Auftragsverarbeitungsvereinbarung nach Art 28 DSGVO

Inhalt

Definitionen

Klauseln

ANHANG I – Liste der Parteien

ANHANG II – Beschreibung der Verarbeitung

ANHANG III - Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten

ANHANG IV - Liste der Unterauftragsverarbeiter

Definitionen

  • „Kunde“: das Unternehmen, das den Service nutzt.

  • „Admin“: vom Kunden benannte Person(en) mit Administrationsrechten im Service.

  • „Teilnehmende/Mitarbeitende“: Personen, deren Interaktionen im Rahmen von Kampagnen gemessen werden (z. B. Empfänger von Simulationen).

  • „Kampagne“: eine vom Kunden konfigurierte Phishing-Simulation inkl. Zielgruppe, Inhalten und Zeitplan.

  • „Verifizierte Domain“: eine Domain (inkl. freigeschalteter Subdomains/Hosts), deren Kontrolle/Berechtigung der Kunde im Service nachweist.

  • „Kundendaten“: Daten, die der Kunde im Service speichert oder verarbeitet (z. B. Kampagnenkonfigurationen, Listen, Berichte).

  • „Mitarbeiterdaten/Personaldaten“: personenbezogene Daten von Mitarbeitenden/Teilnehmenden, die der Kunde bereitstellt oder die im Rahmen von Kampagnen anfallen (z. B. E-Mail-Adresse, Interaktionsdaten).

  • „Service“, „Plattform“: die AutoPhish-Plattform inkl. zugehöriger Funktionen, APIs und Inhalte.

  • „Pläne/Abonnement“: die vom Kunden gewählte Nutzungsstufe inkl. Abrechnungszeitraum.

Klauseln

Klausel 1

Zweck und Anwendungsbereich

a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sichergestellt werden.

b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 zu gewährleisten.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt.

f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 – freibleibend

ABSCHNITT II

PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1. Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3. Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4. Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5. Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6. Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. Die Kosten hierfür sind vom Verantwortlichen zu tragen.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7. Einsatz von Unterauftragsverarbeitern

a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8. Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

  1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

  2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

  3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

  4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1. Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

  1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

  2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

  3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2. Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III

SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

  1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

  2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;

  3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.

c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I – Liste der Parteien

Verantwortliche(r):

Name des Verantwortlichen Anschrift des Verantwortlichen Firmenbuchnummer / Registernummer des Verantwortlichen UID-Nummer / Umsatzsteuer-ID des Verantwortlichen

Auftragsverarbeiter: Name: QADS e.U. („AutoPhish“), Inhaber Lorenz Peter Lösch, MSc Firmenbuchnummer: FN 668401v Firmenbuchgericht: Handelsgericht Wien Anschrift: Wehleweg 6/30, 1030 Wien, Österreich Name, Funktion und Kontaktdaten der Kontaktperson: Lorenz Peter Lösch, MSc, Inhaber E-Mail: support@autophish.io, Telefon: +43 664 5982768 Datenschutzkontakt: support@autophish.io

ANHANG II – Beschreibung der Verarbeitung

Die Verarbeitung betrifft – je nach Nutzung der AutoPhish-Plattform durch den Verantwortlichen – folgende Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:

  1. Mitarbeitende, freie Dienstnehmer:innen, Praktikant:innen, Auszubildende, Leiharbeitskräfte und sonstige Nutzer:innen des Verantwortlichen, die in Zielgruppen, Target Lists, Kampagnen, Trainings, Reports oder Security-Awareness-Maßnahmen einbezogen werden.

  2. Administrator:innen, IT-/Security-Verantwortliche, Compliance-/HR-Verantwortliche und sonstige autorisierte Nutzer:innen des Verantwortlichen, die AutoPhish konfigurieren, Kampagnen ausführen, Reports einsehen oder die Plattform administrieren.

  3. Bei Nutzung von Multi-Company-, MSP- oder Reseller-Funktionen: autorisierte Nutzer:innen von IT-Dienstleistern, MSPs, Resellern oder verbundenen Unternehmen, soweit diese im Auftrag des Verantwortlichen auf Mandanten-/Kundendaten zugreifen.

  4. Bei Nutzung von „Report Phish“- oder ähnlichen Melde-Workflows: Absender:innen, Empfänger:innen und sonstige Personen, deren personenbezogene Daten in gemeldeten E-Mails, E-Mail-Headern, Metadaten, Freitextmeldungen oder Anhängen enthalten sein können.

