Datenschutzrichtlinie

Version 2.1 | Gültig ab 15. MAI 2026 | Die aktuelle Version finden Sie jederzeit unter https://Perspectis.AI/privacy

Diese Datenverarbeitungsvereinbarung („DPA“) wird von Perspectis AI, Inc. unter Perspectis.AI veröffentlicht und ist Bestandteil des zwischen dem Dienstleister und dem Kunden geschlossenen SaaS-Dienstleistungsvertrags (oder eines gleichwertigen Rahmenvertrags) (der „Hauptvertrag“). Diese DPA ist durch Bezugnahme in den Hauptvertrag integriert. Es gilt die zum Zeitpunkt des Inkrafttretens des Hauptvertrags gültige Fassung, vorbehaltlich etwAIger Aktualisierungen gemäß Ziffer 16.6.

Im Falle eines Widerspruchs zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag hinsichtlich der Verarbeitung personenbezogener Daten hat diese Auftragsverarbeitungsvereinbarung Vorrang.

Ansatz. Diese Datenschutzvereinbarung setzt einen einheitlichen, hohen Standard, der die anspruchsvollsten geltenden Anforderungen aller Rechtsordnungen erfüllt, in denen die Parteien tätig sind, darunter das Vereinigte Königreich (UK GDPR/DPA 2018), der Europäische Wirtschaftsraum (EU GDPR), Kanada (PIPEDA und Quebec Law 25) und die Vereinigten Staaten (CCPA/CPRA und geltende Landesgesetze). Sofern ein bestimmter Mechanismus gesetzlich vorgeschrieben ist – wie beispielsweise Standardvertragsklauseln für internationale Datenübermittlungen –, wird dieser in Klausel 8 behandelt. Im Übrigen gilt unabhängig von der jeweiligen Rechtsordnung eine einheitliche Verpflichtung.

Anwaltliches Berufsgeheimnis. Kundendaten können Informationen enthalten, die dem anwaltlichen Berufsgeheimnis, dem Anwaltsgeheimnis oder dem Rechtsanwaltsgeheimnis unterliegen. Die erweiterten Pflichten des Dienstleisters in Bezug auf solche Daten sind in Ziffer 12 aufgeführt.

Definitionen

In dieser DPA:

„Anonymisierte Daten“ sind Daten, die irreversibel anonymisiert wurden, sodass aus ihnen, weder allein noch in Kombination mit anderen Informationen, vernünftigerweise keine Person identifiziert werden kann, und zwar in Übereinstimmung mit den geltenden Datenschutzgesetzen.

„Anwendbares Datenschutzrecht“ bezeichnet alle Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung über die Verarbeitung personenbezogener Daten gelten, einschließlich (aber nicht beschränkt auf): die britische DSGVO und den Data Protection Act 2018; die EU-DSGVO (Verordnung (EU) 2016/679); den kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA) und entsprechende Provinzgesetze, einschließlich des Quebecer Gesetzes Nr. 25; sowie den California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) und andere anwendbare Datenschutzgesetze der US-Bundesstaaten. Sofern zwei oder mehr Gesetze unterschiedliche Standards für dieselbe Verpflichtung vorschreiben, hat der Dienstanbieter den strengsten Standard einzuhalten.

Der Begriff „Kundendaten“ hat die im Hauptvertrag angegebene Bedeutung und umfasst alle darin enthaltenen personenbezogenen Daten.

„Einzelperson“ bezeichnet jede natürliche Person, deren personenbezogene Daten im Rahmen dieser Datenverarbeitungsvereinbarung verarbeitet werden. Die Begriffe betroffene Person, Verbraucher und Einzelperson werden synonym verwendet.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie sie im geltenden Datenschutzrecht der jeweiligen Gerichtsbarkeit definiert sind. Die Begriffe „personenbezogene Daten“ und „personenbezogene Informationen“ werden synonym verwendet.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.

„Datenschutzbeauftragter“ bezeichnet die vom Dienstanbieter benannte Person, die die Einhaltung der geltenden Datenschutzgesetze überwacht.

Der Begriff „Verarbeitung“ (und verwandte Begriffe) hat die Bedeutung, die ihm im anwendbaren Datenschutzrecht beigemessen wird.

„Beschränkte Übermittlung“ bedeutet jede Übermittlung personenbezogener Daten in ein Land, für das kein Angemessenheitsbeschluss oder eine gleichwertige Feststellung nach geltendem Datenschutzrecht vorliegt.

„SCCs“ bezeichnet die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (Beschluss 2021/914/EU der Kommission).

„Sensible personenbezogene Daten“ bezeichnet besondere Kategorien personenbezogener Daten gemäß der britischen DSGVO / EU-DSGVO; sensible personenbezogene Daten gemäß CCPA / CPRA; und gleichwertige Kategorien gemäß anderen anwendbaren Datenschutzgesetzen.

„Unterauftragnehmer“ bezeichnet jeden Dritten, der vom Dienstanbieter mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden beauftragt wird.

„Unterauftragnehmerliste“ bezeichnet die aktuelle Liste der vom Dienstanbieter auf seiner Website geführten und gemäß Ziffer 7 regelmäßig aktualisierten genehmigten Unterauftragnehmer.

„TOMs“ bezeichnet die in Anhang 2 aufgeführten technischen und organisatorischen Maßnahmen.

„UK IDTA“ bezeichnet das vom ICO gemäß § 119A des DPA 2018 erlassene internationale Datentransferabkommen des Vereinigten Königreichs.

