Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Vereinbarung zwischen Kunde und Ampthilly AB, Organisationsnummer 559588-0724, mit Sitz in Bjännberg 121, 905 72 Hörnefors, Schweden (Auftragsverarbeiter oder AMPthilly), wenn AMPthilly personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den AMPthilly-Diensten unter https://ampthilly.com, https://app.ampthilly.com und zugehörigen Subdomains verarbeitet.
Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung in den Nutzungsbedingungen oder der Hauptvereinbarung zwischen den Parteien (Vereinbarung). Bei Widersprüchen zwischen der Vereinbarung und diesem AVV in Datenschutzangelegenheiten hat dieser AVV im Umfang des Widerspruchs Vorrang.
Standardkunden: Dieser AVV ist durch Verweis in die Bedingungen einbezogen; für die Nutzung der Dienste gemäß den Bedingungen ist keine separate Unterschrift erforderlich.
Enterprise-Kunden können eine gegengezeichnete Kopie unter hello@ampthilly.com anfordern.
1. Rollen und Geltungsbereich
Der Kunde ist Verantwortlicher (oder Auftragsverarbeiter im Auftrag eines anderen Verantwortlichen) für personenbezogene Daten, die in die Dienste eingereicht werden. AMPthilly verarbeitet personenbezogene Daten als Auftragsverarbeiter ausschließlich gemäß den dokumentierten Anweisungen des Kunden, einschließlich durch die Vereinbarung, diesen AVV, die Nutzung von Produktfunktionen durch den Kunden und rechtmäßige schriftliche Anweisungen.
AMPthilly kann begrenzte personenbezogene Daten als eigenständiger Verantwortlicher für Kontoverwaltung, Abrechnung, Sicherheit und Compliance verarbeiten, wie in der Datenschutzerklärung beschrieben.
2. Anweisungen
AMPthilly verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden, es sei denn, EU-, EWR-, UK- oder schwedisches Recht erfordert etwas anderes - in diesem Fall informiert AMPthilly den Kunden über diese Anforderung, sofern nicht verboten. Der Kunde weist AMPthilly an, personenbezogene Daten zur Bereitstellung, Wartung, Sicherung und Unterstützung der Dienste zu verarbeiten, einschließlich Hosting, Backups, Protokollierung, KI-Funktionen und genehmigter Unterauftragsverarbeiter.
3. KI-Funktionen und Modelltraining
AMPthilly stellt KI-Funktionen bereit, die von Google (Gemini API) als Unterauftragsverarbeiter betrieben werden. AMPthilly verwendet personenbezogene Kundendaten oder KI-Interaktionen nicht zum Trainieren, Feinabstimmen oder Verbessern von KI- oder Machine-Learning-Modellen und verpflichtet Google vertraglich, dies ebenfalls nicht zu tun. Personenbezogene Kundendaten werden durch KI-Funktionen nur verarbeitet, um Antworten zu generieren und an autorisierte Nutzer des Kunden zurückzugeben.
4. Vertraulichkeit
AMPthilly stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, Vertraulichkeitspflichten unterliegen (vertraglich oder gesetzlich).
5. Sicherheitsmaßnahmen
AMPthilly implementiert angemessene technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Kosten und der Risiken, einschließlich:
| Bereich | Maßnahmen (Zusammenfassung) |
|---|---|
| Zugriffskontrolle | Rollenbasierter Zugriff, Least Privilege, Authentifizierung für Produktionssysteme |
| Verschlüsselung | Verschlüsselung bei der Übertragung (TLS); Verschlüsselung im Ruhezustand für Produktionsdatenbanken, soweit von der Infrastruktur unterstützt |
| Protokollierung und Monitoring | Audit-Protokolle für administrativen Zugriff; Monitoring auf Verfügbarkeit und Sicherheitsereignisse |
| Entwicklung | Sichere Entwicklungspraktiken, Abhängigkeitsprüfung, Trennung der Umgebungen |
| Anbieterverwaltung | Unterauftragsverarbeiter an schriftliche Datenschutzbedingungen gebunden |
| Business Continuity | Backups und Wiederherstellungsverfahren, die den Diensten angemessen sind |
| Incident Response | Dokumentierter Prozess zur Identifizierung, Eindämmung und Benachrichtigung bei Verletzungen |
Weitere Details sind auf Anfrage für Enterprise-Sicherheitsprüfungen unter hello@ampthilly.com verfügbar.
