletzung des Datenschutzes, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt.

„Antrag bezüglich der Rechte betroffener Personen“ bedeutet die Ausübung der Rechte einer betroffenen Person gemäß dem anwendbaren Datenschutzrecht.

„Ergänzung für das Vereinigte Königreich“ bezeichnet die Ergänzung des UK Information Commissioner's Office zur grenzüberschreitenden Datenübermittlung zu den Standardvertragsklauseln der Europäischen Kommission, die unter https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance abrufbar ist.

1.2 Die Anlagen sind Teil der vorliegenden DPA und haben die gleiche Wirkung, als wären sie vollständig Teil der vorliegenden DPA. Jede Bezugnahme auf diese DPA schließt die Anlagen ein.

1.3 Eine Bezugnahme auf Schriftlichkeit bzw. Schriftform schließt E-Mail ein.

1.4 Im Falle eines Widerspruchs oder einer Mehrdeutigkeit bezüglich den Bestimmungen dieser DPA und den Bestimmungen der Hauptvereinbarung haben die Bestimmungen dieser DPA Vorrang und im Falle eines Widerspruchs oder einer Mehrdeutigkeit bezüglich den Bestimmungen der vorliegenden DPA und den in Anlage A enthaltenen Bestimmungen haben die anwendbaren Bestimmungen aus Anlage A Vorrang.

2. Rollen und Umfang der Verarbeitung

2.1 Rollen der Parteien Der Auftraggeber und Avetta erklären sich damit einverstanden, dass:

(a) Avetta als Auftragsverarbeiter fungiert, soweit die Verarbeitung personenbezogener Daten im Namen und auf Anweisung des Auftraggebers erfolgt; und

(b) Avetta als Verantwortlicher fungiert, soweit die Verarbeitung personenbezogener Daten für Zwecke von Avetta in Verbindung mit der Bereitstellung der Services oder für ein berechtigtes geschäftliches Interesse von Avetta erfolgt, darunter die Rechnungsstellung, die Kontoverwaltung, der technische Support, die Produktentwicklung, analytische Zwecke sowie der Vertrieb und das Marketing (z. B. der Versand von Newslettern an die Admin-Benutzer:innen des Auftraggebers).

2.2 Verarbeitung personenbezogener Daten durch Auftraggeber Der Auftraggeber erklärt sich damit einverstanden, dass:

(a) der Auftraggeber die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der (entweder durch den Auftraggeber oder durch die betroffenen Personen) an Avetta übermittelten personenbezogenen Daten trägt;

(b) der Auftraggeber nur personenbezogene Daten hochladen und an Avetta übermitteln darf, die gemäß dem anwendbaren Datenschutzrecht bei den betroffenen Personen erhoben wurden;

(c) der Auftraggeber sicherstellt, dass er über alle erforderlichen Einverständniserklärungen und Mitteilungen verfügt sowie alle anderen Anforderungen gemäß dem anwendbaren Datenschutzrecht erfüllt hat, um die rechtmäßige Übermittlung personenbezogener Daten (einschließlich sensibler Daten) an Avetta zu ermöglichen und die Verarbeitung personenbezogener Daten durch Avetta in verschiedenen Gerichtsbarkeiten gemäß der Hauptvereinbarung und der vorliegenden DPA zu gestatten;

(d) wenn die Einwilligung die rechtliche Grundlage für die Verarbeitung personenbezogener Daten darstellt oder anderweitig für die Nutzung der Services erforderlich ist, der Auftraggeber jederzeit die Bereitstellung und Pflege (i) eines Mechanismus zur Einholung dieser Einwilligung von den betroffenen Personen und (ii) eines Mechanismus für den Widerruf dieser Einwilligung durch die betroffenen Personen übernimmt, in jedem Fall im Einklang mit dem anwendbaren Datenschutzrecht; und

(e) die Nutzung der Services von Avetta durch den Auftraggeber die Rechte der betroffenen Personen nicht verletzt.

2.3 Einzelheiten zur Datenverarbeitung Anlage B erläutert die allgemeinen Kategorien personenbezogener Daten, die Arten der betroffenen Personen und weitere Einzelheiten der Verarbeitung, die Avetta im Zusammenhang mit der Bereitstellung der Services gemäß der Hauptvereinbarung vornimmt.

3. Verpflichtungen von Avetta

3.1 Avetta verarbeitet personenbezogene Daten nur für die in Anlage B angegebenen spezifischen Zwecke der Übermittlung. Avetta kann personenbezogene Daten für einen abweichenden Zweck verarbeiten, (i) wenn die vorherige Einwilligung der betroffenen Person vorliegt, (ii) wenn dies für die Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist oder (iii) wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Soweit Avetta als Auftragsverarbeiter des Auftraggebers fungiert, verarbeitet Avetta personenbezogene Daten auf Anweisung des Auftraggebers. Die Parteien vereinbaren, dass die Anweisungen des Auftraggebers den Geltungsbereich der Hauptvereinbarung nicht überschreiten dürfen. Alle zusätzlich gewünschten Anweisungen bedürfen der vorherigen schriftlichen Einwilligung von Avetta. Avetta benachrichtigt den Auftraggeber unverzüglich, wenn eine solche Anweisung nach Ansicht von Avetta gegen das anwendbare Datenschutzrecht verstößt. Gegebenenfalls ist der Auftraggeber für alle Mitteilungen, Benachrichtigungen, Hilfestellungen und/oder Genehmigungen zuständig, die im Zusammenhang mit seinen betroffenen Personen erforderlich sind.

3.2 Avetta unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch Avetta und der Avetta zur Verfügung stehenden Informationen auf angemessene Weise bei der Erfüllung seiner Verpflichtungen zur Einhaltung des anwendbaren Datenschutzrechts. Hierbei wird vorausgesetzt, dass der Auftraggeber sämtliche Kosten trägt, die Avetta im Zusammenhang mit der Bereitstellung dieser Unterstützung entstehen. Diese Einhaltungspflichten umfassen unter Umständen auch die Verpflichtung, eine Bewertung der Auswirkungen der Verarbeitungsvorgänge auf den Schutz personenbezogener Daten (eine „Datenschutz-Folgenabschätzung“) vorzunehmen, wenn eine Art der Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen einhergeht.