Rollen und Ernennung

Der Kunde ist der Verantwortliche (bzw. eine gleichwertige Stelle gemäß geltendem Datenschutzrecht); der Dienstleister ist der Auftragsverarbeiter bzw. Dienstleister (bzw. eine gleichwertige Stelle). Der Dienstleister verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Anweisungen des Kunden.

Im Sinne des CCPA/CPRA agiert der Dienstanbieter als Dienstanbieter (und nicht als Dritter oder Unternehmen) und bestätigt, dass er: (a) personenbezogene Daten weder verkauft noch weitergibt; (b) personenbezogene Daten ausschließlich zur Erbringung der Dienstleistungen verwendet; (c) die im Rahmen dieser Datenverarbeitungsvereinbarung erhaltenen personenbezogenen Daten nicht mit personenbezogenen Daten aus anderen Quellen kombiniert, außer in den gesetzlich zulässigen Fällen; und (d) diese Beschränkungen versteht und einhalten wird.

Der Dienstleister wird den Kunden unverzüglich benachrichtigen, wenn er der Ansicht ist, dass eine Anweisung gegen geltendes Datenschutzrecht verstößt.

Kundenpflichten

Der Kunde garantiert, dass er für jede Kategorie personenbezogener Daten, die er der Plattform übermittelt, eine rechtmäßige Grundlage gemäß den geltenden Datenschutzgesetzen hat und diese auch weiterhin aufrechterhalten wird, einschließlich (sofern erforderlich) einer gültigen Einwilligung, einer Abwägung berechtigter Interessen oder einer anderen anwendbaren Rechtsgrundlage.

Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit aller an die Plattform übermittelten personenbezogenen Daten sowie für die Rechtmäßigkeit aller dem Dienstleister erteilten Verarbeitungsanweisungen. Der Dienstleister ist nicht verpflichtet, die Rechtmäßigkeit der Anweisungen des Kunden eigenständig zu überprüfen, muss jedoch seiner Meldepflicht gemäß Ziffer 2.3 nachkommen.

Der Kunde darf ohne vorherige schriftliche Benachrichtigung des Dienstanbieters und Vereinbarung geeigneter zusätzlicher Sicherheitsvorkehrungen keine sensiblen personenbezogenen Daten an die Plattform übermitteln. Ohne eine solche Benachrichtigung und Vereinbarung übernimmt der Dienstanbieter keine Haftung für an die Plattform übermittelte sensible personenbezogene Daten.

Der Kunde ist verpflichtet, eigene Datenschutzhinweise, Verarbeitungsprotokolle und Verfahren zur Wahrung der Rechte betroffener Personen gemäß geltendem Datenschutzrecht zu führen. Der Kunde erkennt an, dass die Verpflichtungen des Dienstleisters im Rahmen dieser Vereinbarung zur Auftragsverarbeitung auf die Bereitstellung angemessener technischer Unterstützung beschränkt sind und sich nicht auf die Erfüllung der eigenen Compliance-Pflichten des Kunden als Verantwortlicher erstrecken.

Der Kunde verpflichtet sich, den Dienstleister von allen Verlusten, Ansprüchen, Schäden, Haftungen, Bußgeldern, Strafen, Kosten und Auslagen (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die sich aus oder im Zusammenhang mit Folgendem ergeben: (a) der Nichterfüllung der Pflichten des Kunden als Verantwortlicher gemäß geltendem Datenschutzrecht; (b) der Verletzung der Gewährleistungen durch den Kunden in dieser Klausel 3; oder (c) Verarbeitungsanweisungen des Kunden, die gegen geltendes Datenschutzrecht verstoßen, vorausgesetzt, der Dienstleister hat seine Benachrichtigungspflicht gemäß Klausel 2.3 in Bezug auf die betreffende Anweisung erfüllt.

Verarbeitungshinweise und Vertraulichkeit

Der Dienstleister darf personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten, wie sie in dieser Datenverarbeitungsvereinbarung, dem Hauptvertrag, den Bestellformularen und allen weiteren schriftlichen Anweisungen festgelegt sind.

Die Konfiguration der Plattform durch den Kunden – einschließlich Funktionsaktivierung, Aufbewahrungseinstellungen, Benutzerberechtigungen, Auswahl des Datenspeicherorts, Aktivierung von KI-Funktionen und Integrationseinstellungen – stellt im Sinne dieser Datenverarbeitungsvereinbarung (DPA) dokumentierte Anweisungen dar. Der Dienstanbieter ist nicht verpflichtet, für jede Verarbeitungstätigkeit, die sich naturgemäß aus der Nutzung der Plattform durch den Kunden gemäß seiner Konfiguration ergibt, eine separate schriftliche Anweisung einzuholen.

Der Dienstleister hat sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Mitarbeiter angemessenen Vertraulichkeitsverpflichtungen unterliegen und in Bezug auf ihre Datenschutzpflichten geschult wurden.

Der Zugriff auf personenbezogene Daten ist auf das Personal zu beschränken, das diese zur Erbringung der Dienstleistungen benötigt, und zwar nach dem Prinzip der minimalen Berechtigungen.

Der Dienstleister darf personenbezogene Daten ohne vorherige schriftliche Einwilligung des Kunden nicht an Dritte (einschließlich Strafverfolgungs- oder Regierungsbehörden) weitergeben, es sei denn, dies ist gesetzlich vorgeschrieben. Ist eine Weitergabe gesetzlich erforderlich, wird der Dienstleister den Kunden (soweit zulässig) im Voraus benachrichtigen und bei allen angemessenen Schutzmaßnahmen mitwirken.

