AUFTRAGSVERARBEITUNGS-VERTRAG

DER AUFTRAGSVERARBEITUNGS-VERTRAG (AVV) KONKRETISIERT DIE VERPFLICHTUNGEN ZUM DATENSCHUTZ DIE SICH AUS DEM GESCHLOSSENEN VERTRAG ZWISCHEN DEM KUNDEN UND SIMPLECLUB ERGEBEN. DER AVV FINDET ANWENDUNG AUF ALLE TÄTIGKEITEN, DIE MIT DEM VERTRAG IN ZUSAMMENHANG STEHEN UND BEI DENEN BESCHÄFTIGTE VON SIMPLECLUB ODER DURCH IHR BEAUFTRAGTE UNTERAUFTRAGNEHMER PERSONENBEZOGENE DATEN DES AUFTRAGGEBERS VERARBEITEN.

Aktualisiert am: 13.11.2024

‍

I. Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO 
‍

1. Definitionen

“App” Die mobile App von simpleclub, in der Lerninhalte zur Verfügung gestellt werden.

“EWR” Staaten innerhalb des Europäischen Wirtschaftsraums.

“Lerninhalte” Die Lerninhalte sind verschiedene Lernmodule und -inhalte für Ausbildungsberufe und sonstige Bildungsmaßnahmen, die über die Plattform von simpleclub bereitgestellt werden.

“Nutzer” Die Person, die vom Kunden autorisiert ist, simpleclub zu nutzen. Zu den Benutzern gehören beispielsweise Mitarbeiter des Kunden.

“Plattform” Die Plattform umfasst die Website und die App gemeinsam.

“Vereinbarung” Die Vereinbarung umfasst den Vertrag zwischen dem Kunden und simpleclub sowie die Vertragsbedingungen.

“Vertrag” Das gezeichnete Dokument (bspw. Bestellformular) für den Kauf von Dienstleistungen durch den Kunden bei simpleclub, einschließlich aller Zeitpläne oder Ergänzungen dazu.

“Website” Die Website von simpleclub, auf der Lerninhalte zur Verfügung gestellt werden.

‍

2. Vertragsgegenstand und Dauer

2.1 simpleclub wird personenbezogene Daten des Kunden nur nach seinen dokumentierten Weisungen ausführen. Mündliche Weisungen hat der Kunde unverzüglich in Textform zu bestätigen. simpleclub wird den Kunden informieren, wenn simpleclub meint, eine Weisung verstößt gegen Datenschutzvorschriften. simpleclub ist berechtigt, die Weisung nicht auszuführen, bis der Kunde sie bestätigt oder ändert.

2.2 Die Datenverarbeitung erfolgt zum Zweck der Erfüllung des Vertrages, um dem Kunden die bestimmungsgemäße Nutzung der Lernsoftware “simpleclub” für die Aus- und Fortbildung der Mitarbeiter des Kunden zu ermöglichen. Es werden folgende Daten der Auszubildenden und Ausbilder des Kunden und gegebenenfalls weiterer Personen, denen der Kunde Berechtigungen erteilt, verarbeitet (unter anderem erhoben, verarbeitet, gespeichert und gelöscht): Name, E-Mail-Adresse, Organisationszugehörigkeit, Art der Ausbildung, Ausbildungsjahr, abgerufene Lerninhalte, Zeitpunkt des Abrufs, Ergebnisse von Lernaufgaben (richtig/falsch). Darüber hinaus werden technische Kommunikationsdaten wie beispielsweise die IP-Adresse oder Geräteinformationsdaten verarbeitet. Sofern mit dem Kunden nicht anders vereinbart und die Einwilligung des Nutzers erteilt wurde, werden Daten über die Nutzung der Webanwendung und Mobile-App verarbeitet. Überdies werden technisch-notwendige Nutzungsdaten zur Bereitstellung von In-App-Funktionen (z.B: Algorithmus zum Vorschlagen von Inhalten) erhoben und verarbeitet. Es werden keine besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet.

2.3 Die Dauer der Datenverarbeitung der personenbezogenen Daten ergibt sich aus dem oben genannten Vertrag.

2.4 Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie simpleclub personenbezogene Daten des Kunden verarbeitet (einschließlich Backups).