4. Mitarbeitende von Avetta

4.1 Avetta stellt sicher, dass alle Mitarbeitenden, die Zugang zu personenbezogenen Daten erhalten oder an der Verarbeitung von personenbezogenen Daten beteiligt sind, (i) eine Schulung zum anwendbaren Datenschutzrecht in Bezug auf den Umgang mit personenbezogenen Daten und deren Anwendbarkeit auf ihre jeweiligen Aufgaben absolviert haben und sich sowohl der Pflichten von Avetta als auch ihrer eigenen Pflichten und Verpflichtungen gemäß dem geltenden Datenschutzrecht und der vorliegenden DPA bewusst sind; und (ii) einer angemessenen Vertraulichkeitsverpflichtung (vertraglich oder gesetzlich) unterliegen.

4.2 Avetta stellt die Zuverlässigkeit, Integrität und Vertrauenswürdigkeit aller Mitarbeitenden von Avetta, die Zugriff auf personenbezogene Daten haben, mit angemessenen Maßnahmen sicher.

5. Sicherheit.

5.1 Unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen hat Avetta geeignete technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der in Anhang II zu Anlage B erläuterten Sicherheitsmaßnahmen. Avetta kann Anhang II ggf. überprüfen und aktualisieren, vorausgesetzt, dass derartige Aktualisierungen die allgemeine Sicherheit der Services oder der personenbezogenen Daten nicht wesentlich beeinträchtigen.

5.2 Der Auftraggeber ist für die Überprüfung der von Avetta bereitgestellten Informationen in Bezug auf die Datensicherheit und eine unabhängige Entscheidung darüber zuständig, ob die Services die Anforderungen und gesetzlichen Verpflichtungen des Auftraggebers gemäß dem anwendbaren Datenschutzrecht erfüllen.

6. Datenschutzverletzungen und Verlust personenbezogener Daten

6.1 Avetta benachrichtigt den Auftraggeber unverzüglich, sobald Avetta Kenntnis von einer Datenschutzverletzung erlangt. Die Benachrichtigung durch Avetta erfolgt an die vom Auftraggeber im Zusammenhang mit den Services registrierte E-Mail-Adresse. Wurde keine derartige E-Mail-Adresse registriert, erklärt sich der Auftraggeber damit einverstanden, dass die Art der Benachrichtigung im vernünftigen Ermessen von Avetta liegt und die Möglichkeit von Avetta zur rechtzeitigen Benachrichtigung beeinträchtigt ist. Avetta ergreift unverzüglich angemessene Maßnahmen zur Eindämmung, Untersuchung und Abmilderung von Datenschutzverletzungen. Vermutet der Auftraggeber eine Datenschutzverletzung, ist diese unverzüglich an infosec@avetta.com zu melden.

6.2 Soweit verfügbar, stellt Avetta dem Auftraggeber zeitnah Informationen über die Datenschutzverletzung zur Verfügung, etwa über die Art und die Folgen der Datenschutzverletzung, die von Avetta ergriffenen und/oder vorgeschlagenen Maßnahmen zur Abmilderung oder Eindämmung der Datenschutzverletzung, den Stand der Untersuchung von Avetta, eine Kontaktstelle, bei der zusätzliche Informationen eingeholt werden können, sowie die Kategorien und die ungefähre Anzahl der betroffenen Datensätze. Mitteilungen von oder im Auftrag von Avetta an den Auftraggeber im Zusammenhang mit Datenschutzverletzungen dürfen nicht als Eingeständnis eines Verschuldens oder einer Haftung durch Avetta in Bezug auf die Datenschutzverletzung ausgelegt werden.

7. Grenzüberschreitende Übermittlung personenbezogener Daten; erforderliche Vertragsklauseln

7.1 Der Auftraggeber erklärt sich damit einverstanden, dass Avetta personenbezogene Daten weltweit übertragen, darauf zugreifen und diese verarbeiten kann, soweit dies für die Bereitstellung der Services erforderlich ist.

7.2 Wenn das anwendbare Datenschutzrecht spezifische Mechanismen für die Übermittlung personenbezogener Daten an Avetta und/oder Vertragsklauseln für die Verarbeitung personenbezogener Daten durch Avetta (zusammenfassend „Übermittlungsmechanismen“) vorsieht, stellt Avetta diese spezifischen Übermittlungsmechanismen (im von Avetta allgemein geleisteten Umfang) zur Verfügung, wie in Anlage A angegeben.

7.3 Sieht das anwendbare Datenschutzrecht zusätzliche Anforderungen für die Übermittlung und/oder Vertragsklauseln für die Verarbeitung personenbezogener Daten vor, erklärt sich Avetta damit einverstanden, in angemessener Weise mit dem Auftraggeber zusammenzuarbeiten, um die Einhaltung dieser Anforderungen durch den Auftraggeber zu gewährleisten, und aktualisiert ggf. die in Anlage A aufgeführten Übermittlungsmechanismen. Der Auftraggeber erklärt sich bereit, weitere Dokumente in Kraft zu setzen und weitere Maßnahmen zu ergreifen, die vernünftigerweise erforderlich sind, damit der zusätzliche oder geänderte Übermittlungsmechanismus rechtskräftig wird.

8. (Unter-)Auftragsverarbeiter

8.1 Der Auftraggeber erklärt sich damit einverstanden, dass Avetta, wenn Avetta als Auftragsverarbeiter fungiert, die unter Auftragsverarbeiter und verbundene Unternehmen aufgeführten Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Services einsetzen kann. Avetta benachrichtigt den Auftraggeber mindestens 10 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters oder dem Austausch eines Unterauftragsverarbeiters über die Änderungen, indem der vorgeschlagene neue Unterauftragsverarbeiter unter Auftragsverarbeiter und verbundene Unternehmen veröffentlicht wird. Der Auftraggeber muss diese Website regelmäßig auf Aktualisierungen überprüfen. Hat der Auftraggeber begründete Einwände gegen die Ernennung eines neuen Unterauftragsverarbeiters, die sich auf die Einhaltung der vorliegenden DPA durch Avetta beziehen, unternimmt Avetta angemessene Maßnahmen zur Berücksichtigung der Einwände des Auftraggebers. Ist keine Lösung möglich, verzichtet Avetta nach eigenem Ermessen entweder auf die Ernennung des neuen Unterauftragsverarbeiters oder gestattet dem Auftraggeber, die Hauptvereinbarung auszusetzen oder zu beenden, ohne dass eine der Parteien hierfür haftet. Avetta ist nicht zu einer Erstattung der im Rahmen der Hauptvereinbarung gezahlten Beträge verpflichtet. Der Auftraggeber erklärt sich ferner damit einverstanden, dass Avetta, wenn Avetta als Verantwortlicher fungiert, die unter Auftragsverarbeiter und verbundene Unternehmen erläuterten bzw. aufgeführten Dienstleister für die dort genannten Zwecke nutzen kann.