  5. Bei Nutzung von Domain-Monitoring, DNS-Security-Checks oder Security-Scanning-Funktionen: Personen, deren personenbezogene Daten aus öffentlichen Quellen, DNS-/Domain-Daten, Kontaktinformationen, Website-Inhalten, Security-Findings oder Logdaten ersichtlich sein können; diese Verarbeitung ist auf verifizierte bzw. vom Verantwortlichen autorisierte Domains und Systeme beschränkt.

Kategorien personenbezogener Daten, die verarbeitet werden

Je nach Konfiguration und Nutzung der AutoPhish-Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  1. Identifikations- und Kontaktdaten von Kampagnenteilnehmer:innen: insbesondere E-Mail-Adresse, Vorname, Nachname, Anzeigename, zugehörige Organisation, zugehörige Target List, Team-/Abteilungs-/Rolleninformationen, soweit vom Verantwortlichen bereitgestellt oder konfiguriert.

  2. Plattform- und Administrationsdaten: Nutzerkonto, Name, E-Mail-Adresse, Rollen und Berechtigungen, Mandanten-/Unternehmenszuordnung, Spracheinstellungen, Login-/Session-Metadaten, Audit-Log-Einträge und API-Key-Metadaten, soweit diese im Auftrag des Verantwortlichen zur Verwaltung der Plattform verarbeitet werden.

  3. Kampagnendaten: Kampagnenname, Betreff, E-Mail-Inhalt, Template, Szenario, Sprache, Schwierigkeitsgrad, Zielgruppen, Zeitplan, Versandintervall, Status, Freigaben, Versandversuche, Zustell-/Bounce-Informationen, verwendete Absender-/Domain-Konfiguration, Login-Page-Konfiguration und sonstige Kampagneneinstellungen.

  4. Interaktions- und Verhaltensdaten aus Simulationen: Versandstatus, Öffnungsereignisse, Klickereignisse, gemeldete E-Mails, Zeitpunkt der Interaktion, Link-ID, ursprüngliche URL, Report-Status, Meldezeitpunkt, Wiederholungsereignisse, Risiko-/Trainingsindikatoren, simulierte Login-Interaktionen, eingegebener Benutzername bzw. Login-Identifier, technische Ereignis- und Interaktionsdaten.

  5. Technische Daten: IP-Adresse, User-Agent, Browser-/Geräteinformationen, Zeitstempel, Request-/Header-Informationen, Referrer/Origin, Interaktionstyp, Erkennungssignale zur Unterscheidung von menschlichen Interaktionen und automatisierten Scans/Bots, Logs, Monitoring- und Fehlermeldungen.

  6. Trainingsdaten: zugewiesene Awareness-Trainings, Kurs-/Modulzuordnung, Trainingsstatus, Fortschritt, Abschlusszeitpunkt, Wiederholungsversuche, Sprache, Erinnerungsstatus und Reportingdaten.

  7. Report-Phish-Daten: gemeldete E-Mail inklusive E-Mail-Metadaten wie Betreff, Absender, Empfänger, Header, Rohinhalt/MIME-Inhalt, Meldekategorie, Freitext des Meldenden, technische Meldedaten, Microsoft-/Outlook-Submission-Status, soweit die entsprechende Funktion aktiviert ist.

  8. Domain-, DNS- und Security-Scanning-Daten: verifizierte Domains, Subdomains, DKIM-Selektoren, SPF-/DKIM-/DMARC-Records, Scan-Ergebnisse, Security-Findings, Schweregrad, Fundstelle, technische Details, IP-Adressen, Scan-Zeitpunkt, Scan-Historie, Änderungen, Empfehlungen und Alert-Status.

  9. Unternehmenskontext und Personalisierungsdaten: vom Verantwortlichen bereitgestellte Unternehmensinformationen sowie öffentlich verfügbare Unternehmensinformationen, etwa Website-Inhalte, Produkte, Services, Standorte, öffentliche Rollen/Funktionen und branchenspezifische Begriffe, soweit diese zur realitätsnahen Generierung von Simulationen und Trainings genutzt werden.

  10. Pseudonymisierte bzw. anonymisierte Darstellungen: konsistente interne Identifikatoren, pseudonyme Zielkennungen, aggregierte Team-/Organisationskennzahlen und anonymisierte Reports, insbesondere bei aktiviertem anonymisiertem Modus.

Verarbeitete sensible Daten und angewandte Beschränkungen oder Garantien

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sowie von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO sind weder intendiert noch Zweck der AutoPhish-Plattform und wird vom Auftragsverarbeiter auch nicht angefordert. Eine allfällige Zurverfügungstellung und Übermittlung solcher Daten durch den Verantwortlichen oder durch sonstige Dritte an den Auftragsverarbeiter kann jedoch nicht gänzlich ausgeschlossen und verhindert werden, wird aber vertraglich in den Allgemeinen Geschäftsbedingungen und Nutzungsbedingungen der Plattform eingeschränkt.