2.5 Im Fall eines Widerspruchs zwischen dieser Datenschutzvereinbarung und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.

2.6 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet nur dann außerhalb des EWR statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

‍

3. Schutzmaßnahmen durch simpleclub

3.1 simpleclub ist verpflichtet, die Bestimmungen über den Datenschutz zu beachten und die von dem Kunden erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

3.2 simpleclub gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen

3.3 simpleclub wird entsprechend Art. 32 DSGVO die unter II. genannten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten des Kunden ergreifen und aufrechterhalten. simpleclub ist gestattet, die Maßnahmen dem technischen Fortschritt anzupassen, solange das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.

3.4 Soweit eine Prüfung oder ein Audit des Kunden einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

‍

4. Informations- und Unterstützungspflichten von simpleclub

4.1 Wird simpleclub eine Verletzung des Datenschutzes bekannt, informiert simpleclub den Kunden unverzüglich, spätestens innerhalb von 24 Stunden. 

4.2 simpleclub unterstützt den Kunden bei der Einhaltung der Pflichten nach Art. 12 bis 22 DSGVO sowie Art. 32 bis 36 der DSGVO.

4.3 Ist simpleclub aufgrund einer nationalen oder europarechtlichen Bestimmung zur Verarbeitung der personenbezogenen Daten verpflichtet, informiert simpleclub den Kunden umgehend über diese Verarbeitung, sofern kein Verbot einer solchen Mitteilung besteht (Art. 28 Abs. 3 S. 2 lit. a DSGVO).
‍

5. Unterauftragsverhältnisse

5.1 Die Hinzuziehung von Unterauftragnehmern bedarf grundsätzlich der Zustimmung des Kunden. Die Zustimmung des Kunden für die Einschaltung oder Ersetzung eines Unterauftragnehmers gilt als erteilt, wenn simpleclub sie dem Kunden vorab in Textform anzeigt und der Kunde nicht innerhalb einer Frist von zwei Wochen in Textform Widerspruch erhebt. Simpleclub hat vertraglich sicherzustellen, dass die Regelungen auch für Unterauftragnehmer gelten. Zudem stimmt der Kunde zu, dass Unterauftragnehmer ihrerseits Unterauftragnehmer beauftragen dürfen, sofern die Anforderungen des Art. 28 DSGVO und erfüllt sind.

5.2 Die Verarbeitung der Daten im Auftrag des Kunden findet grundsätzlich auf dem Gebiet der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR) statt. Jede Übermittlung von Daten durch simpleclub an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage schriftlicher (oder dokumentierter elektronischer) Weisungen des Kunden oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem simpleclub unterliegt, und muss mit Kapitel V der DSGVO im Einklang stehen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt.

5.3 Ist simpleclub im Falle eines Widerspruchs die Fortsetzung der Verarbeitung und damit des Vertrages nicht mehr zumutbar, steht simpleclub ein außerordentliches Kündigungsrecht mit angemessener Auslauffrist zu, ohne dass simpleclub zum Ersatz des durch die Vertragsbeendigung entstandenen Schadens verpflichtet ist.

5.4 Der Einschaltung der in III. genannten Unterauftragnehmer sowie der darin genannten Verarbeitungsstandorte und ggf. Übertragungen in Drittländer oder internationale Organisationen stimmt der Kunde bereits jetzt zu.

5.5 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb des EWR, hält simpleclub die Vorgaben der Art. 44 ff. DSGVO ein.

5.6 Hilfstätigkeiten, die lediglich bei Gelegenheit Zugang zu personenbezogenen Daten ermöglichen, ohne dass dies für die Hilfstätigkeit erforderlich oder sinnvoll ist und ohne dass dabei eine Verarbeitung personenbezogener Daten im Auftrag des Kunden erfolgt, darf simpleclub ohne vorherige Benachrichtigung des Kunden durchführen lassen, sofern diese Tätigkeiten nicht Gegenstand des Vertrages sind.

