Diese Auftragsverarbeitungsvereinbarung („AVV") ist Teil der Dienstleistungsvereinbarung zwischen Multiuniversal UAB („Auftragsverarbeiter") und Kunde („Verantwortlicher"). Sie gilt automatisch für alle Engagements, bei denen Multiuniversal personenbezogene Daten im Auftrag verarbeitet.
Bei Fragen zur AVV kontaktieren Sie uns: privacy@multiuniversal.com.
- Definitionen
- Umfang und Rollen
- Pflichten des Auftragsverarbeiters
- Pflichten des Verantwortlichen
- Unterauftragsverarbeiter
- Sicherheitsmaßnahmen
- Betroffenenrechte
- Datenschutzverletzungen
- Internationale Übermittlungen
- Auditrechte
- Laufzeit und Kündigung
- Anwendbares Recht
- Verarbeitungsplan
Definitionen
In dieser AVV:
- „Verantwortlicher" bedeutet der Kunde, der Zwecke und Mittel der Verarbeitung bestimmt.
- „Auftragsverarbeiter" bedeutet Multiuniversal UAB, auf Anweisung des Verantwortlichen handelnd.
- „Personenbezogene Daten", „Betroffene Person", „Verarbeitung", „Aufsichtsbehörde" und „Datenschutzverletzung" haben die DSGVO-Bedeutungen.
- „DSGVO" bedeutet Verordnung (EU) 2016/679.
- „Leistungen" bedeutet KI-Infrastruktur-, Automatisierungs- oder Integrationsleistungen des Auftragsverarbeiters.
- „Unterauftragsverarbeiter" bedeutet jede vom Auftragsverarbeiter eingebundene Drittpartei.
Umfang und Rollen
Der Auftragsverarbeiter erbringt KI-Infrastruktur-Leistungen, die personenbezogene Datenverarbeitung umfassen können. In diesem Kontext:
- Der Verantwortliche ist verantwortlich für Rechtsgrundlage und Zweck der Verarbeitung.
- Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Anweisungen und zu keinem anderen Zweck.
- Spezifische Kategorien, Art und Dauer sind im Verarbeitungsplan festgehalten.
Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:
- Verarbeitet Daten nur auf dokumentierte Anweisungen, sofern nicht durch Unionsrecht oder Mitgliedstaatenrecht verpflichtet.
- Stellt sicher, dass befugte Personen Vertraulichkeitsverpflichtungen unterliegen.
- Implementiert angemessene technische und organisatorische Sicherheitsmaßnahmen.
- Unterstützt den Verantwortlichen bei Betroffenenanfragen.
- Unterstützt bei Einhaltung von DSGVO Art. 32–36.
- Löscht oder gibt nach Wahl des Verantwortlichen bei Beendigung alle Daten zurück.
- Stellt alle Informationen zur Verfügung, um AVV-Konformität zu zeigen, und kooperiert bei Audits.
- Informiert den Verantwortlichen unverzüglich, falls eine Anweisung gegen DSGVO verstößt.
Pflichten des Verantwortlichen
Der Verantwortliche:
- Stellt sicher, dass eine gültige Rechtsgrundlage nach DSGVO Art. 6 vorliegt.
- Liefert dokumentierte Verarbeitungsanweisungen und informiert über Änderungen.
- Stellt sicher, dass Betroffene gemäß DSGVO Art. 13/14 informiert wurden.
- Weist den Auftragsverarbeiter nicht zu rechtswidriger Verarbeitung an.
Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt keine Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung ein. Bei allgemeiner Genehmigung informiert er über geplante Änderungen und gibt 14 Tage Widerspruchsfrist.
Eingebundene Unterauftragsverarbeiter unterliegen gleichwertigen Datenschutzpflichten. Der Auftragsverarbeiter haftet vollumfänglich.
Die aktuelle Liste genehmigter Unterauftragsverarbeiter wird unter privacy@multiuniversal.com geführt. Soweit KI-Inferenz Teil der Leistungserbringung ist, werden beteiligte Unterauftragsverarbeiter in derselben Liste geführt und gemäß Klausel 5.1 mitgeteilt.
Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert risikoangemessene Maßnahmen:
| Maßnahme | Implementierung |
|---|---|
| Verschlüsselung in Transit | TLS 1.2+ für alle Übertragungen |
| Verschlüsselung at Rest | Verschlüsselte Speicherung für DBs mit personenbezogenen Daten |
| Zugriffskontrolle | Rollenbasiert; Least-Privilege; starke Authentifizierung |
| Datenminimierung | Nur zweckdienliche Daten verarbeitet |
| KI-Verarbeitungs-Kontrollen | KI-Inferenz innerhalb des Auftragsperimeters; Zugriffskontrollen und Protokollierung passen zum übrigen Datenverarbeitungs-Stack |
| Incident Response | Dokumentierte Erkennungs- und Reaktionsverfahren |
Maßnahmen werden regelmäßig überprüft und aktualisiert.
Betroffenenrechte
Unter Berücksichtigung der Verarbeitungsart unterstützt der Auftragsverarbeiter den Verantwortlichen bei Betroffenenanfragen nach DSGVO Kapitel III.
Bei direkten Betroffenenanfragen leitet der Auftragsverarbeiter diese unverzüglich an den Verantwortlichen weiter und antwortet nicht direkt ohne Anweisung.
Datenschutzverletzungen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich — spätestens innerhalb 48 Stunden — nach Kenntnis einer Datenschutzverletzung. Die Benachrichtigung enthält:
- Beschreibung der Art, Kategorien und Anzahl Betroffener und Datensätze
- Name und Kontakt des Datenschutzbeauftragten
- Beschreibung wahrscheinlicher Folgen
- Beschreibung getroffener Maßnahmen
Der Auftragsverarbeiter unterstützt bei Minderung. Der Verantwortliche bleibt verantwortlich für Meldungen nach DSGVO Art. 33/34.
Internationale Übermittlungen
Infrastruktur und Personal des Auftragsverarbeiters befinden sich in Litauen, einem EU-Mitgliedstaat. Daten werden standardmäßig nicht aus dem EWR übermittelt.
Falls Übermittlung in ein Drittland erforderlich, informiert der Auftragsverarbeiter vorab. Solche Übermittlungen unterliegen Schutzmaßnahmen nach DSGVO Kapitel V.
Auditrechte
Der Auftragsverarbeiter stellt notwendige Informationen zur Verfügung. Der Verantwortliche kann Audits durchführen unter:
- Angemessener schriftlicher Ankündigung mindestens 14 Tage
- Audit während normaler Geschäftszeiten ohne Betriebsstörung
- Auditor unterliegt gleichwertigen Vertraulichkeitspflichten
Audit-Kosten trägt der Verantwortliche, außer das Audit zeigt einen wesentlichen Verstoß.
Laufzeit und Kündigung
Diese AVV gilt für die Dauer der Dienstleistungsvereinbarung. Bei Beendigung wird der Auftragsverarbeiter innerhalb 30 Tagen nach Wahl alle Daten zurückgeben oder löschen. Eine Kopie kann bis zu 3 Jahre für Streitbeilegung aufbewahrt werden.
Falls längere Aufbewahrung gesetzlich erforderlich, informiert der Auftragsverarbeiter.
Anwendbares Recht
Diese AVV unterliegt litauischem Recht. Streitigkeiten unterliegen der ausschließlichen Zuständigkeit der Gerichte von Vilnius.
Falls der Verantwortliche dem Recht eines anderen EU-Mitgliedstaates unterliegt, schränkt nichts in dieser AVV das Recht auf Beschwerde bei lokaler Behörde ein.
Verarbeitungsplan
Der folgende Plan wird pro Engagement ausgefüllt und ist Teil dieser AVV.
| Name und Adresse des Verantwortlichen | Pro Engagement auszufüllen |
| Leistungsbeschreibung | Pro Engagement auszufüllen |
| Verarbeitungszweck | Pro Engagement auszufüllen |
| Kategorien personenbezogener Daten | Pro Engagement auszufüllen |
| Kategorien Betroffener | Pro Engagement auszufüllen |
| Aufbewahrungsfrist | Pro Engagement auszufüllen |
| Genehmigte Unterauftragsverarbeiter | Standardmäßig keine; gelistet falls anwendbar |
| Internationale Übermittlungen | Standardmäßig keine; Mechanismus gelistet falls anwendbar |
Für einen ausgefüllten Verarbeitungsplan kontaktieren Sie uns: privacy@multiuniversal.com.