Der Dienstleister benennt einen Datenschutzbeauftragten und gegebenenfalls einen Ansprechpartner für den Datenschutz und teilt dem Kunden auf Anfrage deren Kontaktdaten mit.

Individuelle Rechte

Der Dienstanbieter erkennt an, dass Einzelpersonen gemäß den geltenden Datenschutzgesetzen Rechte haben können, darunter das Recht auf: Auskunft; Berichtigung; Löschung; Einschränkung der Verarbeitung; Datenübertragbarkeit; Widerspruch; Widerspruch gegen den Verkauf oder die Weitergabe; Einschränkung der Nutzung sensibler personenbezogener Daten; und das Recht, nicht ausschließlich automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu werden.

Der Dienstleister benachrichtigt den Kunden innerhalb von 3 Werktagen nach Eingang einer solchen Anfrage direkt von einer Einzelperson und darf ohne die Zustimmung des Kunden nicht direkt antworten.

Der Dienstleister stellt dem Kunden die erforderliche technische Unterstützung (Such-, Export-, Lösch- und Korrekturfunktionen) zur Verfügung, damit dieser innerhalb der geltenden gesetzlichen Frist auf Anfragen zu Personenrechten reagieren kann. Die angestrebte Antwortfrist beträgt 30 Tage ab Eingang der verifizierten Anfrage.

Der Dienstanbieter darf niemanden diskriminieren, der seine Rechte gemäß geltendem Datenschutzrecht ausübt.

Sicherheit

Der Dienstanbieter ist verpflichtet, die in Anhang 2 aufgeführten TOMs (Technologie- und Managementrichtlinien) zu implementieren und aufrechtzuerhalten, die den Anforderungen des anwendbaren Datenschutzrechts (einschließlich des angemessenen Sicherheitsstandards gemäß CCPA/CPRA, Artikel 32 der britischen/EU-DSGVO und PIPEDA-Grundsatz 7) entsprechen.

Der Dienstleister prüft, bewertet und beurteilt regelmäßig die Wirksamkeit der TOMs und aktualisiert diese gegebenenfalls unter Berücksichtigung des Stands der Technik, der Kosten und der Art der Verarbeitung.

Der Dienstleister benachrichtigt den Kunden unverzüglich über jede tatsächliche oder vermutete Sicherheitslücke, die die Sicherheit personenbezogener Daten gefährden könnte, und ergreift sofort Abhilfemaßnahmen.

Unterprozessoren

Der Kunde erteilt die allgemeine Genehmigung zur Beauftragung der in Anhang 3 aufgeführten Unterauftragnehmer. Der Dienstleister führt auf seiner Website eine aktuelle Liste der zugelassenen Unterauftragnehmer (die „Unterauftragnehmerliste“), zusammen mit Einzelheiten zu den von jedem einzelnen durchgeführten Verarbeitungen.

Der Dienstleister wird jede geplante Bestellung eines neuen Unterauftragnehmers oder jede wesentliche Änderung der Tätigkeiten eines bestehenden Unterauftragnehmers vor Inkrafttreten der Bestellung oder Änderung auf seiner Website bekanntgeben. Kunden, die Benachrichtigungen über Aktualisierungen von Unterauftragnehmern abonniert haben (per E-MAIl an [NEUE DPA-E-MAIL-ADRESSE]), erhalten über jede solche Veröffentlichung eine Benachrichtigung.

Können die Parteien die Beanstandung nicht innerhalb von 30 Tagen beilegen, wird der Dienstanbieter nach besten Kräften eine alternative Konfiguration der betroffenen Dienste bereitstellen, die den beanstandeten Unterauftragnehmer nicht beinhaltet. Steht eine solche alternative Konfiguration nicht zur Verfügung und ist der beanstandete Unterauftragnehmer für die Kernfunktionalität der Dienste gemäß dem jeweiligen Bestellformular unerlässlich, kann der Kunde das betroffene Bestellformular mit einer Frist von 30 Tagen schriftlich und ohne Vertragsstrafe kündigen. Zur Klarstellung: Ein Unterauftragnehmer gilt nur dann als für die Kernfunktionalität unerlässlich, wenn seine Entfernung die im jeweiligen Bestellformular beschriebenen wesentlichen Funktionen unbrauchbar machen würde.

Der Dienstleister verpflichtet sich, jedem Unterauftragnehmer durch schriftlichen Vertrag Datenschutzverpflichtungen aufzuerlegen, die den in dieser Auftragsverarbeitungsvereinbarung festgelegten Verpflichtungen gleichwertig sind, einschließlich Verpflichtungen, die den geltenden Datenschutzgesetzen in jeder Gerichtsbarkeit entsprechen, in der personenbezogene Daten verarbeitet werden.

Der Dienstleister bleibt gegenüber dem Kunden für das Handeln und Unterlassen seiner Unterauftragnehmer vollumfänglich haftbar, als wären es seine eigenen.

Internationale Überweisungen

Hauptverpflichtung. Die Parteien werden vor jeder eingeschränkten Datenübermittlung einen geeigneten Übermittlungsmechanismus für diese Übermittlung festlegen. „Übermittlungsmechanismus“ bezeichnet die Standardvertragsklauseln, das britische IDTA, einen Angemessenheitsbeschluss oder jeden anderen Mechanismus, der die Übermittlung gemäß geltendem Datenschutzrecht ermöglicht.