9. Anträge bezüglich der Rechte betroffener Personen

9.1 Die Parteien vereinbaren, die jeweils andere Partei in angemessenem Umfang bei der Bearbeitung von Anträgen bezüglich der Rechte betroffener Personen innerhalb der laut anwendbarem Datenschutzrecht geltenden Fristen zu unterstützen.

10. Antrag auf Datenzugriff durch Dritte

10.1 Avetta benachrichtigt den Auftraggeber, wenn eine Verwaltungs-, Aufsichts- oder Strafverfolgungsbehörde die Offenlegung der personenbezogenen Daten des Auftraggebers verlangt, sofern dies nicht gesetzlich oder durch eine rechtsverbindliche Anordnung einer solchen Behörde oder Einrichtung untersagt ist.

11. Laufzeit und Beendigung

11.1 Die vorliegende DPA tritt am Tag des Inkrafttretens der Hauptvereinbarung oder der ersten Übermittlung personenbezogener Daten an Avetta in Kraft (je nachdem, was zuerst eintritt) und bleibt in vollem Umfang in Kraft, solange die Hauptvereinbarung in Kraft bleibt.

11.2 Sämtliche Bestimmungen der vorliegenden DPA, die ausdrücklich oder stillschweigend bei oder nach Beendigung der Hauptvereinbarung zum Schutz personenbezogener Daten in Kraft treten bzw. fortbestehen sollten, bleiben in vollem Umfang in Kraft.

12. Rückgabe und Vernichtung von Daten

12.1 Auf schriftliche Anfrage des Auftraggebers stellt Avetta dem Auftraggeber eine Kopie der in seinem Besitz oder unter seiner Kontrolle befindlichen personenbezogenen Daten in einem gemeinsam vereinbarten Format bereit oder gewährt Zugriff auf diese Daten, sofern die Anfrage vor der Vernichtung der personenbezogenen Daten durch Avetta gestellt wird.

12.2 Nach Beendigung der Hauptvereinbarung unternimmt Avetta innerhalb eines angemessenen Zeitraums die sichere Löschung bzw. Vernichtung der personenbezogenen Daten des Auftraggebers, die sich im Zusammenhang mit der vorliegenden DPA im Besitz oder unter der Kontrolle von Avetta befinden. Diese Bestimmung gilt nicht, (i) falls die Aufbewahrung der personenbezogenen Daten zur Erfüllung gesetzlicher, behördlicher, steuerlicher, buchhalterischer oder meldetechnischer Bestimmungen bzw. zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist, wenn Avetta angemessenen Grund zur Annahme hat, dass ein Rechtsstreit droht, und (ii) für die personenbezogenen Daten in Backup-Systemen, bis die Backups gemäß der Backup-Richtlinie von Avetta überschrieben oder gelöscht werden. In diesem Fall isoliert und schützt Avetta die personenbezogenen Daten vor einer weiteren Verarbeitung, sofern eine solche nicht gesetzlich vorgeschrieben ist, bis eine Löschung erfolgen kann.

13. Audit

13.1 Auf schriftlichen Antrag und ohne zusätzliche Kosten für den Auftraggeber gewährt Avetta dem Auftraggeber und/oder einem bzw. einer angemessen qualifizierten externen Vertreter:in (zusammenfassend „Auditor:in“) Zugriff auf begründet angeforderte Unterlagen, die die Einhaltung der Verpflichtungen von Avetta im Rahmen der vorliegenden DPA in Form der in Anhang II zu Anlage B aufgeführten relevanten Audits oder Zertifizierungen belegen, darunter ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 und ISO/IEC 22301:2019 („ISO-Zertifizierungen“) sowie SOC 2 Typ II. Avetta füllt zudem alle vom Auditor bzw. von der Auditorin vorgelegten schriftlichen Auditfragebögen aus und nimmt an per Telefonkonferenz oder Präsenzveranstaltung realisierten Meetings (auf Kosten des Auftraggebers) zur Klärung von Folgefragen teil, vorausgesetzt, der Auftraggeber macht von diesem Recht nicht öfter als einmal pro Jahr Gebrauch, sofern dies nicht anderweitig durch eine zuständige Datenschutzbehörde angeordnet wird. Avetta kann vom Auditor bzw. von der Auditorin vor einer Prüfung der Berichte oder der Durchführung eines Audits von Avetta den Abschluss einer gesonderten Vertraulichkeitsvereinbarung mit Avetta verlangen. Zudem kann Avetta eine:n derartige:n Auditor:in schriftlich ablehnen, wenn Avetta Grund zur Annahme hat, dass der bzw. die Auditor:in nicht ausreichend qualifiziert ist oder es sich um einen direkten Wettbewerber von Avetta handelt. Im Falle eines derartigen Einspruchs von Avetta hat der Auftraggeber eine:n andere:n Auditor:in zu benennen. Sämtliche Kosten, die einem bzw. einer Auditor:in im Zusammenhang mit einer Prüfung der Berichte oder der Durchführung eines Audits entstehen, trägt ausschließlich der bzw. die Auditor:in.

14. Allgemeines

14.1 Die Parteien vereinbaren, dass die vorliegende DPA alle vorhandenen Zusätze, Anhänge, Anlagen oder Standardvertragsklauseln zur Datenverarbeitung, die Avetta und der Auftraggeber möglicherweise zuvor im Zusammenhang mit den Services geschlossen haben, ersetzt und vorrangig vor diesen gilt. Avetta kann die vorliegende DPA ggf. aktualisieren (z. B. als Reaktion auf Änderungen des anwendbaren Datenschutzrechts, als Ergebnis einer Fusion, Übernahme, Unternehmensumstrukturierung bzw. eines ähnlichen Vorgangs, im Zusammenhang mit der Einführung neuer Features, Funktionen, Produkte oder Services oder im Zusammenhang mit wesentlichen Änderungen vorhandener Services). Vorausgesetzt wird hierbei jedoch, dass eine solche Aktualisierung den Datenschutz oder die Sicherheit personenbezogener Daten nicht wesentlich beeinträchtigt. Avetta veröffentlicht die aktualisierte Version unter Ergänzung zur Datenverarbeitung (MSA) oder auf einer von Avetta genannten Nachfolgewebsite.

14.2 Die Haftung von Avetta im Rahmen oder in Verbindung mit der vorliegenden DPA, einschließlich der EU SCC, unterliegt den in der Hauptvereinbarung enthaltenen Haftungsausschlüssen und -beschränkungen. In keinem Fall beschränkt Avetta seine Haftung gegenüber betroffenen Personen oder zuständigen Datenschutzbehörden oder schließt diese aus.

