Auftragsverarbeitungsvertrag (AVV)

1. Begriffsbestimmungen

• 'Datenschutzrecht' bezeichnet UK GDPR und Data Protection Act 2018, EU GDPR sowie anderes anwendbares Datenschutzrecht in der jeweils geltenden Fassung.
• 'Personenbezogene Daten', 'Verantwortlicher', 'Auftragsverarbeiter', 'Betroffene Person', 'Verarbeitung' haben die im Datenschutzrecht gegebene Bedeutung.
• 'Personenbezogene Daten des Kunden' bezeichnet personenbezogene Daten, die von Thrones im Auftrag des Kunden im Zusammenhang mit dem Dienst verarbeitet werden.
• 'Unterauftragsverarbeiter' (Sub-processor) bezeichnet einen Dritten, der von Thrones zur Verarbeitung personenbezogener Daten des Kunden eingesetzt wird.

2. Geltungsbereich und Rollen

In Bezug auf die personenbezogenen Daten des Kunden ist der Kunde Verantwortlicher und Thrones Auftragsverarbeiter. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien betroffener Personen sind in der Anlage zu diesem AVV beschrieben.

3. Weisungen des Kunden

Thrones verarbeitet die personenbezogenen Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden, einschließlich in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation, sofern Thrones nicht durch Rechtsvorschriften zu einer anderen Handlung verpflichtet ist. In letzterem Fall teilt Thrones dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Als dokumentierte Weisungen gelten die Nutzungsbedingungen, dieser AVV, die im Dienst verfügbaren Konfigurationsoptionen sowie zusätzliche schriftliche Weisungen, die zwischen den Parteien angemessen vereinbart werden. Ist Thrones der Ansicht, dass eine Weisung gegen das Datenschutzrecht verstößt, wird Thrones den Kunden darüber informieren.

4. Vertraulichkeit

Thrones stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Sicherheitsmaßnahmen

Thrones implementiert und unterhält technische und organisatorische Maßnahmen, die den Risiken angemessen sind, einschließlich der in Artikel 32 UK/EU GDPR genannten Maßnahmen. Eine Zusammenfassung der geltenden Maßnahmen findet sich in der Anlage. Thrones darf die Maßnahmen aktualisieren, sofern das Sicherheitsniveau nicht wesentlich verringert wird.

6. Unterauftragsverarbeiter

Der Kunde erteilt Thrones eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern zur Bereitstellung des Dienstes. Eine aktuelle Liste der Unterauftragsverarbeiter ist in der Datenschutzerklärung von Thrones (Abschnitt „Empfänger und Unterauftragsverarbeiter") veröffentlicht und wird aktuell gehalten; sie ist außerdem auf Anfrage unter privacy@thrones.ai erhältlich.

Thrones verpflichtet jeden Unterauftragsverarbeiter zu Datenschutzverpflichtungen, die im Wesentlichen keinen geringeren Schutz bieten als diejenigen dieses AVV, und haftet gegenüber dem Kunden für das Handeln und Unterlassen seiner Unterauftragsverarbeiter.

Thrones informiert den Kunden rechtzeitig über beabsichtigte Änderungen der Liste der Unterauftragsverarbeiter, um dem Kunden eine angemessene Widerspruchsmöglichkeit einzuräumen. Widerspricht der Kunde aus datenschutzrechtlichen Gründen begründet und können die Parteien den Widerspruch nicht ausräumen, kann der Kunde den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen; eine Rückerstattung für bereits verbrauchte Zeiträume erfolgt nicht.

7. Unterstützung des Kunden

Unter Berücksichtigung der Art der Verarbeitung unterstützt Thrones den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen. Geht bei Thrones ein Antrag einer betroffenen Person unmittelbar ein, leitet Thrones ihn unverzüglich an den Kunden weiter und beantwortet ihn ansonsten nicht gegenüber der betroffenen Person.

Thrones unterstützt den Kunden bei der Einhaltung der Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen (DPIAs) und vorherige Konsultationen der Aufsichtsbehörden, unter Berücksichtigung der Art der Verarbeitung und der Thrones zur Verfügung stehenden Informationen.

• Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch: Thrones stellt dem Kunden über das Panel und dessen Export- und Löschfunktionen die Mittel bereit, um die Daten einer betroffenen Person zu finden, zu exportieren und zu löschen, damit der Kunde diese Rechte umsetzen kann.
• Widerruf der Einwilligung und Widerspruch gegen Direktwerbung: werden vom Kunden als Verantwortlichem bearbeitet; Thrones handelt nur auf dokumentierte Weisung des Kunden und kontaktiert betroffene Personen nicht im eigenen Namen.

8. Vorfälle mit personenbezogenen Daten

Thrones informiert den Kunden unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme über jeden Vorfall, der die personenbezogenen Daten des Kunden betrifft. Die Meldung enthält die Informationen, die Thrones zu diesem Zeitpunkt in angemessener Weise bereitstellen kann; weitere Details werden nachgereicht, sobald sie verfügbar sind.

9. Internationale Übermittlungen

Der Kunde ermächtigt Thrones und dessen Unterauftragsverarbeiter, personenbezogene Daten des Kunden im Zusammenhang mit der Bereitstellung des Dienstes außerhalb des Vereinigten Königreichs und des Europäischen Wirtschaftsraums zu übermitteln. Solche Übermittlungen erfolgen unter angemessenen Garantien: Standardvertragsklauseln der Europäischen Kommission, UK International Data Transfer Addendum und — soweit anwendbar — EU-US Data Privacy Framework und UK Extension.

Soweit die Standardvertragsklauseln anwendbar sind, gelten die Parteien als in folgender Weise an sie gebunden: der Kunde als Datenexporteur (Verantwortlicher), Thrones als Datenimporteur (Auftragsverarbeiter), Modul 2 für Übermittlungen vom Verantwortlichen zum Auftragsverarbeiter, mit der Docking-Klausel und optionalen Klauseln, soweit nach lokalem Recht zulässig. Das UK Addendum gilt, wenn auf die Übermittlung UK GDPR anwendbar ist.

10. Audit

Thrones stellt dem Kunden die Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses AVV angemessen erforderlich sind, und ermöglicht Audits durch den Kunden oder einen von ihm beauftragten Prüfer unter Beachtung angemessener Vertraulichkeits- und Sicherheitsanforderungen. Audits erfolgen nicht häufiger als einmal in zwölf Monaten (außer auf Verlangen einer Aufsichtsbehörde oder nach einem Vorfall), mit schriftlicher Ankündigung von mindestens 30 Tagen, zu Geschäftszeiten und auf Kosten des Kunden. Berichte unabhängiger Auditoren (zum Beispiel SOC 2 oder ISO 27001, soweit vorhanden) werden anstelle von Vor-Ort-Audits bereitgestellt, sofern sie die Anliegen des Kunden ausreichend berücksichtigen.

11. Löschung und Rückgabe

Bei Kündigung oder Ablauf des Dienstes löscht oder gibt Thrones — nach Wahl des Kunden — alle personenbezogenen Daten des Kunden zurück und vernichtet bestehende Kopien, sofern die Aufbewahrung nicht nach geltendem Recht erforderlich ist. Standardmäßig werden die Daten, sofern keine Wahl getroffen wurde, innerhalb von 90 Tagen nach Kündigung gelöscht. Backups mit personenbezogenen Daten des Kunden werden im regulären Verlauf der Backup-Rotation überschrieben.

12. Haftung

Die Haftung jeder Partei unter oder in Zusammenhang mit diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Haftungsbeschränkungen und -ausschlüssen. Nichts in diesem AVV berührt die Haftung, die nach geltendem Recht nicht beschränkt werden kann.

13. Rangfolge

Im Falle eines Widerspruchs zwischen diesem AVV und den Nutzungsbedingungen hinsichtlich der Verarbeitung personenbezogener Daten des Kunden geht dieser AVV vor.

14. Anlage — Beschreibung der Verarbeitung

Gegenstand und Dauer: Verarbeitung der personenbezogenen Daten des Kunden zur Bereitstellung des Dienstes während der Laufzeit des Kundenabonnements und der vereinbarten Löschfrist nach Beendigung.