Übermittlungen innerhalb des EWR. Im Falle einer Übermittlung von Kundendaten innerhalb des EWR, bei der personenbezogene Daten des Kunden vom Kunden als Verantwortlichen an den Dienstleister als Auftragsverarbeiter übermittelt werden, verpflichten sich die Parteien zur Einhaltung der EU-Standardvertragsklauseln (Modul 2, Verantwortlicher-Auftragsverarbeiter-Beschluss 2021/914 der Kommission). Diese sind durch Bezugnahme in diese Vereinbarung zur Auftragsverarbeitung (AVV) einbezogen und treten mit der Übermittlung automatisch in Kraft. Die Parteien haben folgende optionale Bestimmungen gewählt: Klausel 7 (Anbindungsklausel) findet Anwendung; Klausel 9(a) Option 2 (Allgemeine schriftliche Genehmigung) findet Anwendung mit einer 30-tägigen Frist, die der Unterauftragsverarbeiter-Klausel dieser AVV entspricht; Klausel 11(a) (optionaler Beschwerdemechanismus) findet keine Anwendung.

Datenübermittlungen innerhalb des Vereinigten Königreichs. Im Falle einer beschränkten Datenübermittlung innerhalb des Vereinigten Königreichs verpflichten sich die Parteien zur Einhaltung des britischen Informationstechnologieabkommens (UK IDTA) einschließlich der EU-Standardvertragsklauseln (SCCs) mit dem britischen Zusatz (herausgegeben vom ICO gemäß § 119A des Data Protection Act 2018). Diese Bestimmungen sind Bestandteil dieser Datenverarbeitungsvereinbarung (DPA) und treten mit der Übermittlung automatisch in Kraft. Die Angaben zu den Vertragsparteien und die Beschreibungen der Datenverarbeitung im Sinne des UK IDTA sind im Hauptvertrag bzw. in Anhang 1 dieser DPA aufgeführt.

Vom Kunden gewählte Verarbeitungsstandorte. Die gesamte Verarbeitung erfolgt standardmäßig in dem vom Kunden im Bestellformular gewählten Rechtsraum. Aktiviert der Kunde eine Funktion oder wählt er ein Modell aus, das eine Verarbeitung in einem anderen Rechtsraum erfordert, gilt seine ausdrückliche Auswahl als dokumentierte Anweisung zur Übertragung und als Bestätigung des Verarbeitungsortes. Der Dienstleister teilt dem Kunden den Verarbeitungsort bei Auswahl der Funktion oder des Modells mit. Der Dienstleister stellt sicher, dass der entsprechende Übertragungsmechanismus vor jeder Übertragung eingerichtet ist.

Übermittlungen an Unterauftragnehmer. Beauftragt der Dienstleister einen Unterauftragnehmer, der eine grenzüberschreitende Übermittlung benötigt, stellt er sicher, dass vor der Übermittlung ein geeigneter Übermittlungsmechanismus zwischen ihm und dem Unterauftragnehmer eingerichtet ist. Für Übermittlungen zwischen Auftragsverarbeitern im EWR gelten die EU-Standardvertragsklauseln (Modul 3). Für Übermittlungen zwischen Auftragsverarbeitern im Vereinigten Königreich gilt das entsprechende Modul des britischen Zusatzabkommens.

Kanada. Übermittlungen personenbezogener Daten, die dem kanadischen Datenschutzgesetz (PIPEDA) oder dem Quebecer Gesetz Nr. 25 unterliegen, unterliegen vertraglichen Schutzmaßnahmen, die ein mit dem kanadischen Recht vergleichbares Schutzniveau gewährleisten (gemäß Abschnitt 10.3 PIPEDA). Ein grenzüberschreitender Übermittlungsmechanismus ist nicht erforderlich, wenn Kanada sowohl Ursprungs- als auch Zielland ist.

Vereinigte Staaten. Für Verarbeitungsvorgänge, die ihren Ursprung in den Vereinigten Staaten haben und dort verbleiben, ist kein grenzüberschreitender Übermittlungsmechanismus erforderlich. Die CCPA-Dienstleisterbezeichnung in Klausel 2 gilt für alle inländischen US-Verarbeitungsvorgänge.

Automatische Aktualisierung. Wird ein Übertragungsmechanismus von einer zuständigen Behörde aktualisiert, geändert oder ersetzt, tritt der aktualisierte Mechanismus automatisch an die Stelle des vorherigen Mechanismus gemäß dieser Datenverarbeitungsvereinbarung (DPA), sobald der Dienstanbieter den Kunden darüber informiert. Er ist ab dem in der Mitteilung angegebenen Datum für die Parteien verbindlich. Der Dienstanbieter informiert den Kunden unverzüglich nach Veröffentlichung des aktualisierten Mechanismus.

VerarbeitungsdetAIls für Zwecke der Standardvertragsklauseln (SCC). Die in Anhang I der EU-Standardvertragsklauseln geforderten Informationen (Liste der Vertragsparteien und Beschreibung der Übermittlung) sind wie folgt aufgeführt: Angaben zum Datenexporteur sind im Hauptvertrag und im Bestellformular enthalten; Angaben zum Datenimporteur sind im Dokumentenkopf dieser Auftragsverarbeitungsvereinbarung (AVV) aufgeführt; die Beschreibung der Verarbeitungstätigkeiten und der Kategorien personenbezogener Daten ist in Anhang 1 dieser AVV enthalten. Technische und organisatorische Maßnahmen für die Zwecke von Anhang II der EU-Standardvertragsklauseln sind in Anhang 2 dieser AVV aufgeführt.