14.3 Mit Ausnahme der Fälle und des Umfangs, in denen bzw. in dem dies in den EU-SCCs ausdrücklich vorgesehen oder durch das anwendbare Datenschutzrecht vorgeschrieben ist, erwachsen aus der vorliegenden DPA Dritten keinerlei Rechte. Die DPA dient lediglich dem Nutzen der Vertragsparteien und ihrer jeweiligen zulässigen Rechtsnachfolger und Abtretungsempfänger und kommt keiner anderen Person zugute, noch kann eine Bestimmung dieser DPA von einer anderen Person durchgesetzt werden.

14.4 Die vorliegende DPA und alle mit dieser im Zusammenhang stehenden Handlungen unterliegen den in der Hauptvereinbarung genannten Gesetzen und sind unter Ausschluss des Kollisionsrechts entsprechend auszulegen. Die Parteien erklären sich mit der ausschließlichen Zuständigkeit der in der Hauptvereinbarung genannten Gerichte und dem entsprechenden Gerichtsstand einverstanden.

14.5 Sollte eine Bestimmung der vorliegenden DPA aus irgendeinem Grund für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen der DPA durchsetzbar. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, erklärt sich der Auftraggeber damit einverstanden, dass Absatz 14.2 (Haftungsbeschränkung) ungeachtet der Nichtdurchsetzbarkeit einer Bestimmung der vorliegenden DPA in Kraft bleibt.

ANLAGE A

ÜBERMITTLUNGSMECHANISMEN UND ERFORDERLICHE VERTRAGSKLAUSELN

Diese Anlage A enthält die von Avetta genutzten Übermittlungsmechanismen. Übermittlungsmechanismen, die nicht auf die Übermittlung vom Auftraggeber an Avetta anwendbar sind, werden weder genutzt noch in die vorliegende DPA aufgenommen. Ist oder wird ein aufgeführter Übermittlungsmechanismus nach dem anwendbaren Datenschutzrecht anwendbar, so gilt er als von den Parteien unterzeichnet (sofern eine Unterzeichnung erforderlich ist) und wird in die vorliegende DPA aufgenommen.

1. Data Privacy Framework

Für die Übermittlung personenbezogener Daten in die Vereinigten Staaten hat Avetta eine Selbstzertifizierung im Rahmen des EU-US Data Privacy Framework, der Ergänzung zum EU-US Data Privacy Framework für das Vereinigte Königreich und des Swiss-US Data Privacy Framework vorgenommen, die jeweils der Kontrolle des US Department of Commerce unterliegen. Weitere Informationen sind dem Hinweis von Avetta zum Data Privacy Framework zu entnehmen, der unter www.avetta.com/data-privacy-framework abrufbar ist.

2. EU-Standardvertragsklauseln (EU Standard Contractual Clauses, EU SCCs).

‍Wenn die Verarbeitung die Übermittlung personenbezogener Daten an Avetta außerhalb des EWR umfasst und keine andere rechtliche Grundlage für die internationale Übermittlung vorhanden ist (z. B. wenn das jeweilige Data Privacy Framework für ungültig erklärt wurde), unterliegt eine derartige Übermittlung den EU SCCs, insbesondere:

In Fällen, in denen Avetta als Verantwortlicher fungiert, gilt für die Übermittlung personenbezogener Daten zwischen dem Auftraggeber und Avetta Modul 1 der EU SCCs (Übermittlung von Verantwortlichen an Verantwortliche), ergänzt durch die nachstehenden Bestimmungen:
1. Die fakultative Formulierung in Klausel 7 (Kopplungsklausel) wird verwendet.
2. Die fakultative Formulierung in Klausel 11(a) (Rechtsbehelf) wird nicht verwendet.
3. Für Klausel 17 wird die erste Option gewählt und es gilt deutsches Recht.
4. Für Klausel 18(b) ist der gewählte Gerichtsstand die deutsche Gerichtsbarkeit.
In Fällen, in denen der Auftraggeber als Verantwortlicher und Avetta als Datenverarbeiter fungiert, gilt Modul 2 der EU SCCs (Übermittlung von Verantwortlichen an Auftragsverarbeiter), ergänzt durch die nachstehenden Bestimmungen:
1. Die fakultative Formulierung in Klausel 7 (Kopplungsklausel) wird verwendet.
2. Für Klausel 9(a) wird Option 2 (allgemeine schriftliche Genehmigung) gewählt und die Frist auf zehn (10) Tage festgelegt.
3. Die fakultative Formulierung in Klausel 11(a) (Rechtsbehelf) wird nicht verwendet.
4. Für Klausel 17 wird die erste Option gewählt und es gilt deutsches Recht.
5. Für Klausel 18(b) ist der gewählte Gerichtsstand die deutsche Gerichtsbarkeit.
Die Anhänge I, II und III der EU SCCs gelten mit den in Anlage B aufgeführten Angaben als erfüllt.

3. Ergänzung für das Vereinigte Königreich Wenn die Verarbeitung die Übermittlung personenbezogener Daten an Avetta außerhalb des Vereinigten Königreichs umfasst und keine andere rechtliche Grundlage für die internationale Übermittlung vorhanden ist (z. B. wenn das jeweilige Data Privacy Framework für ungültig erklärt wurde), unterliegt eine derartige Übermittlung der Ergänzung für das Vereinigte Königreich, erweitert um folgende Bestimmungen:

Die Vertragsparteien im Sinne dieser Ergänzung für das Vereinigte Königreich sind die Vertragsparteien der DPA.
Die durch diese Ergänzung für das Vereinigte Königreich abgeänderten EU SCCs sind die anwendbaren EU SCCs, auf die in Absatz 2 dieser Anlage A Bezug genommen wird. In die Tabellen 1–3 der Ergänzung für das Vereinigte Königreich sind entsprechend die relevanten Informationen einzutragen.
Für die Zwecke von Tabelle 4 der Ergänzung für das Vereinigte Königreich ist „Importeur“ zu wählen.
Teil 2 der Ergänzung für das Vereinigte Königreich lautet: „Teil 2: Die obligatorischen Klauseln der genehmigten Ergänzung sind in Vorlage ‚Addendum B.1.0‘ aufgeführt, die vom ICO herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, in der gemäß Absatz 18 dieser obligatorischen Klauseln überarbeiteten Fassung.“

4. Standardvertragsklauseln für die Schweiz Wenn die Verarbeitung die Übermittlung personenbezogener Daten außerhalb der Schweiz an Avetta beinhaltet und keine andere rechtliche Grundlage für die internationale Übermittlung vorhanden ist (z. B. wenn der anwendbare Datenschutzrahmen nicht/nicht länger als zulässiger Übermittlungsmechanismus gilt), unterliegt eine derartige Übermittlung den in Absatz 2 dieser Anlage A genannten EU SCCs. Hierbei gelten folgende Ausnahmen:

Der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffenen Personen in der Schweiz die Möglichkeit verwehrt wird, ihre Rechte gemäß Klausel 18 (c) dieser Standardvertragsklauseln an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.
Unterliegt die Übermittlung ausschließlich dem Bundesgesetz über den Datenschutz („DSG“), sind Verweise auf die DSGVO als Verweise auf das DSG auszulegen.
Unterliegt die Übermittlung sowohl dem DSG als auch der DSGVO, sind die Verweise auf die DSGVO als Verweise auf das DSG auszulegen, soweit die Übermittlung dem DSG unterliegt.