Art der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  1. Erhebung, Import, Speicherung, Pflege, Änderung und Löschung von Zielgruppen, Target Lists, Kampagnenteilnehmer:innen und Unternehmens-/Mandantendaten;

  2. Erstellung, Konfiguration, Planung, Versand und Auswertung simulierter Phishing-Kampagnen;

  3. KI-gestützte und regelbasierte Erstellung bzw. Variation von Simulationsinhalten, Landing Pages, Szenarien, Red-Flag-Analysen und Micro-Trainings;

  4. Durchführung von Autopilot-, Sprinkle-, wiederkehrenden und adaptiven Kampagnen;

  5. Erfassung und Auswertung von Öffnungen, Klicks, simulierten Login-Interaktionen, Reports, Trainingsstatus, Meldequoten, Klickraten, Wiederholungsereignissen und Risikoindikatoren;

  6. automatische oder manuelle Zuweisung von Awareness-Trainings und Nachverfolgung des Trainingsfortschritts;

  7. Erstellung von Dashboards, Reports, Exports, Audit-Unterlagen und aggregierten Auswertungen;

  8. Pseudonymisierung, Anonymisierung oder Maskierung personenbezogener Daten, insbesondere in Reports und Auswertungen, soweit vom Verantwortlichen aktiviert;

  9. Betrieb von Multi-Tenant-, Multi-Company-, MSP-/Reseller- und rollenbasierten Verwaltungsfunktionen;

  10. Domain-Verifikation, DNS-Monitoring, DMARC/SPF/DKIM-Prüfungen, Look-alike-Domain-Erkennung sowie optionales Security-Scanning für verifizierte bzw. autorisierte Domains;

  11. Verarbeitung von gemeldeten E-Mails im Rahmen von „Report Phish“- oder vergleichbaren Melde-Workflows;

  12. Support, Fehleranalyse, Sicherheitsüberwachung, Missbrauchsprävention, Logging, Monitoring, Backup, Wiederherstellung und Incident Response;

  13. Export, Rückgabe, Löschung oder Anonymisierung von Daten nach Vertragsende oder dokumentierter Weisung des Verantwortlichen.

  14. Erstellung eines Security-Scores.

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung und zum Betrieb der AutoPhish-Plattform im Auftrag des eigenständig Verantwortlichen, insbesondere zu folgenden Zwecken:

  1. Durchführung realistischer Phishing-Simulationen und Security-Awareness-Maßnahmen;

  2. Schulung, Sensibilisierung und Micro-Training von Mitarbeitenden und sonstigen Nutzer:innen des Verantwortlichen;

  3. Messung und Verbesserung des Sicherheitsbewusstseins anhand von Klick-, Melde-, Interaktions-, Trainings- und Risikoindikatoren;

  4. Bereitstellung von Compliance-, Management-, Audit- und Sicherheitsreports;

  5. Automatisierte Kampagnensteuerung, adaptive Schwierigkeitsgrade und risikobasierte Trainingszuweisung;

  6. Verwaltung von Zielgruppen, Unternehmens-/Mandantenstrukturen, Rollen und Berechtigungen;

  7. Betrieb von MSP-/Multi-Company-Funktionen für autorisierte Dienstleister des Verantwortlichen;

  8. Unterstützung bei der Erkennung und Meldung verdächtiger E-Mails durch „Report Phish“-Workflows;

  9. Domain-, DNS- und Security-Monitoring für vom Verantwortlichen verifizierte oder autorisierte Domains;

  10. Sicherstellung von Plattformbetrieb, Verfügbarkeit, Integrität, Sicherheit, Missbrauchsprävention, Fehleranalyse und Support;

  11. Umsetzung dokumentierter Weisungen des Verantwortlichen sowie Unterstützung bei Betroffenenrechten, Datenschutzvorfällen, Audits und Nachweispflichten.

  12. Erstellung eines Security-Scores.

Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Verantwortlichem und Auftragsverarbeiter, einschließlich Test-, Pilot-, Trial-, Subscription-, Support- und Nachlaufphasen, soweit dies zur Vertragserfüllung, zur Umsetzung dokumentierter Weisungen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Sofern nicht anders vereinbart oder durch dokumentierte Weisung des Verantwortlichen geändert, gilt davon abweichend:

  1. Kundendaten, Kampagnendaten, Ausführungsergebnisse, E-Mail-Inhalte, Interaktionsdaten, Trainingsdaten, Security-Scan-Ergebnisse, Security-Scores und DNS-Monitoring-Logs werden standardmäßig bis zu drei (3) Jahre ab Erstellung gespeichert und danach gelöscht oder anonymisiert, sofern keine längeren gesetzlichen Aufbewahrungspflichten entgegenstehen.