Benachrichtigung über Sicherheitsvorfälle und Datenschutzverletzungen

Der Dienstanbieter benachrichtigt den Kunden unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung einer bestätigten oder begründet vermuteten Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung erfolgt an den vom Kunden benannten Ansprechpartner und umfasst alle zu diesem Zeitpunkt verfügbaren Informationen, die der Kunde zur Erfüllung seiner eigenen Meldepflichten gemäß geltendem Datenschutzrecht benötigt.

Der Dienstleister hat dem Kunden innerhalb von 30 Tagen nach Eindämmung des Vorfalls einen schriftlichen Vorfallsbericht vorzulegen, der Folgendes umfasst: die Ursache; betroffene Datenkategorien und geschätzte Datenmengen; ergriffene und geplante Abhilfemaßnahmen; sowie etwAIge Änderungen an den TOMs.

Der Dienstleister führt ein Protokoll aller Sicherheitsvorfälle (einschließlich derer unterhalb der Meldeschwelle) und stellt dieses dem Kunden auf Anfrage zur Verfügung.

Die Meldung eines Verstoßes stellt kein Schuldeingeständnis oder Haftungsübernahme seitens einer der Parteien dar.

Datenschutz-Folgenabschätzungen

Der Dienstleister ist verpflichtet, dem Kunden angemessene Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß den geltenden Datenschutzgesetzen zu gewähren, einschließlich Beschreibungen der Verarbeitungstätigkeiten, der TOMs, Angaben zu Unterauftragnehmern und anderer relevanter Informationen.

Wenn der Dienstleister ein neues System, eine neue Technologie oder einen neuen Dienst einführt, der die Verarbeitung personenbezogener Daten beinhaltet, führt der Dienstleister eine eigene Datenschutz-Folgenabschätzung durch und stellt dem Kunden auf Anfrage eine Zusammenfassung zur Verfügung.

Der Dienstleister unterstützt den Kunden bei allen erforderlichen vorherigen Konsultationen mit einer Aufsichtsbehörde oder Datenschutzbehörde.

Prüfrechte

Der Dienstanbieter stellt alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser Datenschutzvereinbarung und des anwendbaren Datenschutzrechts nachzuweisen.

Nicht mehr als einmal pro Kalenderjahr (es sei denn, es liegen begründete Anhaltspunkte für einen wesentlichen Verstoß vor) und nach schriftlicher Ankündigung von 30 Tagen kann der Kunde: (a) vom Dienstleister die Ausfüllung eines schriftlichen Fragebogens zur Einhaltung der Vorschriften verlangen; oder (b) auf Kosten des Kunden eine unabhängige Prüfung der Verarbeitungstätigkeiten und der TOMs des Dienstleisters durchführen oder in Auftrag geben.

Der Dienstleister kann seiner Prüfungsverpflichtung nachkommen, indem er aktuelle Prüfberichte von Drittanbietern (SOC 2 Typ II, ISO 27001-Zertifikat oder gleichwertig) vorlegt, sofern diese Berichte ausreichen, um die Einhaltung der jeweiligen Verpflichtung nachzuweisen.

Anwaltliches Berufsgeheimnis

Der Dienstleister erkennt an, dass die Kundendaten Informationen enthalten können, die dem Anwaltsgeheimnis, dem Rechtsanwaltsgeheimnis oder dem Anwaltsprivileg unterliegen (zusammenfassend als „geschütztes Material“ bezeichnet).

In Bezug auf vertrauliche Informationen verpflichtet sich der Dienstleister: (a) diese nur insoweit zu nutzen, offenzulegen oder zu verarbeiten, als dies zur Erbringung der Dienstleistungen unbedingt erforderlich ist; (b) Zugriffskontrollen und Zugriffsprotokolle zu führen; (c) diese ohne vorherige schriftliche Zustimmung des Kunden nicht an Dritte weiterzugeben; und (d) den Kunden unverzüglich über jede tatsächliche oder drohende erzwungene Offenlegung zu informieren.

Der Dienstleister unterstützt den Kunden bei der Einhaltung der berufsständischen Verhaltensregeln und der für den Kunden in seinen Tätigkeitsgebieten geltenden regulatorischen Anforderungen.

Die Verpflichtungen aus dieser Klausel 12 bleiben auch nach Beendigung des Hauptvertrags so lange bestehen, wie sich das vertrauliche Material im Besitz oder unter der Kontrolle des Dienstleisters befindet, und mindestens 7 Jahre nach Beendigung des Hauptvertrags.

KI und automatisierte Verarbeitung

Der Dienstleister darf Kundendaten ohne vorherige schriftliche Zustimmung des Kunden nicht zum TrAInieren, Optimieren oder Verbessern von KI- oder Machine-Learning-Modellen verwenden. Zur Klarstellung: Dieses Verbot gilt nicht für anonymisierte Daten, die nicht zur Identifizierung einer Person verwendet werden können. Es gilt gleichermaßen für Feedback (gemäß Definition im Hauptvertrag) und für Daten, die der Dienstleister durch die Nutzung der Plattform durch den Kunden generiert.