5. CCPA-Vertragsklauseln Umfasst die Verarbeitung personenbezogene Daten von in Kalifornien ansässigen Personen, müssen die Parteien zusätzlich Folgendes beachten:

Avetta wird: (i) personenbezogene Daten ausschließlich für die in der Hauptvereinbarung und im CCPA erläuterten zulässigen Zwecke und für keine anderen geschäftlichen Zwecke erheben, verwenden, aufbewahren oder offenlegen; (ii) personenbezogene Daten weder verkaufen noch für kontextübergreifende verhaltensbezogene Werbung weitergeben; (iii) personenbezogene Daten nicht abseits der direkten geschäftlichen Beziehung mit Avetta erheben, verwenden, aufbewahren oder offenlegen, sofern dies nicht für die Bereitstellung der Services erforderlich ist; (iv) personenbezogene Daten, die Avetta vom oder im Namen des Auftraggebers erhält, nicht mit personenbezogenen Daten kombinieren, die es im Namen einer anderen Person oder im Namen anderer Personen erhebt, ausgenommen, der entsprechende Geschäftszweck umfasst keine kontextübergreifende verhaltensorientierte Werbung und ist nach dem CCPA zulässig; und (v) mindestens das Maß an Datenschutz bieten, das der CCPA in Bezug auf personenbezogene Daten vorsieht. Avetta erklärt, dass das Unternehmen diese Einschränkungen zur Kenntnis genommen hat und einhält.
Der Auftraggeber hat das Recht, (i) die Einhaltung der vorliegenden DPA durch Avetta zu überwachen und (ii) angemessene sowie geeignete Maßnahmen zu ergreifen, die sicherstellen, dass Avetta die personenbezogenen Daten unter Einhaltung des CCPA verwendet. Avetta benachrichtigt den Auftraggeber, sobald Avetta feststellt, dass es eine seiner Verpflichtungen aus dem CCPA nicht länger erfüllen kann. In diesem Fall arbeitet Avetta mit dem Auftraggeber zusammen und unternimmt alle angemessenen und geeigneten Schritte zur Beendigung und Korrektur der Verarbeitung, bis diese mit dem CCPA und der vorliegenden DPA vereinbar ist.

ANLAGE B

EINZELHEITEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

Diese Anlage B ist Teil der DPA und erläutert die Verarbeitung durch Avetta im Zusammenhang mit der Bereitstellung der Services.

ANHANG I – ERLÄUTERUNG DER DATENVERARBEITUNG

A. LISTE DER PARTEIEN

Datenexporteur:

Name:	Wie vom Auftraggeber angegeben
Anschrift:	Wie vom Auftraggeber angegeben
Name, Funktion und Kontaktdaten der Kontaktperson:	Wie vom Auftraggeber angegeben
In Bezug auf die unter dieser DPA übertragenen Daten relevante Handlungen:	Nutzung der Services gemäß der Hauptvereinbarung
Unterschrift und Datum:	Die vorliegende Anlage B gilt automatisch als erfüllt, wenn die Hauptvereinbarung zwischen den Parteien erfüllt wurde.
Rolle (Verantwortlicher/Auftragsverarbeiter):	Verantwortlicher

Datenimporteur:

Name:	Avetta, LLC
Anschrift:	1330 Post Oak Blvd., Suite 600, Houston, TX 77056, USA
Name, Funktion und Kontaktdaten der Kontaktperson:	Privacy Officer privacy@avetta.com
In Bezug auf die unter dieser DPA übertragenen Daten relevante Handlungen:	Verarbeitung ist für die Bereitstellung der Services an den Auftraggeber erforderlich. Verarbeitung ist für die berechtigten Interessen von Avetta erforderlich, die in der Datenschutzrichtlinie von Avetta (die „Datenschutzrichtlinie“) erläutert werden, die unter Datenschutzrichtlinie abrufbar ist.
Unterschrift und Datum:	Die vorliegende Anlage B gilt automatisch als erfüllt, wenn die Hauptvereinbarung zwischen den Parteien erfüllt wurde.
Rolle (Verantwortlicher/Auftragsverarbeiter):	Auftragsverarbeiter, soweit die Verarbeitung im Auftrag des Auftraggebers erfolgt. Verantwortlicher in Bezug auf die sonstige Verarbeitung, darunter eine Verarbeitung, die für die berechtigten Interessen von Avetta erforderlich ist.

