RECHTLICHES
AVV zwischen Verantwortlichem und Auftragsverarbeiter
Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Vereinbarung zwischen Bayescase GmbH (Auftragsverarbeiter) und dem im jeweiligen Auftrag benannten Kunden (Verantwortlicher) für die Nutzung des Dienstes und wird durch Verweisung in diese Vereinbarung einbezogen.
4.1 Weisungen. Bayescase verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der in der Vereinbarung, diesem AVV und der Konfiguration des Dienstes durch den Verantwortlichen festgelegten Weisungen. Ist Bayescase nach EU-Recht, dem Recht eines Mitgliedstaats, UK-Recht, Schweizer Recht oder sonstigem anwendbarem Recht verpflichtet, personenbezogene Daten des Kunden über die Weisungen des Verantwortlichen hinaus zu verarbeiten, wird Bayescase den Verantwortlichen vor der Verarbeitung informieren, sofern das betreffende Recht eine solche Mitteilung nicht untersagt.
4.2 Vertraulichkeit. Bayescase stellt sicher, dass die zur Verarbeitung personenbezogener Daten des Kunden befugten Personen zur Vertraulichkeit verpflichtet sind.
4.3 Sicherheit. Bayescase setzt dem Risiko angemessene technische und organisatorische Maßnahmen (TOM) um, wie in Anlage II beschrieben, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, Protokollierung und Sicherungskopien.
4.4 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Bayescase den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen nach Kapitel III DSGVO sowie bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen der Aufsichtsbehörden (Art. 35-36 DSGVO). Bayescase kann für Unterstützung, die über die grundlegende Konfiguration oder die Selbstbedienungsfunktionen des Dienstes hinausgeht, ein angemessenes Entgelt verlangen.
4.5 Verletzungen des Schutzes personenbezogener Daten. Bayescase wird den Verantwortlichen unverzüglich benachrichtigen, nachdem Bayescase von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt hat, und wird die Informationen bereitstellen, die der Verantwortliche zur Einhaltung von Art. 33-34 DSGVO nach vernünftigem Ermessen benötigt, sobald diese verfügbar sind. Die Benachrichtigung erfolgt an die im Konto hinterlegte Administrator-E-Mail-Adresse, sofern der Verantwortliche keine andere Adresse benennt.
4.6 Modellverbesserung/-training (gesonderte Verantwortliche). Zur Verbesserung und Weiterentwicklung des Dienstes kann Bayescase die Eingaben und Ergebnisse des Kunden nutzen, um Algorithmen, Modelle und Funktionen zu trainieren, zu optimieren oder anderweitig zu verbessern. Für eine solche Verbesserung/ein solches Training handelt Bayescase als eigenständiger Verantwortlicher, stützt sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), wendet geeignete Schutzmaßnahmen an (z. B. Anonymisierung, soweit machbar) und berücksichtigt den jederzeitigen Widerspruch des Verantwortlichen per E-Mail an privacy@bayescase.com. Widerspricht der Verantwortliche, wird Bayescase die Eingaben/Ergebnisse des Verantwortlichen nach dem Wirksamwerden des Widerspruchs nicht in Trainingsdatensätze aufnehmen; dies berührt nicht die Verarbeitung, die zur Bereitstellung des Dienstes als Auftragsverarbeiter zwingend erforderlich ist.
5.1 Genehmigung. Der Verantwortliche erteilt Bayescase eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern mit der Verarbeitung personenbezogener Daten des Kunden. Die aktuelle Liste ist abrufbar unter https://bayescase.com/subprocessors und umfasst Auftragsverarbeiter, die von Bayescase in seiner Eigenschaft als Auftragsverarbeiter für Dienstdaten beauftragt werden, einschließlich Anbieter, die zur Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit optionalen, von den Nutzern des Verantwortlichen angeforderten KI-Funktionen eingesetzt werden. Dienstleister, die von Bayescase in seiner eigenen Eigenschaft als Verantwortlicher genutzt werden (z. B. für Abrechnung oder CRM), sind keine Unterauftragsverarbeiter im Sinne dieses AVV.
5.2 Anforderungen. Bayescase wird:
5.3 Änderungen. Bayescase wird Hinzufügungen/Ersetzungen mit einer Frist von mindestens 30 Tagen über die Unterauftragsverarbeiter-Seite oder per E-Mail vorab ankündigen. Der Verantwortliche kann innerhalb dieses Zeitraums aus berechtigten Datenschutzgründen Widerspruch einlegen. Können die Parteien einen Widerspruch nicht nach Treu und Glauben ausräumen, kann der Verantwortliche den betroffenen Dienst kündigen und erhält eine anteilige Rückerstattung für im Voraus bezahlte, nicht genutzte Entgelte.
6.1 Standorte. Bayescase hostet und verarbeitet personenbezogene Daten des Kunden vorrangig in der EU/im EWR (AWS eu-central-1, Frankfurt). Bestimmte KI-bezogene Verarbeitungen von Eingabeaufforderungen, Kontext, hochgeladenen Materialien und Ergebnissen können durch den KI-Anbieter von Bayescase außerhalb der EU/des EWR, einschließlich in den Vereinigten Staaten, durchgeführt werden, soweit dies zur Bereitstellung der vom Verantwortlichen oder seinen autorisierten Nutzern angeforderten KI-Funktionen erforderlich ist.