  2. Gemeldete E-Mail-Rohinhalte im Rahmen von „Report Phish“-Workflows werden nur so lange gespeichert, wie dies zur Prüfung, Auswertung, Support- oder Sicherheitsanalyse erforderlich ist; sofern technisch vorgesehen, beträgt die Standardaufbewahrung für gemeldete E-Mail-Rohinhalte 90 Tage.

  3. Administrator:innen des Verantwortlichen können die Löschung von Mitarbeitenden-Daten bzw. die Anpassung der Aufbewahrungsdauer verlangen, soweit technisch und rechtlich möglich.

  4. Backups werden nach dem jeweils geltenden Backup-Zyklus überschrieben oder gelöscht; bis zur Löschung oder Überschreibung bleiben die vertraglichen und gesetzlichen Schutzpflichten aufrecht.

  5. Abweichende Lösch- oder Aufbewahrungsfristen können im jeweiligen Angebot, Vertrag, Administrationsbereich oder durch dokumentierte Weisung des Verantwortlichen festgelegt werden.

  6. Für steuer- und unternehmensrechtliche Aufbewahrungspflichten werden relevante Daten sieben (7) Jahre lang aufbewahrt.

Gegenstand, Art und Dauer der Verarbeitung durch Unterauftragsverarbeiter

Unterauftragsverarbeiter werden nur eingesetzt, soweit dies zur Bereitstellung, zum Betrieb, zur Abrechnung, zum Versand, zum Support, zur Sicherheit oder zur Weiterentwicklung der AutoPhish-Plattform erforderlich ist. Gegenstand, Art und Dauer der Verarbeitung durch Unterauftragsverarbeiter ergeben sich aus Anhang IV. Die Verarbeitung durch Unterauftragsverarbeiter erfolgt grundsätzlich für die Dauer ihrer Beauftragung durch den Auftragsverarbeiter bzw. für die Dauer, in der ihre Leistungen zur Vertragserfüllung gegenüber dem Verantwortlichen erforderlich sind. Nach Beendigung der jeweiligen Unterbeauftragung sind Daten nach Maßgabe der jeweiligen Vereinbarung, gesetzlichen Vorgaben und Lösch-/Backup-Zyklen zu löschen oder zurückzugeben.

ANHANG III - Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten

Beschreibung der vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus

Der Auftragsverarbeiter ergreift unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Risiken für die Rechte und Freiheiten betroffener Personen insbesondere folgende technische und organisatorische Maßnahmen:

  1. Mandantentrennung und Zugriffsbeschränkung

Die AutoPhish-Plattform ist mandantenfähig aufgebaut. Daten werden je Unternehmen/Mandant logisch getrennt verarbeitet. Nutzer:innen erhalten Zugriff nur auf Unternehmen, Mandanten, Kampagnen, Reports und Funktionen, für die sie berechtigt sind. Bei Multi-Company-, MSP- oder Reseller-Nutzung erfolgt der Zugriff mandantenbezogen und rollenbasiert. Daten verschiedener Kund:innen werden nicht zu personenbezogenen Einzelreports zusammengeführt.

  1. Rollen- und Berechtigungskonzept

Der Zugriff auf die Plattform erfolgt über rollenbasierte Berechtigungen. Rollen und Rechte werden mindestens nach Admin-/Owner-/User-/Support-/Superadmin-Funktionen bzw. nach vergleichbaren Berechtigungsstufen getrennt. Rechte werden nach dem Need-to-know-Prinzip vergeben. Administrator:innen des Verantwortlichen verwalten ihre Nutzer:innen und Zielgruppen im Rahmen ihrer Berechtigungen. Administrative Zugriffe des Auftragsverarbeiters erfolgen nur, soweit dies für Support, Betrieb, Sicherheit, Fehlerbehebung oder Missbrauchsprävention erforderlich ist.

  1. Authentifizierung und Account-Schutz

Die Plattform verwendet individuelle Nutzerkonten. Passwörter und Authentifizierungsdaten werden nicht im Klartext gespeichert, sondern nach dem Stand der Technik geschützt. Die Plattform unterstützt zusätzliche Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung, Passkeys, Session-Management, zeitlich beschränkte Sessions und Step-up-Prüfungen für besonders sensible administrative Funktionen. API-Zugriffe werden über API-Keys, Scopes, Secret-Hashing, Token-Präfixe, Revocation und Rate-Limits abgesichert.