B. Beschreibung der Übermittlung

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden:	Admin-Benutzer:innen des Auftraggebers, die über das Konto des Auftraggebers auf die Services zugreifen bzw. diese nutzen. Beschäftigte des Auftraggebers (wenn der Auftraggeber Beschäftigtenprodukte von Avetta für seine Beschäftigten abonniert hat). Besucher:innen des Auftraggebers (wenn der Auftraggeber den relevanten Service abonniert hat).
Kategorien übermittelter personenbezogener Daten:	Admin-Benutzer:innen des Auftraggebers: berufliche Kontaktdaten (Name, Funktion, E-Mail-Adresse, Telefonnummer, Anschrift usw.); Standortdaten (IP-Adresse); technische Daten und Nutzungsdaten (Browsertyp und -version, Zeitzoneneinstellung und Standort, Browser-Plug-in-Typen und -Versionen, Betriebssystem und Plattform sowie andere Technologien auf den Geräten, die Benutzer:innen für den Zugriff auf die Services verwenden); biometrische Daten(wenn Admin-Benutzer:innen sich an das Avetta-Supportteam wenden und sich ausdrücklich mit der Verwendung der Stimme zu Authentifizierungszwecken einverstanden erklären); Transaktionsdaten (z. B. Abonnementstatus und Verlauf des Auftraggebers, jedoch nur, wenn in den Transaktionsdaten personenbezogene Daten enthalten sind); und Marketing- und Kommunikationsdaten (z. B. Marketing- und Kommunikationseinstellungen des Auftraggebers, jedoch nur, wenn in diesen Daten personenbezogene Daten enthalten sind). Beschäftigte des Auftraggebers (wenn der Auftraggeber Beschäftigtenprodukte von Avetta für seine Beschäftigten abonniert hat): alle personenbezogenen Daten, die der Auftraggeber und/oder seine Beschäftigten an Avetta übermittelt haben, darunter Identitätsdaten (Name, Identifikationsnummer, QR-Code oder Dienstausweis, Funktion, Geburtsdatum, Geburtsort, Geschlecht und Staatsangehörigkeit usw.); Kontaktdaten (E-Mail-Adresse, Telefonnummer, Privat-/Postanschrift, Kontaktperson für Notfälle und die Beziehung zu dieser sowie Informationen zu den nächsten Angehörigen usw.); Profildaten (Benutzername, Passwort, Profilfoto, Spracheinstellung, Arbeitgeber, Teams, denen Beschäftigte angehören, Einsatzorte, berufliche Rollen sowie Schulungen und Beurteilungen, für die sich die Beschäftigten angemeldet haben, usw.); Gesundheitsdaten (Impfstatus, Ergebnisse von Alkohol- und Drogenscreenings und medizinische Unterlagen oder Atteste usw., soweit derartige Daten vom Auftraggeber verlangt werden); biometrische Daten (wenn Beschäftigte sich an das Support-Team von Avetta wenden und ihr ausdrückliches Einverständnis mit der Verwendung ihrer Stimme zu Authentifizierungszwecken erteilen oder wenn Beschäftigte einen Einsatzort besuchen, an dem Fingerabdrücke zur Authentifizierung der Identität der Beschäftigten erforderlich sind); berufliche Daten (Tätigkeit, berufliche Kompetenzen und entsprechende Nachweise, berufliche Zertifizierungen, Ausbildungsstatus, akademische Qualifikationen und Werdegang, Akkreditierungen sowie Berufserfahrung usw.); und Kommunikationsdaten (z. B. Kommunikationseinstellungen); Profildaten, die Avetta zu den Beschäftigten generiert hat, wie eindeutige Kennung, Abonnementstatus, Compliance-Status in Bezug auf die vom Auftraggeber festgelegten Anforderungen und/oder Standortzugangsschlüssel; sowie Transaktionsdaten (nur wenn die Transaktionsdaten personenbezogene Daten von Beschäftigten enthalten); Standortdaten (IP-Adressen, Einsatzorte und Geolokalisierungsdaten bei der Anmeldung an Zugangskontrollsystemen des Standorts usw,); und Technische Daten sowie Nutzungsdaten (Browsertyp und -version, Zeitzoneneinstellung und Standort, Spracheinstellungen, Browser-Plug-in-Typen und -Versionen, Betriebssystem und Plattform, andere Technologien auf den Geräten, die Beschäftigte für den Zugriff auf die Services verwenden, Zeit der An- und Abmeldung, Dauer der Website-Nutzung, besuchte Webseiten, Suchbegriffe, aufgerufene Inhalte Dritter usw.) Besucher:innen des Auftraggebers (wenn der Auftraggeber den relevanten Service abonniert hat): Sämtliche personenbezogenen Daten, die der Auftraggeber und/oder seine Besucher:innen an Avetta übermitteln, darunter Daten zur Identität (z. B. Name, Identifikationsnummer, Titel, Geburtsdatum, Geburtsort und Geschlecht); Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer, Wohn-/Postanschrift); Profildaten (z. B. Benutzername, Passwort, Profilfoto, bevorzugte Sprache sowie Schulungen und Bewertungen, zu denen sich Besucher:innen angemeldet haben); biometrische Daten (wenn Besucher:innen sich an das Supportteam von Avetta wenden und ausdrücklich in die Verwendung ihrer Stimme zu Authentifizierungszwecken zustimmen oder wenn Besucher:innen einen Einsatzort betreten, bei dem die Authentifizierung der Identität per Fingerabdruck erforderlich ist); berufliche Daten (z. B. Beschäftigungs- und Ausbildungsstatus) und Kommunikationsdaten (z. B. Kommunikationseinstellungen); Profildaten, die von Avetta zu Besucher:innen generiert werden; und Transaktionsdaten (nur falls in den Transaktionsdaten personenbezogene Daten von Besucher:innen enthalten sind); Standortdaten (z. B. IP-Adresse); und Technische Daten sowie Nutzungsdaten (Browsertyp und -version, Zeitzoneneinstellung und Standort, Spracheinstellungen, Browser-Plug-in-Typen und -Versionen, Betriebssystem und Plattform, andere Technologien auf den Geräten, die Besucher:innen für den Zugriff auf die Services verwenden, Zeit der An- und Abmeldung, Dauer der Website-Nutzung, besuchte Webseiten, Suchbegriffe, aufgerufene Inhalte Dritter usw.)
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die in Bezug auf die Art der Daten und der relevanten Risiken angemessen sind, beispielsweise strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich der Beschränkung des Zugriffs auf Mitarbeitende, die eine spezielle Schulung absolviert haben), Protokollierung des Datenzugriffs, Beschränkungen hinsichtlich der Weitergabe oder zusätzliche Sicherheitsmaßnahmen:	Wie oben erläutert können biometrische Daten betroffener Personen mit deren ausdrücklichem Einverständnis erhoben werden. Der vom Auftraggeber und/oder seinen Beschäftigten/Besucher:innen hochgeladene oder übermittelte Inhalt kann Daten besonderer Kategorien enthalten, deren Umfang ausschließlich dem Ermessen des Auftraggebers unterliegt. Derartige Daten besonderer Kategorien sind unter anderem Informationen über die Hautfarbe oder die ethnische Herkunft, die Mitgliedschaft in einer Gewerkschaft und die Gesundheit einer Person. Darüber hinaus können in Verbindung mit den Services Geolokalisierungsdaten erfasst werden (beispielsweise, wenn sich Beschäftigte bei Standortzugangskontrollsystemen anmelden). Derartige Daten besonderer Kategorien sind durch die in Anlage B aufgeführten Sicherheitsmaßnahmen zu schützen.
Häufigkeit der Übermittlung (z. B. einmalige oder fortlaufende Datenübermittlung):	Fortlaufend während der Wirksamkeit der Hauptvereinbarung.
Art der Verarbeitung:	Verarbeitung ist für die Bereitstellung der Services an den Auftraggeber erforderlich. Verarbeitung ist für die berechtigten Interessen von Avetta erforderlich, wie in der Datenschutzrichtlinie erläutert.
Zweck(e) der Datenübermittlung und der weiteren Verarbeitung:	Verarbeitung ist für die Bereitstellung der Services erforderlich. Verarbeitung ist für die berechtigten Interessen von Avetta erforderlich, wie in der Datenschutzrichtlinie erläutert.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder (falls keine entsprechende Angabe möglich ist) die Kriterien, anhand derer dieser Zeitraum bestimmt wird:	Avetta gibt die personenbezogenen Daten gemäß Absatz 12 dieser DPA zurück oder löscht die Daten.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind zudem der Gegenstand, die Art und die Dauer der Verarbeitung anzugeben:	Einzelheiten zu den (Unter-)Auftragsverarbeitern sind unter folgendem Link abrufbar: Auftragsverarbeiter und verbundene Unternehmen.