6. Unterauftragsverarbeiter
Der Kunde ermächtigt AMPthilly, Unterauftragsverarbeiter einzusetzen, die an schriftliche Bedingungen gebunden sein müssen, die Datenschutzpflichten auferlegen, die diesem AVV im Wesentlichen entsprechen.
Aktuelle Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Tätigkeit | Standort |
|---|---|---|
| Vercel | Anwendungs- und Website-Hosting, CDN | EU/US mit Schutzmaßnahmen |
| Supabase | Datenbank, Authentifizierung, Speicher, Backups | EU/EWR |
| Cloudflare | CDN, Sicherheit, Edge-Schutz | Global (mit SCCs bei Bedarf) |
| Stripe | Abonnementabrechnung | EU/US mit Schutzmaßnahmen |
| Google (Gemini API) | Bereitstellung von KI-Funktionen | Global; EU/US mit Schutzmaßnahmen |
| Resend | Transaktions- und Produkt-E-Mails | EU/US mit Schutzmaßnahmen |
AMPthilly benachrichtigt den Kunden über beabsichtigte Ergänzungen oder Ersetzungen von Unterauftragsverarbeitern mit mindestens 30 Tagen Vorankündigung, soweit praktikabel. Der Kunde kann innerhalb von 14 Tagen nach Mitteilung aus angemessenen Datenschutzgründen widersprechen. Können die Parteien den Widerspruch nicht ausräumen, kann der Kunde die betroffenen Dienste als einzige Abhilfe kündigen.
7. Internationale Übermittlungen
Wenn personenbezogene Daten außerhalb des EWR/UK übermittelt werden, setzt AMPthilly angemessene Schutzmaßnahmen ein, einschließlich:
- EU-Standardvertragsklauseln (2021/914) Modul Zwei (Verantwortlicher an Auftragsverarbeiter) oder Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter), durch Verweis einbezogen;
- das UK International Data Transfer Addendum, soweit UK GDPR gilt; und/oder
- Übermittlungen in Länder mit einem Angemessenheitsbeschluss.
Der Kunde kann Kopien der anwendbaren Übermittlungsmechanismen unter hello@ampthilly.com anfordern.
8. Unterstützung des Kunden
Unter Berücksichtigung der Art der Verarbeitung unterstützt AMPthilly den Kunden bei der Beantwortung von Betroffenenanfragen, bei der Sicherheit der Verarbeitung und der Meldung von Verletzungen des Schutzes personenbezogener Daten sowie bei Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden, soweit gesetzlich vorgeschrieben. Angemessene Gebühren können für Unterstützung über den Standardsupport hinaus anfallen, sofern die Vereinbarung dies erlaubt.
9. Verletzung personenbezogener Daten
AMPthilly benachrichtigt den Kunden unverzüglich, nachdem AMPthilly von einer Verletzung personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Kundendaten betrifft, und stellt verfügbare Informationen bereit, um dem Kunden bei der Erfüllung seiner Pflichten als Verantwortlicher zu helfen.
10. Rückgabe und Löschung
Bei Beendigung der Dienste oder auf schriftliche Anfrage des Kunden löscht oder gibt AMPthilly personenbezogene Daten innerhalb von 90 Tagen zurück, außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist oder verschlüsselte Backups in ihrem normalen Zyklus bereinigt werden (typischerweise innerhalb von 90 Tagen). Der Kunde ist dafür verantwortlich, Inhalte vor Beendigung zu exportieren, soweit Exportfunktionen verfügbar sind.
11. Audits und Informationen
AMPthilly stellt Informationen bereit, die vernünftigerweise erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, einschließlich Sicherheitszusammenfassungen und Listen der Unterauftragsverarbeiter. Der Kunde darf Audits nicht mehr als einmal pro Jahr mit 30 Tagen schriftlicher Vorankündigung während der Geschäftszeiten durchführen, ohne den Betrieb unangemessen zu stören, vorbehaltlich Vertraulichkeits- und Sicherheitsanforderungen. Der Kunde trägt seine eigenen Auditkosten, es sei denn, ein Audit offenbart wesentliche Nichteinhaltung, die AMPthilly zuzuschreiben ist. AMPthilly kann Drittzertifizierungen oder Berichte anstelle von Audits vor Ort bereitstellen, sofern vereinbart.