  1. Pseudonymisierung

AutoPhish unterstützt einen pseudonymisierten Modus. Bei Aktivierung werden personenbezogene Zielkennungen wie E-Mail-Adressen in Reports und Kampagnenauswertungen durch konsistente pseudonyme Kennungen ersetzt. Dadurch können Sicherheits- und Trainingskennzahlen weiter ausgewertet werden, ohne dass Auswertungen standardmäßig einzelne Mitarbeitende identifizieren. Die Deaktivierung oder Änderung solcher Datenschutzfunktionen ist auf Supportprozesse beschränkt.

  1. Datenminimierung

Es werden nur solche personenbezogenen Daten verarbeitet, die für Kampagnen, Trainings, Reporting, Support, Sicherheit, Abrechnung oder dokumentierte Weisungen erforderlich sind. Zielgruppen können mit E-Mail-Adresse und optionalem Namen und Telefonnummern geführt werden. Simulationen speichern keine echten Passwörter oder produktiven Zugangsdaten. Bei simulierten Login-Seiten ist die Speicherung auf notwendige Ereignisdaten wie Zieladresse, eingegebener Benutzername/Login-Identifier, Zeitstempel, Kampagnenbezug und technische Metadaten begrenzt

  1. Verschlüsselung und Schutz bei der Übertragung

Die Plattform verwendet verschlüsselte Übertragung über HTTPS/TLS. Externe Schnittstellen, APIs, Webhooks, E-Mail-Versand, Support- und Integrationsverbindungen werden ausschließlich über verschlüsselte Transportwege betrieben. Tokens, Secrets und Zugangsdaten werden getrennt von Anwendungscode verwaltet und durch Zugriffsbeschränkungen geschützt. Sensible Schlüssel und Zugangsdaten werden nicht in Repositories, Logs oder Fehlermeldungen offengelegt.

  1. Schutz bei Speicherung

Personenbezogene Daten werden in einer kontrollierten Server- und Datenbankumgebung verarbeitet. Datenbanken, Backups, Logs und gespeicherte Inhalte werden durch rollenbasierte Zugriffe, Zugriffsbeschränkungen, Netzwerksegmentierung, sichere Konfiguration, Secret-Management und Monitoring geschützt. Passwörter, API-Secrets und vergleichbare Authentifizierungsdaten werden gehasht, verschlüsselt oder anderweitig nach dem Stand der Technik geschützt. Rohinhalte gemeldeter E-Mails werden zeitlich begrenzt und nur für definierte Zwecke verarbeitet.

  1. EU-/EWR-basierter Betrieb und internationale Übermittlungen

Die produktive Verarbeitung erfolgt primär innerhalb der EU bzw. des EWR. Unterauftragsverarbeiter werden so ausgewählt und beauftragt, dass die Verarbeitung grundsätzlich innerhalb der EU/EWR erfolgt. Eine Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen erfolgt nur auf Grundlage dokumentierter Weisung des Verantwortlichen, eines Angemessenheitsbeschlusses oder geeigneter Garantien nach Kapitel V DSGVO, insbesondere Standardvertragsklauseln, sofern deren Voraussetzungen erfüllt sind. Der Verantwortliche wird über relevante Änderungen der Unterauftragsverarbeiter nach Maßgabe der Klauseln informiert.

  1. Sichere Domain- und Kampagnenkontrolle

Simulationen und Security-Checks sind auf Domains und Systeme zu beschränken, für die der Verantwortliche die erforderlichen Rechte besitzt oder eine Berechtigung nachweist. AutoPhish sieht Domain-Verifikation vor, um unautorisierte Kampagnen, Scans oder missbräuchliche Nutzung gegen Dritte zu verhindern.

  1. Protokollierung und Auditierbarkeit

Sicherheitsrelevante Ereignisse, administrative Aktionen, Rollen-/Rechteänderungen, API-Key-Nutzung, Kampagnenereignisse, Supportzugriffe und sonstige relevante Verarbeitungsvorgänge werden angemessen protokolliert.

  1. Monitoring, Missbrauchsprävention und Rate-Limits

Die Plattform setzt Monitoring, Fehlerprotokolle, Alerting und technische Schutzmaßnahmen gegen Missbrauch ein. Öffentliche oder semi-öffentliche Endpunkte, etwa Tracking-, Report- oder API-Endpunkte, werden durch, Eingabevalidierung, Größenlimits, Rate-Limits, Fehlerbehandlung und Logging geschützt. Unautorisierte Nutzung, Tests gegen Dritte, Malware, echte Credential-Harvesting-Aktivitäten und schädliche Payloads sind untersagt, werden soweit möglich technisch verhindert und können zur Sperre oder Einschränkung des Dienstes führen.