C. Zuständige Aufsichtsbehörde

Geben Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 der EU SCCs an:

In den Fällen, in denen die DSGVO der EU Anwendung findet, wird die zuständige Aufsichtsbehörde gemäß Klausel 13 der EU SCCs bestimmt.
Wenn die UK GDPR Anwendung findet, ist das UK Information Commissioner's Office zuständig.

ANHANG II – TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN

Übersicht

Bei der Entwicklung der Software-as-a-Service-Anwendungen („SaaS-Services“) von Avetta standen Sicherheitsaspekte von Anfang an im Mittelpunkt. Die SaaS-Services Connect und Workforce Management umfassen auf allen Verarbeitungsebenen zahlreiche Sicherheitsmaßnahmen in Bezug auf eine Reihe von Sicherheitsrisiken. Diese Sicherheitsmaßnahmen können geändert werden. Sämtliche Änderungen bewirken hierbei die Aufrechterhaltung oder Verbesserung der allgemeinen Sicherheit der SaaS-Plattform.

Die nachstehenden Hauptbereiche, in denen die Sicherheitsmaßnahmen erfolgen, gelten für alle Komponenten der SaaS-Services Avetta Connect und Workforce Management. Avetta hostet seine SaaS-Services auf Plattformen von Clouddienstanbietern, die hauptsächlich Amazon Web Services (AWS) und in einigen Fällen Equinix nutzen.

Audits und Zertifizierungen

Die Avetta-SaaS-Services sind nach ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015 sowie ISO/IEC 27018:2019 und ISO/IEC 22301:2019 zertifiziert („ISO-Zertifizierungen“). Avetta überprüft die Einhaltung der ISO-Zertifizierungen jährlich im Rahmen eines internen Kontrollaudits. Dieses Audit wird vom Information Security and Privacy Management Systems Committee (Ausschuss für Informationssicherheits- und Datenschutzmanagementsysteme) überprüft. Dieses Gremium setzt sich aus Mitgliedern der obersten Führungsebene von Avetta zusammen.

Avetta nutzt für die Rechen- und Speicherkapazität, die für die SaaS-Services erforderlich ist, in erster Linie globale AWS-Regionen. AWS bietet herausragende Einrichtungen, die zahlreiche Akkreditierungen erhalten haben, darunter SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 und ISO/IEC 9001:2015. Diese AWS-Einrichtungen, in denen Daten der Kunden von Avetta gespeichert und verarbeitet werden, zeichnen sich zudem durch hochmoderne physische Sicherheitsvorkehrungen aus. Avetta nutzt in bestimmten Regionen Equinix als Cloud-Dienstanbieter für Workforce Management. Equinix verfügt ebenfalls über zahlreiche Zertifizierungen, darunter ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, PCI DSS, SOC 1 Typ II und SOC 2 Typ II. Weitere Informationen über die Cloud-Dienstanbieter finden Sie unter https://aws.amazon.com/compliance/programs/ und https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Disaster Recovery und Business Continuity

Avetta gewährleistet die hohe Verfügbarkeit der SaaS-Services durch Nutzung eines speziellen Backup/Failover-AWS-Rechenzentrums, das sich an einem anderen geografischen Standort befindet als die normale Datenverarbeitungseinrichtung. Dadurch wird sichergestellt, dass Avetta schnell auf alle umweltbedingten, physischen oder unfallbedingten Ereignisse reagieren kann, die einen Ausfall der normalen AWS-Datenverarbeitungseinrichtung zur Folge haben könnten.

Avetta verfügt über einen umfassenden Plan für Disaster Recovery und Business Continuity, der mindestens einmal jährlich überprüft wird. Diese Überprüfung sorgt dafür, dass die Belegschaft von Avetta mit der Notfallplanung in Bezug auf Ereignisse vertraut ist, die eine Unterbrechung der normalen Geschäftsaktivitäten von Avetta zur Folge haben könnten.

Die Systeme von Avetta sind so konzipiert, dass Wiederherstellungspunkte in einem Abstand von weniger als zwei Stunden gesetzt werden und die planmäßige Wiederherstellungszeit weniger als vier Stunden beträgt.

Avetta führt außerdem regelmäßig eine umfassende Risikobewertungsübung durch, um sicherzustellen, dass im Unternehmen angemessene Strategien zur Risikominderung und Abhilfemaßnahmen verfügbar sind.

Reaktion auf Zwischenfälle

Avetta verfügt über einen umfassenden Plan zur Reaktion auf Zwischenfälle. Dieser Plan sowie die zugehörigen Prozesse und Verfahren ermöglichen es der Belegschaft von Avetta, schnell auf mutmaßliche oder potenzielle Datenschutzverletzungen sowie auf sonstige verdächtige Aktivitäten im Zusammenhang mit der Cybersicherheit innerhalb der Avetta-Umgebung zu reagieren. Ein von qualifizierten Mitgliedern geführtes Incident-Response-Team bewertet derartige Situationen und entwickelt geeignete Maßnahmenpläne und Abhilfestrategien. Bestätigt sich der Verdacht einer Datenschutzverletzung, ergreift das Incident-Response-Team anhand fester Protokolle unmittelbare und angemessene Maßnahmen zur Eindämmung schädlicher Aktivitäten sowie zur Sicherung forensischer Beweise. Die Benachrichtigungsverfahren werden ebenfalls befolgt.

Verschlüsselung

Ruhende Daten werden bei den Avetta SaaS-Services per AES-256 verschlüsselt. Daneben werden weitere Datenelemente mit SALT-Verfahren verschlüsselt. Diese Verschlüsselungsverfahren gewährleisten ein hohes Maß an Vertraulichkeit und Integrität der Kundendaten. Die logische Datentrennung bleibt in den Avetta SaaS-Services stets erhalten, sodass keine Kundendaten von unbefugten Quellen abgerufen werden können. Der Zugriff auf die Kundendaten wird durch ein eindeutiges Identitäts- und Zugriffsmanagement mit Attributen gesteuert, sodass unbefugte Benutzer:innen keinen Zugriff auf die Kundendaten erhalten.