Der Dienstanbieter darf aggregierte, vollständig anonymisierte und nicht rückgängig zu machende Nutzungsdaten (einschließlich Systemleistungsmetriken, Nutzungsmuster von Funktionen und Fehlerprotokolle, die keine personenbezogenen Daten enthalten und aus denen kein Kunde oder eine Einzelperson identifiziert werden kann) verwenden, um die Leistung, Zuverlässigkeit und Funktionalität der Dienste zu verbessern. Diese Verwendung stellt keine Verarbeitung personenbezogener Daten oder Kundendaten dar, stellt kein TrAIning von KI- oder Machine-Learning-Modellen mit Kundendaten dar und unterliegt nicht den Beschränkungen in Ziffer 13.1. Der Kunde kann jederzeit eine schriftliche Bestätigung darüber anfordern, dass seine Kundendaten und personenbezogenen Daten nicht für das ModelltrAIning verwendet wurden.

Der Dienstleister ist verpflichtet, auf Anfrage und mindestens einmal jährlich die Identität und Version aller KI-Modelle, die personenbezogene Daten verarbeiten, offenzulegen, zu bestätigen, ob Kundendaten für das TrAIning verwendet wurden, und Informationen über alle automatisierten Entscheidungsfindungen mit erheblichen Auswirkungen auf Einzelpersonen bereitzustellen.

Der Dienstleister führt ein KI-Register und stellt es dem Kunden auf Anfrage zur Verfügung.

Rückgabe und Löschung

Bei Beendigung oder Ablauf des Hauptvertrags ist der Dienstleister verpflichtet:

(a) für 30 Tage nach Beendigung oder Ablauf des Vertrags die Kundendaten in branchenüblichen Formaten (CSV, JSON, Excel) ohne zusätzliche Kosten zum Export gemäß den im Hauptvertrag festgelegten Exportmodalitäten zur Verfügung zu stellen;

(b) Nach Ablauf des 30-tägigen Exportfensters sind alle Kundendaten, einschließlich aller von Unterauftragnehmern gespeicherten Kopien und aller relevanten Sicherungskopien, sicher zu löschen, indem die Daten überschrieben oder auf andere Weise dauerhaft unzugänglich gemacht werden, es sei denn: (i) der Kunde hat schriftlich etwas anderes vereinbart; (ii) die Aufbewahrung ist zur Beilegung anhängiger Rechtsstreitigkeiten oder behördlicher Verfahren erforderlich; oder (iii) geltendes Recht erfordert eine weitere Aufbewahrung – in diesem Fall ist der Dienstleister verpflichtet: (A) den Kunden vorab schriftlich über seine Absicht, diese Daten aufzubewahren, und die Rechtsgrundlage hierfür zu informieren; (B) nur die minimal erforderlichen Daten für den gesetzlich vorgeschriebenen Mindestzeitraum aufzubewahren; und (C) dieselben Schutzmaßnahmen auf die aufbewahrten Daten anzuwenden, die während der Vertragslaufzeit galten;

(c) dem Kunden proaktiv innerhalb von 30 Tagen nach Abschluss der Arbeiten eine schriftliche Löschbescheinigung vorzulegen, einschließlich der Bestätigung, dass die Kopien und Sicherungskopien des Unterprozessors gelöscht wurden, und darüber hinaus jederzeit auf schriftliche Anfrage des Kunden;

d) Auf schriftliche Anfrage des Kunden einen angemessenen Nachweis über die angewandte Löschmethode vorzulegen.

Der Dienstanbieter bearbeitet nachweisbare Löschungsanträge von Einzelpersonen innerhalb der in den geltenden Datenschutzgesetzen vorgeschriebenen Frist, wobei er den strengsten anwendbaren Standard anwendet und in keinem Fall 45 Tage überschreitet.

Die Verpflichtungen aus dieser Klausel 14 bleiben auch nach Beendigung des Hauptvertrags bis zum Abschluss und der Bestätigung der Löschung bestehen.

Laufzeit und Kündigung

Diese Datenschutzvereinbarung tritt an dem Tag in Kraft, an dem die Hauptvereinbarung in Kraft tritt, und läuft gleichzeitig mit der Hauptvereinbarung.

Die folgenden Verpflichtungen bleiben auch nach Beendigung des Vertrags bestehen: Klausel 4 (Vertraulichkeit) – 5 Jahre; Klausel 9 (Meldung von Verstößen) – 7 Jahre; Klausel 12 (Vertraulichkeit) – solange sich die vertraulichen Informationen im Besitz oder unter der Kontrolle des Dienstanbieters befinden und für mindestens 7 Jahre nach Beendigung des Vertrags; Klausel 14 (Löschung) – bis zur Fertigstellung und Zertifizierung.

Jede Partei kann diese DPA bei einem wesentlichen Verstoß der anderen Partei mit einer Frist von 30 Tagen schriftlich kündigen, sofern der Verstoß innerhalb dieser Frist behoben werden kann.