  1. Eingabevalidierung und sichere Verarbeitung

Eingaben werden serverseitig validiert, normalisiert und begrenzt. E-Mail-Adressen, Target Lists, Kampagnenparameter, Report-Daten, Login-Attempts, API-Requests und Freitextfelder werden auf zulässige Formate, Längen und Datentypen geprüft. Fehlerhafte oder übergroße Eingaben werden abgelehnt. HTML-/Content-Komponenten, Vorlagen und dynamisch erzeugte Inhalte werden so verarbeitet, dass Cross-Site-Scripting, Injection, unautorisierte Weiterleitungen und ähnliche Risiken minimiert werden.

  1. KI- und Content-Guardrails

KI-gestützte Generierung von Simulationen, Trainings, Red-Flag-Analysen oder Unternehmenskontext erfolgt mit Guardrails, Zweckbindung und Datenminimierung. Soweit möglich werden öffentliche Unternehmensinformationen, Rollen-/Brancheninformationen, pseudonymisierte Daten oder nicht personenbezogene Kontextdaten verwendet. Personenbezogene Daten werden nicht gezielt an KI-Dienste übermittelt. KI-Ausgaben sind auf sichere Trainingssimulationen und Micro-Trainings beschränkt.

  1. Vertraulichkeit des Personals

Personen, die beim Auftragsverarbeiter Zugriff auf personenbezogene Daten erhalten können, werden zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht. Der Zugriff wird auf Personal beschränkt, das für Betrieb, Support, Entwicklung, Sicherheit, Abrechnung oder Kundenbetreuung zuständig ist. Neue Mitarbeitende und externe Unterstützer:innen werden auf Datenschutz, Informationssicherheit, sichere Entwicklung und Missbrauchsprävention hingewiesen.

  1. Sichere Entwicklung und Änderungskontrolle

Die Plattform wird mit kontrollierten Entwicklungs-, Test- und Deployment-Prozessen betrieben. Änderungen werden versioniert, getestet und vor Produktivsetzung geprüft. Es werden Code Reviews, automatisierte Tests, E2E-Tests, Security-Checks, CI/CD-Prozesse, Dependency-Prüfungen und dokumentierte Release-Prozesse eingesetzt, soweit technisch und organisatorisch angemessen.

  1. Verfügbarkeit, Backup und Wiederherstellung

Der Auftragsverarbeiter trifft Maßnahmen zur Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit der Plattform. Dazu gehören Backups, Wiederherstellungsprozesse, Monitoring, Alerting, kontrollierte Wartungsfenster, Notfallwartung bei Sicherheitsrisiken und technische Maßnahmen zur Reduktion von Ausfallzeiten. Backups werden nach definierten Zyklen gelöscht und bleiben bis dahin geschützt.

  1. Löschung, Export und Aufbewahrung

Die Plattform unterstützt Löschung, Export, Anonymisierung oder Einschränkung personenbezogener Daten nach Maßgabe der technischen Möglichkeiten, vertraglichen Vereinbarungen und dokumentierten Weisungen des Verantwortlichen. Kampagnendaten und Trainingsdaten werden standardmäßig begrenzt gespeichert. Gemeldete E-Mail-Rohinhalte werden zeitlich begrenzt gespeichert.

  1. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit, soweit die betreffenden Daten in der Plattform verarbeitet werden und die Unterstützung technisch möglich ist.

  1. Datenschutzvorfälle und Incident Response

Der Auftragsverarbeiter unterhält Prozesse zur Erkennung, Bewertung, Eindämmung und Dokumentation von Sicherheitsvorfällen. Bei Verletzungen des Schutzes personenbezogener Daten, die die Verarbeitung im Auftrag betreffen, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Maßgabe der Klauseln und stellt die verfügbaren Informationen bereit, insbesondere Art des Vorfalls, betroffene Datenkategorien, wahrscheinliche Folgen, getroffene oder vorgeschlagene Maßnahmen und Kontaktstelle für Rückfragen.

  1. Subprozessoren-Management

Unterauftragsverarbeiter werden nur eingesetzt, wenn ein Vertrag mit im Wesentlichen gleichwertigen Datenschutzpflichten besteht. Der Auftragsverarbeiter führt eine Liste der Unterauftragsverarbeiter und informiert den Verantwortlichen nach Maßgabe der Klauseln über beabsichtigte Änderungen. Unterauftragsverarbeiter erhalten nur Zugriff auf solche Daten, die für die jeweilige Leistung erforderlich sind.