Die Sicherheitsmaßnahmen von Avetta basieren auf dem Least-Privilege-Prinzip (Prinzip der geringsten Privilegien), d. h., Mitarbeiter erhalten nur Zugriff auf Daten und Systemfunktionen, die sie für ihre Tätigkeit benötigen.

Sicherheitsmaßnahmen für Webanwendungen

Der Kundenzugriff auf SaaS-Services erfolgt ausschließlich über sichere Kommunikationsprotokolle wie TLS 1.2 oder eine aktuellere Version. Dadurch steht ein verschlüsselter Kanal für die sichere Übertragung der Daten zwischen Endnutzer:innen und den SaaS-Services zur Verfügung. Dieser schützt die Kundendaten während der Datenübertragung.

Kundenadministator:innen können Nutzer:innen der SaaS-Services hinzufügen und entfernen sowie entsprechende Zugriffsrechte festlegen. Kunden können bei den SaaS-Services die Multi-Faktor-Authentifizierung für den Zugriff auf Konten in den SaaS-Services aktivieren, indem sie Single Sign-On per SAML 2.0-Identitätsanbietern nutzen. Kunden können bei den SaaS-Services anpassbare Passwortrichtlinien festlegen, sodass die Passwörter für die SaaS-Services den Unternehmensrichtlinien des Kunden entsprechen.

Netzwerk

Die SaaS-Services beschränken die Einspeisung von Daten in das Netzwerk sowie den entsprechenden Abruf mithilfe der Netzwerksicherheitsmaßnahmen des Cloud-Dienstanbieters. Sicherheitsgruppen beschränken die Netzwerkaktivitäten auf autorisierte Endpunkte. Die SaaS-Services verwenden eine Multi-Tier-Netzwerkarchitektur, einschließlich mehrerer logisch getrennter virtueller Cloudflare-Umgebungen mit privaten Zonen, DMZs und Zonen ohne Vertrauensstellung innerhalb der Cloud-Service-Infrastruktur.

Überwachung und Auditing

Die Systeme und Netzwerke der SaaS-Services werden in Hinblick auf Sicherheitsvorfälle, Systemzustand, Netzwerkanomalien, Verarbeitungsaktivitäten, Infrastrukturverarbeitungsstufen und Verfügbarkeit überwacht. Avetta nutzt ein Eindring-Erkennungssystem zur Überwachung der Netzwerkaktivitäten, das die zuständigen Teammitglieder von Avetta über verdächtiges Verhalten informiert. Zudem werden für sämtliche öffentliche Webservices Webanwendungsfirewalls eingesetzt.

Avetta protokolliert Anwendungs-, Netzwerk-, Benutzer- und Betriebssystemereignisse auf einem lokalen Syslog-Server und in einem SIEM-System. Diese Protokolle werden automatisch analysiert und auf verdächtige Aktivitäten sowie Bedrohungen überprüft. Sämtliche Anomalien in der Systemaktivität werden den entsprechenden Stellen gemeldet und ggf. erfolgen geeignete Maßnahmen. Avetta nutzt Sicherheitsinformations- und Ereignismanagementsysteme, die eine kontinuierliche Sicherheitsanalyse der Netzwerke und der Sicherheitsumgebung von Avetta ermöglichen, in deren Rahmen Hinweise auf mögliche oder verdächtige Aktivitäten protokolliert, erkannt und gemeldet werden. Die Administration dieser Funktionen und Aktivitäten erfolgt durch das DevOps- und Cybersicherheitspersonal von Avetta.

Schwachstellenmanagement

Avetta führt im Rahmen seines umfassenden Sicherheitsprogramms regelmäßige Schwachstellenbewertungen für Webanwendungen, Analysen von statischem Code sowie externe Sicherheitsbewertungen durch, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt wurden und wirksam sind. Avetta beauftragt halbjährlich unabhängige Dritte mit der Durchführung von Schwachstellen- und Penetrationstests zur Netzwerk- und Web-Schwachstellenbewertung. Der Umfang dieser externen Audits umfasst die Compliance in Bezug auf die Open Web Application Security Project (OWASP) Top 10 Web Vulnerabilities. Die Ergebnisse der Schwachstellenbewertung werden in den Softwareentwicklungszyklus (Software Development Lifecycle, „SDLC“) von Avetta integriert, sodass die ermittelte Schwachstelle behoben werden kann. Spezifische Schwachstellen werden priorisiert und in das interne Ticket-System von Avetta eingegeben, sodass diese bis zur Beseitigung im Blick bleiben.

Sichere Softwareentwicklung

Der SDLC von Avetta umfasst sichere Entwicklungspraktiken. Hierzu zählen der Einsatz von Tools für die Analyse von statischem Code sowie die Echtzeit-Codeanalyse. Vor dem Einsatz des Codes in der Produktionsumgebung erfolgen zudem Peer-Reviews. Avetta unterhält getrennte Verarbeitungsumgebungen: Produktion, Test/Qualitätssicherung und Demo. Die Softwareentwickler:innen von Avetta müssen jährlich eine Schulung zur sicheren Programmierung absolvieren.

Avetta-Cybersicherheitsteam

Avetta verfügt über ein spezielles Sicherheitsteam, das von einem/einer Cybersicherheitsmanager:in mit einem Master-Abschluss in Cybersicherheit geleitet wird. Das Team führt regelmäßig unternehmensweite Sicherheitsschulungen, Sicherheitsübungen sowie regelmäßige Schwachstellen- und Penetrationsübungen durch. Damit sorgt das Cybersicherheitsteam dafür, dass die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung von Kundendaten regelmäßig getestet, bewertet und evaluiert wird.

Das Cybersicherheitsteam beteiligt sich zudem an jährlichen Audits sowie Zertifizierungen und absolviert Cybersicherheitsseminare.

Privatsphäre und Datenschutz

Avetta verfügt über strikte Richtlinien zur Informationssicherheit und zum Schutz personenbezogener Daten. Diese Richtlinien legen die Verfahren zum Schutz von Kundendaten fest. Darüber hinaus werden die umgesetzten Sicherheitsmaßnahmen erläutert, darunter die Aufbewahrung von Daten, Richtlinien zur Zugänglichkeit und Authentifizierung, Richtlinien zur zulässigen Nutzung und Richtlinien zum Datenschutz.

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER

Die aktuelle Liste der Unterauftragsverarbeiter von Avetta ist unter folgendem Link verfügbar: Auftragsverarbeiter und verbundene Unternehmen.