12. Pflichten des Kunden
Der Kunde wird:
- Eine rechtmäßige Grundlage nach geltendem Datenschutzrecht für alle personenbezogenen Daten und Anweisungen haben;
- AMPthilly nicht anweisen, rechtswidrige Daten oder für rechtswidrige Zwecke zu verarbeiten;
- Rollen und Zugriff im Produkt angemessen konfigurieren;
- Betroffene informieren und Datenschutzhinweise bereitstellen, soweit erforderlich;
- Sicherstellen, dass besondere Kategorien von Daten nur eingereicht werden, wenn dies rechtmäßig und erforderlich ist, mit angemessenen Schutzmaßnahmen;
- Auf Betroffenenanfragen antworten, wenn der Kunde Verantwortlicher ist.
Der Kunde stellt AMPthilly von Ansprüchen frei, die aus rechtswidrigen Anweisungen des Kunden oder fehlender rechtmäßiger Grundlage entstehen, soweit die Vereinbarung dies erlaubt.
13. Haftung
Die Haftung unter diesem AVV unterliegt den Beschränkungen und Ausnahmen in der Vereinbarung, außer soweit geltendes Datenschutzrecht dies verbietet.
14. Rangfolge
Dieser AVV ergänzt die Vereinbarung. Bei Widersprüchen in Datenschutzangelegenheiten hat dieser AVV Vorrang.
Anhang A - Beschreibung der Verarbeitung
| Feld | Details |
|---|---|
| Gegenstand | Bereitstellung von AMPthilly als Asset-Management-SaaS |
| Dauer | Laufzeit der Vereinbarung plus Löschfrist in Abschnitt 10 |
| Art und Zweck | Hosting, Speicherung, Abruf, Organisation, Anzeige, Übertragung, Backup, Support, Sicherheit und KI-gestützte Abfrage von Kundeninhalten mit personenbezogenen Daten |
| Kategorien betroffener Personen | Mitarbeiter, Auftragnehmer und andere autorisierte Nutzer des Kunden; in Asset-Datensätzen identifizierte Personen (zugewiesene Personen, Genehmigende, Kontakte) |
| Arten personenbezogener Daten | Namen, geschäftliche E-Mails, Rollen, Kennungen, Zuweisungs- und Audit-Metadaten, KI-Anfragen, Support-Kommunikation, ungefährer Standort (Stadt/Land) aus IP bei Anmeldung, soweit aktiviert, und andere vom Kunden gewählte Felder |
| Besondere Kategorien | Nicht vorgesehen; der Kunde darf besondere Kategorien nur einreichen, wenn schriftlich vereinbart |
| Häufigkeit | Kontinuierlich während der Nutzung der Dienste |
| Aufbewahrung | Wie in Abschnitt 10 und der Datenschutzerklärung beschrieben |
Anhang B - Technische und organisatorische Maßnahmen
Siehe Abschnitt 5. Der Kunde ist für die Konfiguration von Rollen, Zugriff und Integrationen im Produkt gemäß seinen Richtlinien verantwortlich.
Anhang C - Unterauftragsverarbeiter
Siehe Abschnitt 6. Aktualisierte Listen auf Anfrage unter hello@ampthilly.com.
Anhang D - Standardvertragsklauseln
Soweit für Übermittlungen aus dem EWR erforderlich, vereinbaren die Parteien, dass die Standardvertragsklauseln der EU-Kommission (2021/914) durch Verweis einbezogen werden, mit:
- Modul Zwei (Verantwortlicher an Auftragsverarbeiter) für Übermittlungen vom Kunden an AMPthilly;
- Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) für Weiterübermittlungen an Unterauftragsverarbeiter, soweit anwendbar;
- Kunde als Datenexporteur und AMPthilly als Datenimporteur;
- optionale Klauseln und Anhänge ausgefüllt mit den Angaben in den Anhängen A-C;
- anwendbares Recht und Gerichtsstand gemäß Vereinbarung (Schweden), ohne die Rechte der Betroffenen unter der DSGVO einzuschränken.
Für UK-Übermittlungen gilt das UK Addendum zu den EU-SCCs in der vom ICO herausgegebenen Fassung.
Kontakt
Fragen zum AVV, Unterauftragsverarbeitern oder Sicherheitsdokumentation: hello@ampthilly.com.