6. Kontrollrechte des Auftraggebers

6.1 Der Kunde kann die Einhaltung des Datenschutzrechts sowie der vertraglichen Vereinbarungen im angemessenen Umfang selbst oder durch vom Kunden beauftragte Dritte kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten sowie durch Überprüfungen vor Ort. Kontrollen bei simpleclub haben ohne vermeidbare Störungen des Geschäftsbetriebs zu erfolgen. Soweit nicht aus dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten von simpleclub sowie nicht häufiger als alle zwölf Monate statt.

6.2 simpleclub verpflichtet sich, dem Kunden auf Anforderung Auskünfte zu erteilen und die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

6.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter und Berater, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz oder ISO 31700).

‍

7. Löschung und Rückgabe von personenbezogenen Daten

Nach Aufforderung durch den Kunden – spätestens mit Beendigung des Vertrags – hat simpleclub sämtliche personenbezogenen Daten datenschutzgerecht zu vernichten oder ihm auszuhändigen. Dies gilt nicht für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen und über das Vertragsende aufzubewahren sind oder sonstige Daten, die aufgrund gesetzlicher Verpflichtung zu speichern sind.

‍

8. Änderung des Auftragsverarbeitungsvertrags (AVV)

8.1 simpleclub kann diesen AVV während der laufenden Vertragsbeziehung ändern, wenn und soweit ein zwingender Grund vorliegt. Ein solcher zwingender Grund kann insbesondere in einer einschlägigen Gesetzesänderung, einer Änderung der höchstrichterlichen Rechtsprechung oder in einer geänderten Verarbeitungstätigkeit liegen.

8.2 simpleclub bietet dem Kunden Änderungen spätestens 4 Wochen vor dem vorgeschlagenen Zeitpunkt ihres Wirksamwerdens in Textform an. Die Zustimmung des Kunden gilt als erteilt, wenn er den Änderungen nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens widerspricht. simpleclub wird den Kunden auf diese Zustimmungswirkung in seinem Änderungsangebot besonders hinweisen.

8.3 Widerspricht der Kunde den neuen Nutzungsbedingungen, gelten die AVV in ihrer bisherigen Fassung fort.

‍

9. Schlussbestimmungen

9.1 Das Angebot zur Änderung dieses AVV sowie einseitige Willenserklärungen einer Partei bedürfen der Textform. Dies gilt auch für das Angebot zur Abänderung dieser Textformklausel.

9.2 Sollten einzelne Bestimmungen ungültig sein oder werden, berührt dies die Wirksamkeit der übrigen Regelungen nicht. Anstelle einer unwirksamen Bestimmung gilt dasjenige als vereinbart, was dem angestrebten Zweck möglichst nahe kommt. Dies gilt auch für den Fall von Vertragslücken.
‍
‍

II. Technische und organisatorische Maßnahmen

Die folgenden technischen und organisatorischen Maßnahmen gelten für die Verarbeitung personenbezogener Daten durch simpleclub. 

Für das Hosting gelten die technischen und organisatorischen Maßnahmen unseres Unterauftragnehmers („Unterauftragnehmer-TOMs“): https://cloud.google.com/terms/data-processing-terms

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle
  ‍‍
  • Nicht einschlägig, da kein Betriebsgelände, simpleclub Services werden ausschließlich bei ISO 27001 zertifizierten Cloud Computing Providern gehostet.
    ‍

• Zugangskontrolle
  ‍‍
  • Keine unbefugte Systemnutzung: sichere Kennwörter, automatische Sperrmechanismen, insbesondere bei mehrmaliger Falscheingabe des Passworts. 
  • Arbeitsgeräte werden standardmäßig mit einer automatisch eingestellten Bildschirmsperre ausgeliefert. 
  • Werkstudenten sichern ihren Account über 2-Faktor-Authentifizierung (ausgenommen SMS). Feste Mitarbeiter und alle Mitarbeiter mit Zugängen zu kritischen Systemen haben zusätzlich einen FIDO 2 2-Faktor-Security-Key. 
  • Ein Passwort muss 12-100 Zeichen haben. Das System akzeptiert nur starke Passwörter. 
  • Vielreisende Mitarbeiter haben einen Sichtschutz / Privacy Filter fürs Arbeiten an öffentlichen Plätzen.
    ‍