  1. Physische Sicherheit

Die Verarbeitung erfolgt in professionellen Rechenzentrums- bzw. Hosting-Umgebungen innerhalb der EU/EWR. Physische Sicherheitsmaßnahmen wie Zutrittskontrolle, Brandschutz, Stromversorgung, Klimatisierung, Hardware-Schutz und Betriebsüberwachung werden durch den jeweiligen Hosting-/Infrastruktur-Anbieter erbracht

  1. Qualitätssicherung und regelmäßige Überprüfung

Die Wirksamkeit der technischen und organisatorischen Maßnahmen wird regelmäßig überprüft, insbesondere durch Monitoring, Tests, Security Reviews, Penetrationstests oder externe Prüfungen, soweit angemessen. Erkenntnisse aus Incidents, Supportfällen, Kundenfeedback, Audits, Schwachstellenmeldungen und Änderungen der Bedrohungslage fließen in die Weiterentwicklung der Plattform ein.

Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss

Der Auftragsverarbeiter unterstützt den Verantwortlichen insbesondere durch:

  1. Bereitstellung von Admin-Funktionen zur Verwaltung von Nutzer:innen, Zielgruppen, Kampagnen, Rollen, Domains, Reports, Trainings und Löschprozessen;

  2. Bereitstellung von Reports, Dashboards, Exporten und Audit-Unterlagen zu Kampagnen, Trainings, Klick-/Meldequoten, Security-Scans und Domain-Monitoring;

  3. Umsetzung von dokumentierten Weisungen zur Löschung, Anonymisierung, Export, Änderung oder Einschränkung von Daten;

  4. Unterstützung bei Betroffenenrechten durch technische Such-, Export-, Korrektur-, Lösch- und Anonymisierungsfunktionen;

  5. Bereitstellung von Informationen über Unterauftragsverarbeiter, Datenkategorien, Sicherheitsmaßnahmen, Speicherfristen und internationale Übermittlungen;

  6. Unterstützung bei Datenschutzvorfällen durch unverzügliche Meldung, technische Analyse, Eindämmung, Ursachenanalyse, Maßnahmenempfehlung und Dokumentation;

  7. Bereitstellung datenschutzfreundlicher Funktionen wie anonymisierter Modus, rollenbasierte Reports, Datenminimierung, Mandantentrennung, Löschkonzepte und konfigurierbare Aufbewahrungsfristen.

ANHANG IV - Liste der Unterauftragsverarbeiter

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

1. Stripe

Name:

Stripe Payments Europe, Limited

Anschrift:

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Name, Funktion und Kontaktdaten der Kontaktperson: privacy@stripe.com

Beschreibung der Verarbeitung:

Stripe wird für Zahlungsabwicklung, Rechnungsstellung, Subscription Management und Steuerberechnung eingesetzt. Die Verarbeitung betrifft insbesondere Kunden-, Unternehmens-, Rechnungs-, Zahlungs-, Vertrags-, Abonnement- und Billing-Kontaktdaten des Verantwortlichen bzw. dessen Administrator:innen oder Rechnungskontakten. Datenaus Phishing-Simulationen, Kampagnen, Trainings, Reports oder simulierten Login-Interaktionen wird nicht über Stripe verarbeitet.

Abgrenzung der Verantwortlichkeiten:

Stripe verarbeitet nur jene personenbezogenen Daten, die für Zahlungsabwicklung, Rechnungsstellung, Subscription Management, Steuerberechnung, Zahlungsstatus, Betrugsprävention im Zahlungsverkehr und damit verbundene Support- bzw. Compliance-Prozesse erforderlich sind.

2. Contabo GmbH

Name:

Contabo GmbH

Anschrift:

Aschauer Straße 32a, 81549 München, Deutschland

Name, Funktion und Kontaktdaten der Kontaktperson:

Support / Privacy Contact: support@contabo.com

Datenschutzkontakt: datenschutz@contabo.de

Beschreibung der Verarbeitung:

Contabo wird für Infrastruktur, Hosting, Serverbetrieb, Datenbank-/Anwendungsbetrieb, Speicherung, Netzwerkbetrieb, technische Logs, Backups, Monitoring und Betriebsunterstützung der AutoPhish-Plattform eingesetzt. Die Verarbeitung kann Kundendaten und Personaldaten umfassen, sofern diese durch den Verantwortlichen bereitgestellt werden. Insbesondere betroffen sind Unternehmens-/Mandantendaten, Administrator:innen- und Nutzerkonten, Target Lists, Kampagnen- und Trainingsdaten, E-Mail-Inhalte, Simulationsergebnisse, Interaktionsdaten, Reportingdaten, Domain-/DNS-/Security-Scan-Daten, technische Logs, Auditdaten und Support-relevante technische Metadaten.