Allgemein

Haftungsbeschränkung. (a) Die Gesamthaftung des Dienstleisters im Rahmen oder im Zusammenhang mit dieser Vereinbarung zur Verarbeitung personenbezogener Daten (einschließlich der Haftung für Datenschutzverletzungen) ist auf die im Hauptvertrag festgelegte Haftungshöchstgrenze beschränkt. (b) Diese Höchstgrenze gilt unabhängig davon, ob der Anspruch vertraglich, deliktisch (einschließlich Fahrlässigkeit), gesetzlich oder anderweitig begründet ist und schließt jegliche Haftung aus dem Hauptvertrag ein (und ergänzt diese nicht). (c) Erhebt eine Aufsichtsbehörde, eine Einzelperson oder ein sonstiger Dritter Ansprüche gegen eine der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung zur Verarbeitung personenbezogener Daten, so arbeiten die Parteien nach Treu und Glauben zusammen, und jede Partei haftet für ihr eigenes Handeln oder Unterlassen. Diese Klausel 16.1 schließt keine Haftung aus oder beschränkt sie, die nach geltendem Datenschutzrecht nicht ausgeschlossen oder beschränkt werden kann.

Der Dienstleister ist verpflichtet, während der gesamten Laufzeit des Hauptvertrags eine Cyberhaftpflicht- und Datenschutzversicherung in angemessener Höhe aufrechtzuerhalten und dem Kunden auf schriftliche Anfrage einen Nachweis über diesen Versicherungsschutz vorzulegen.

Anwendbares Recht und Gerichtsstand. Diese Datenschutzvereinbarung unterliegt demselben Recht wie der Hauptvertrag. Sofern im Hauptvertrag kein anwendbares Recht festgelegt ist, unterliegt diese Datenschutzvereinbarung dem Recht des Staates New York, unter Ausschluss seiner Kollisionsnormen. Die Parteien unterwerfen sich der nicht ausschließlichen Zuständigkeit der Gerichte des Staates New York. Diese Klausel berührt nicht die Rechte und Pflichten der Parteien nach geltendem Datenschutzrecht in anderen Rechtsordnungen.

Diese Datenschutzvereinbarung (DPA) stellt zusammen mit ihren Anhängen die gesamte Vereinbarung zwischen den Parteien hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags dar und ersetzt alle vorherigen Vereinbarungen zum selben Thema.

Alle Mitteilungen im Rahmen dieser Datenverarbeitungsvereinbarung müssen schriftlich erfolgen und an die im Hauptvertrag angegebenen Kontaktdaten oder, in datenschutzrechtlichen Angelegenheiten, an support@Perspectis.AI übermittelt werden.

Standardbedingungen und Änderungen. (a) Diese Datenverarbeitungsvereinbarung (DPA) stellt die Standardbedingungen des Dienstleisters für die Datenverarbeitung dar. Sie ist auf der Website des Dienstleisters veröffentlicht und Bestandteil des Hauptvertrags. (b) Der Dienstleister kann diese DPA von Zeit zu Zeit aktualisieren, indem er eine überarbeitete Version auf seiner Website veröffentlicht. Der Kunde wird mindestens 30 Tage im Voraus per E-MAIl oder In-Product-Benachrichtigung darüber informiert. (c) Die überarbeitete Version tritt nach Ablauf der Benachrichtigungsfrist in Kraft, sofern der Kunde dem Dienstleister nicht innerhalb dieser Frist schriftlich einen wesentlichen Widerspruch mitteilt. (d) Widerspricht der Kunde und können die Parteien den Widerspruch nicht innerhalb von weiteren 14 Tagen beilegen, kann jede Partei die betroffenen Dienste mit angemessener Frist und ohne Vertragsstrafe kündigen. (e) Der Dienstleister kann Änderungen ohne vorherige Ankündigung vornehmen, wenn dies aufgrund von Änderungen des geltenden Datenschutzrechts, der Vorgaben der Aufsichtsbehörde oder einer gerichtlichen Anordnung erforderlich ist, sofern diese Änderungen den Schutz des Kunden gemäß dieser DPA nicht wesentlich beeinträchtigen. (f) Kundenspezifische Änderungen dieser DPA sind nur dann verbindlich, wenn sie von einem Geschäftsführer oder einem bevollmächtigten Vertreter des Dienstleisters schriftlich unterzeichnet wurden und ausdrücklich als Ersatz für die jeweilige Bestimmung dieser DPA gekennzeichnet sind.

Standardbeschreibung der Datenverarbeitung. (a) Die Standardbeschreibung der Datenverarbeitung in Anhang 1 beschreibt die standardmäßigen Verarbeitungstätigkeiten der Plattform des Dienstleisters im Rahmen der Leistungserbringung. (b) Weichen die spezifischen Verarbeitungstätigkeiten des Kunden wesentlich von dieser Beschreibung ab, werden die Parteien die Abweichungen im Bestellformular oder in einem schriftlichen Nachtrag zu dieser Vereinbarung über die Auftragsverarbeitung (AVV) festhalten. (c) Der Kunde ist als Verantwortlicher für die Führung seiner eigenen Aufzeichnungen über die Verarbeitungstätigkeiten verantwortlich (einschließlich der Aufzeichnungen gemäß Artikel 30 der DSGVO (UK/EU) und gleichwertiger Anforderungen anderer anwendbarer Datenschutzgesetze).

ANHANG 1

Beschreibung der Verarbeitungstätigkeiten

Diese Standardverarbeitungsbeschreibung beschreibt die vom Dienstleister bei der Erbringung der Dienstleistungen durchgeführten Verarbeitungstätigkeiten. Kundenspezifische Abweichungen werden gegebenenfalls im jeweiligen Bestellformular erfasst.

A. Gegenstand

Bereitstellung von SaaS-basierten Rechtstechnologie-Dienstleistungen, einschließlich autonomer Zeiterfassung, Fallmanagement, KI-gestützter Dokumentenprüfung, LEDES-konformer Abrechnung und damit verbundenen Dienstleistungen, wie im Hauptvertrag und den entsprechenden Bestellformularen beschrieben.