6.2 Schutzmaßnahmen. Werden personenbezogene Daten des Kunden ohne Angemessenheitsbeschluss in ein Drittland übermittelt:
6.3 Ergänzende Maßnahmen. Bayescase wird geeignete ergänzende Maßnahmen umsetzen (z. B. Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, Datenminimierung), die Rechtslage und Praxis des Bestimmungslandes bewerten, soweit dies nach vernünftigem Ermessen möglich ist, und auf Anfrage eine Folgenabschätzung zur Datenübermittlung (TIA) dokumentieren. Bayescase wird den Verantwortlichen benachrichtigen, wenn Bayescase die SCC nicht mehr einhalten kann, und wird, soweit machbar, die betreffende Übermittlung aussetzen oder eine angemessene Alternative vorschlagen.
Während der Vertragslaufzeit und für 30 Tage nach Kündigung/Ablauf (vorausgesetzt, alle unstrittigen Entgelte sind bezahlt) kann der Verantwortliche personenbezogene Daten des Kunden über den Dienst oder auf Anfrage exportieren. Nach Ablauf dieses Zeitraums wird Bayescase personenbezogene Daten des Kunden aus aktiven Systemen und Verarbeitungsprozessen löschen, vorbehaltlich gesetzlicher Aufbewahrungspflichten und standardmäßiger verschlüsselter, rollierender Sicherungskopien mit einer maximalen Aufbewahrungsdauer von 35 Tagen. In Sicherungskopien enthaltene Daten werden im normalen Verlauf der Sicherungsrotation überschrieben und werden außer zur Notfallwiederherstellung nicht wiederhergestellt.
Bayescase setzt die folgenden Maßnahmen um und erhält sie aufrecht, angemessen zu den Risiken der Verarbeitung personenbezogener Daten des Kunden im Dienst. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert.
Organisation und Governance:Sicherheitsverantwortlichkeiten sind der Gründung/Geschäftsleitung von Bayescase zugewiesen. Personal mit Zugriff auf personenbezogene Daten des Kunden ist zur Vertraulichkeit verpflichtet. Grundlegende Praktiken zur Sensibilisierung für Sicherheit werden angewendet.
Zugriffskontrollen und Authentifizierung:Namentlicher Zugriff nach dem Prinzip der geringsten Rechte auf Produktionssysteme und personenbezogene Daten des Kunden. Zeitnahe Vergabe und Entziehung von Zugriffsrechten (in der Regel innerhalb von 24-48 Stunden) bei Rollenwechseln oder Ausscheiden von Mitarbeitern. Multi-Faktor-Authentifizierung (MFA) für privilegierten Zugriff auf Produktions- und Cloud-Konsolen.
Physische und Infrastruktursicherheit: Nutzung der Rechenzentren führender Cloud-Anbieter (z. B. AWS eu-central-1) mit zertifizierter physischer Sicherheit. Bayescase betreibt keine eigenen Rechenzentren.
Verschlüsselung und Schlüsselverwaltung:Verschlüsselung bei der Übertragung (TLS 1.2+) für Datenflüsse unter der Kontrolle von Bayescase. Verschlüsselung im Ruhezustand für Datenbanken, Speicher und Sicherungskopien unter Verwendung der vom Cloud-Anbieter verwalteten Verschlüsselung. Schlüssel werden mittels cloud-nativer Schlüsselverwaltung in der Primärregion verwaltet; der Zugriff auf Schlüssel ist beschränkt und wird protokolliert.
Netzwerk- und Anwendungssicherheit:Netzwerksicherheitskontrollen in der Cloud (z. B. Sicherheitsgruppen, verwaltete Firewalls), die so konfiguriert sind, dass eingehender Zugriff auf notwendige Ports/Dienste beschränkt wird. Software-Abhängigkeiten und Plattformen werden angemessen aktuell gehalten; kritische Sicherheitspatches werden innerhalb eines wirtschaftlich angemessenen Zeitraums eingespielt. Grundlegende Protokollierung administrativer Handlungen und des Zugriffs auf personenbezogene Daten des Kunden; Überwachung der Zustandsdaten kritischer Infrastruktur/Dienste.
Datenverwaltung und -trennung: Logische Trennung der Kundendaten anhand von Konto-/Mandantenkennungen. Datenminimierung und Zweckbindung werden angewendet, um die Exposition personenbezogener Daten zu reduzieren.
Sicherung und Wiederherstellung: Regelmäßige verschlüsselte Sicherungskopien der Kundendaten mit einer typischen Aufbewahrungsdauer von bis zu 35 Tagen. Verfahren zur Wiederherstellung von Daten aus Sicherungskopien; die Wiederherstellungsfähigkeit wird von Zeit zu Zeit überprüft.
Vorfallmanagement: Verfahren zur Reaktion auf Vorfälle, die Erkennung, Bewertung, Eindämmung und Wiederherstellung abdecken. Benachrichtigung des Verantwortlichen unverzüglich nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten des Kunden, mit Aktualisierungen, sobald Informationen verfügbar werden.
Verwaltung von Dienstleistern und Unterauftragsverarbeitern:Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern, einschließlich geeigneter Schutzmaßnahmen für internationale Übermittlungen (z. B. SCC). Risikobasiertes Onboarding und ein gepflegtes Verzeichnis der Unterauftragsverarbeiter mit Benachrichtigungen über Änderungen.
Betriebskontinuität: Nutzung cloud-nativer Redundanz für kritische Komponenten; wirtschaftlich angemessene Bemühungen, den Dienst im Falle einer Störung wiederherzustellen.