Abgrenzung der Verantwortlichkeiten:

Contabo stellt die technische Hosting- und Infrastrukturumgebung bereit. Contabo ist nicht für die fachliche Konfiguration der AutoPhish-Kampagnen, die Auswahl von Zielgruppen, die Erstellung von Simulationen, die Auswertung der Reports oder die Entscheidung über Speicherfristen verantwortlich. Diese Tätigkeiten erfolgen durch den Auftragsverarbeiter nach Weisung des Verantwortlichen.

3. World4You Internet Services GmbH

Name:

World4You Internet Services GmbH

Anschrift:

Hafenstraße 47-51, 4020 Linz, Österreich

Name, Funktion und Kontaktdaten der Kontaktperson:

Support / Privacy Contact

E-Mail: office@world4you.com

Datenschutzkontakt: datenschutz@world4you.com

Beschreibung der Verarbeitung:

World4You wird für E-Mail-Zustellung, Plattformbenachrichtigungen und transaktionale E-Mail-Kommunikation eingesetzt. Die Verarbeitung kann insbesondere Empfängeradresse, Absenderadresse, Betreff, E-Mail-Inhalt, technische Versanddaten, Zustellstatus, Fehlermeldungen, Bounce-Informationen und Versand-/Systemlogs umfassen. Dies betrifft vor allem Plattformbenachrichtigungen, Authentifizierungs-/Account-Kommunikation, Support-nahe Benachrichtigungen und gegebenenfalls kampagnenbezogene E-Mail-Kommunikation, soweit World4You für den jeweiligen Versandweg eingesetzt wird.

Abgrenzung der Verantwortlichkeiten:

World4You ist ausschließlich für die technische Übermittlung bzw. Zustellung der über seine Dienste versendeten E-Mails und Benachrichtigungen zuständig.

4. SMTP.DK ApS

Name:

SMTP.DK ApS

Anschrift:

Refshalevej 163A, 1432 København K, Dänemark

Name, Funktion und Kontaktdaten der Kontaktperson:

Support / Privacy Contact

E-Mail: support@smtp.dk

Beschreibung der Verarbeitung:

SMTP.DK wird für E-Mail-Versand, SMTP-Relay, technische Zustellung, Bounce-/Fehlerbehandlung, Versandlogs und Zustellstatistiken eingesetzt. Die Verarbeitung kann insbesondere Empfängeradresse, Absenderadresse, Betreff, E-Mail-Inhalt, Versandzeitpunkt, Zustellstatus, Provider-Message-ID, Bounce-Informationen, technische Versanddaten und Logdaten umfassen. Dies kann auch simulierte Phishing-E-Mails und transaktionale Plattform-E-Mails betreffen.

Abgrenzung der Verantwortlichkeiten:

SMTP.DK ist ausschließlich für den technischen E-Mail-Versand und die damit zusammenhängende Versand-, Zustell- und Fehlerverarbeitung zuständig.

5. Crisp IM SAS

Name: Crisp IM SAS

Anschrift:

2 Boulevard de Launay, 44100 Nantes, Frankreich

Name, Funktion und Kontaktdaten der Kontaktperson:

E-Mail: privacy@crisp.chat

Beschreibung der Verarbeitung:

Crisp wird für Kundenkommunikation, Support-Chat, Support-Tickets, Helpdesk-Funktionalität und supportbezogene Kommunikation eingesetzt. Die Verarbeitung betrifft insbesondere Kontaktdaten von Administrator:innen, IT-/Security-Ansprechpersonen oder sonstigen Supportkontakten des Verantwortlichen, Kommunikationsinhalte, Chatverläufe, Supportanfragen, technische Support-Metadaten, Zeitstempel, IP-Adresse, User-Agent und sonstige zur Bearbeitung eines Supportfalls erforderliche Informationen.

Personaldaten aus Phishing-Simulationen, Target Lists, Kampagnen, Reports oder Trainings werden über Crisp nur verarbeitet, wenn und soweit solche Daten im konkreten Supportfall durch den Verantwortlichen oder dessen berechtigte Administrator:innen aktiv bereitgestellt werden oder zur Fehleranalyse zwingend erforderlich sind. Eine systematische Verarbeitung von Personaldaten durch Crisp findet nicht statt.

Abgrenzung der Verantwortlichkeiten:

Crisp ist ausschließlich für die technische Bereitstellung der Support- und Kommunikationsfunktionalität zuständig. Crisp ist nicht für Hosting, Kampagnenausführung, E-Mail-Versand, Zahlungsabwicklung, Trainingsdurchführung, Simulationstracking oder Reporting verantwortlich.