• Zugriffskontrolle
  ‍‍
  • Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems.
  • Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte.
  • Protokollierung von Zugriffen für sechs Monate. 
  • Die kritischen Tools können alle nur genutzt werden, wenn eine entsprechende Berechtigung vorliegt. 
  • Die verschiedenen Ebenen des Berechtigungssystem sind im  Knowledge-Management  dokumentiert. Dort ist auch festgehalten, welche Tools durch wen genutzt werden können. 
  • Super-Administratorenrechte haben nur die Geschäftsführer, der Lead IT Manager und der Lead Software Entwickler. 
  • Die verwendeten Geräte verwenden Virenschutzprogramme und Firewalls. 
  • Der Datenzugriff auf die Cloud, wo die verwendete Software liegt, wird über HTTPS gesichert.
    ‍

• Trennungskontrolle
  ‍‍
  • Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden. 
  • Mitarbeiter erhalten einen Laptop, Führungskräfte zusätzlich ein Smartphone für die dienstliche Nutzung.
  • Logische Mandantentrennung
    ‍
• Anonymisierung und Pseudonymisierung bei der Nutzung des AI Tutors
  ‍‍
  • Im Rahmen der Nutzung des AI Tutors ist keine direkte Verarbeitung von personenbezogenen Daten durch die eingesetzten KI-Modelle vorgesehen. Technische Filter sorgen dafür, dass Eingaben, die potenziell personenbezogene Daten enthalten könnten, nicht an die KI-Modelle weitergeleitet werden. Diese Filter bieten eine zusätzliche Schutzebene, auch wenn eine theoretische Möglichkeit einer unbeabsichtigten Verarbeitung personenbezogener Daten nicht völlig ausgeschlossen werden kann.
  • Die technische Anbindung der KI-Modelle erfolgt über die Serverinfrastruktur von simpleclub, sodass keine Übertragung von sonstigen Nutzerdaten (z.B. IP-Adresse, Gerätedaten) an die eingesetzten Unterauftragnehmer stattfinden kann. 
    
  • Es erfolgt kein Training der KI-Modelle der eingesetzten Unterauftragsverarbeiter.

‍

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle
  ‍‍
  • Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.
  • Verschlüsselung über HTTPS.
  • Mitarbeiter in Kundenprojekten werden belehrt über die zulässige Nutzung und Weitergabe von Daten.
    ‍
    ‍
• Eingabekontrolle
  ‍‍‍
  • Eingaben des Nutzers im Rahmen des AI Tutors werden vor Verarbeitung durch künstliche Intelligenz (LLM) auf personenbezogene Daten geprüft, sodass ausschließlich pseudonymisierte Daten verarbeitet werden.
  • Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 
  • Protokollierung für sechs Monate (Protokollierungs- und Protokollauswertungssysteme).

‍

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• ‍Verfügbarkeitskontrolle und rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): s. Unterauftragnehmer-TOMs.
• Ausschließliche Nutzung von ISO 27001 zertifizierten Rechenzentren.
• Regelmäßige Backups.
• Einspielen von Backups wird regelmäßig getestet (Recovery).
• Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, Spam-Filter).
• IT-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert
• Notfallplan liegt vor.

‍

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Datenschutzmanagement, welches vom internen Compliance Team betrieben wird.
• Informationssicherheitsmanagement nach ISO27001.
• Durchführung von Penetrationstests.
• Internes Compliance Team, welches die Einhaltung der datenschutzrechtlichen Anforderungen überwacht (E-Mail: compliance@simpleclub.com).
• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO).
• Benachrichtigungen bei Datenschutzvorfällen.‍
• Abschluss, Dokumentation und Überwachung von Verträgen über die Auftragsverarbeitung. 
• Verpflichtung der Mitarbeiter auf die Vertraulichkeit.
• Datenschutzbeauftragter ist benannt.
  (Proliance GmbH, Leopoldstr. 21, 80802 München, E-Mail:
  datenschutzbeauftragter@datenschutzexperte.de). 
• Beschäftigte werden im Bereich Datenschutz geschult.
• Beschäftigte werden im Bereich Informationssicherheit geschult.
• Handbuch / Richtlinie zum Datenschutz ist für die Mitarbeiter vorhanden.
• interne Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
• Verzeichnis von Verarbeitungstätigkeiten im Sinn des Art. 30 DSGVO wird geführt.