Auftragsverarbeitungsvertrag

1. Definitionen

"Controller", "Processor", "Data Subject", "Personal Data" und "Processing" haben die in der DSGVO genannten Bedeutungen.

"Customer Personal Data" bedeutet personenbezogene Daten, die der Kunde (als Controller) Kryptos zur Verarbeitung unter den Nutzungsbedingungen bereitstellt.

2. Geltungsbereich und Rollen

Dieser AVV gilt, wenn Kryptos Customer Personal Data im Auftrag des Kunden verarbeitet. Der Kunde ist Controller. Kryptos ist Processor.

3. Verarbeitungsanweisungen

Kryptos verarbeitet Customer Personal Data nur auf dokumentierte Anweisungen des Kunden, sofern nicht durch EU/EWR- oder Mitgliedstaatsrecht erforderlich. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien der Betroffenen und Arten der personenbezogenen Daten werden in Anhang 1 (auf Anfrage verfügbar) beschrieben.

4. Sub-Auftragsverarbeiter

Der Kunde ermächtigt Kryptos, Sub-Auftragsverarbeiter zu beauftragen. Aktuelle Sub-Auftragsverarbeiter sind auf unserer Sicherheitsübersicht aufgelistet. Kryptos informiert den Kunden über neue Sub-Auftragsverarbeiter mindestens 14 Tage vor Beauftragung.

5. Sicherheit

Kryptos implementiert geeignete technische und organisatorische Maßnahmen zum Schutz von Customer Personal Data, einschließlich Verschlüsselung im Transit und im Ruhezustand, Zugriffskontrollen, Schwachstellenmanagement und Vorfallsreaktion. Kryptos ist SOC 2 Type II zertifiziert; der Auditbericht ist unter NDA verfügbar.

6. Internationale Übermittlungen

Bei Übermittlung von Customer Personal Data aus dem EWR, UK oder der Schweiz in ein Land ohne Angemessenheitsentscheidung stützen sich die Parteien auf Standardvertragsklauseln (Modul 2) der Europäischen Kommission, durch Verweis in diesen AVV einbezogen.

7. Rechte der Betroffenen

Kryptos unterstützt den Kunden bei der Beantwortung von Anfragen Betroffener zur Ausübung ihrer Rechte, einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch.

8. Sicherheitsvorfälle

Kryptos benachrichtigt den Kunden über jede Personal Data Breach betreffend Customer Personal Data unverzüglich nach Kenntnisnahme. Die Benachrichtigung enthält die Informationen, die der Kunde zur Erfüllung seiner DSGVO-Meldepflichten benötigt.

9. Dauer und Beendigung

Dieser AVV bleibt in Kraft, solange Kryptos Customer Personal Data verarbeitet. Bei Beendigung der zugrundeliegenden Nutzungsbedingungen gibt Kryptos Customer Personal Data nach Anweisung des Kunden zurück oder löscht sie, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

10. Allgemein

Dieser AVV ist in die Nutzungsbedingungen einbezogen und Teil davon. Bei Konflikt zwischen AVV und Bedingungen geht dieser AVV bei Datenschutzfragen vor. Kryptos kann diesen AVV von Zeit zu Zeit aktualisieren; wesentliche Änderungen werden mindestens 30 Tage im Voraus mitgeteilt.