B. Dauer

Für die Laufzeit des Hauptvertrags und eines etwAIgen anwendbaren Bestellformulars oder einer Leistungsbeschreibung, zuzüglich etwAIger gesetzlich vorgeschriebener Aufbewahrungsfristen.

C. Wesen und Zweck

Hosting, Speicherung und Verarbeitung von Kundendaten zur Erbringung der Dienstleistungen; Zugriffskontrolle und Identitätsmanagement; Analysen und Berichte für den internen Gebrauch des Kunden; technischer Support (nur auf Kundenwunsch); optionale KI/LLM-Verarbeitung, sofern vom Kunden aktiviert; sowie Sicherheitsüberwachung und Reaktion auf Sicherheitsvorfälle.

D. Kategorien von Personen

Personal des Kunden (Rechtsanwälte, Rechtsanwaltsgehilfen, Verwaltungspersonal); Mandanten und Vertragspartner des Kunden (soweit in den Kundendaten enthalten); Endnutzer der Dienste; und andere Personen, deren personenbezogene Daten an die Plattform übermittelt werden.

E. Kategorien personenbezogener Daten

Kontakt- und Identifikationsdaten (Namen, E-MAIl-Adressen, Telefonnummern, Berufsbezeichnungen); Nutzungs- und Zugriffsdaten (Anmeldezeiten, Funktionsnutzung, Sitzungsprotokolle); Zeiterfassungs- und Vorgangsdaten (einschließlich narrativer Beschreibungen der juristischen Arbeit); Dokumentenmetadaten (und, sofern KI-Funktionen aktiviert sind, Dokumenteninhalte); Abrechnungs- und Rechnungsdaten; sowie sonstige personenbezogene Daten, die der Kunde der Plattform von Zeit zu Zeit übermittelt.

F. Sensible / Besondere Kategorien

Der Dienstleister verarbeitet nicht absichtlich sensible personenbezogene Daten. Soweit Kundendaten versehentlich solche Daten enthalten, gelten die Bestimmungen von Ziffer 3.3.

ANHANG 2

Technische und organisatorische Maßnahmen

Diese Maßnahmen dienen der Erfüllung der Sicherheitsanforderungen geltender Datenschutzgesetze, einschließlich des angemessenen Sicherheitsstandards (CCPA/CPRA), Artikel 32 (EU-DSGVO) und des Grundsatzes der Schutzmaßnahmen (PIPEDA). Sie entsprechen den CIS-Kontrollen und NIST SP 800-53.

Kontrolldomäne

Durchgeführte Maßnahmen

Zugangskontrolle

Rollenbasierte Zugriffskontrolle (RBAC); Prinzip der minimalen Berechtigungen; Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Konten; regelmäßige Zugriffsüberprüfungen; eindeutige Benutzer-IDs; keine gemeinsam genutzten Anmeldeinformationen; PAM-Tools.

Verschlüsselung – Im Ruhezustand

AES-256 für alle gespeicherten Kundendaten; verschlüsselte Backups; AWS S3 SSE; Verschlüsselungsschlüssel über AWS KMS mit jährlicher Rotation.

Verschlüsselung – Während der Übertragung

Mindestens TLS 1.2 (TLS 1.3 bevorzugt); HTTPS erzwungen; AWS Certificate Manager; HSTS aktiviert.

Netzwerksicherheit

Firewall und WAF; Netzwerksegmentierung; VPC-Isolation; IDS/IPS; DDoS-Abwehr; regelmäßige Portscans und Schwachstellenanalysen.

Schwachstellen- und Patch-Management

Automatisierte Schwachstellensuche; kritische/hochwertige Patches innerhalb von 30 Tagen; jährliche Penetrationstests durch Dritte; Nachverfolgung der Ergebnisse bis zur Behebung.

Vorfallerkennung und -reaktion

SIEM-Überwachung und Alarmierung rund um die Uhr; dokumentierter Notfallplan; designiertes Reaktionsteam; Planspiele; Benachrichtigung des Kunden innerhalb von 72 Stunden nach bestätigter Sicherheitsverletzung.

Geschäftskontinuität und Datensicherung

Tägliche automatische Datensicherungen; 30-tägige Aufbewahrungsfrist; georedundanter Speicher; RTO < 4 Stunden, RPO < 24 Stunden für Tier-1-Dienste; jährliche Kontinuitätsprüfung.

Physische Sicherheit

Produktionsinfrastruktur in AWS-Rechenzentren mit ISO 27001- und SOC 2 Typ II-zertifizierten physischen Kontrollen (24/7-Wachdienst, Videoüberwachung, biometrischer Zugang, Klimatisierung).

Personensicherheit

Vor der Einstellung werden Hintergrundüberprüfungen durchgeführt; Vertraulichkeitsvereinbarungen werden getroffen; jährliche Datenschutzschulungen sind obligatorisch; der Zugriff wird innerhalb von 24 Stunden nach Ausscheiden widerrufen.

Lieferantenmanagement

Sorgfältige Prüfung vor Vertragsabschluss; vertragliche Datenschutzverpflichtungen werden an alle Unterauftragnehmer weitergegeben; jährliche Überprüfung der Sicherheitslage.

Datenschutzprogramm

Benannter Datenschutzbeauftragter; Datenschutzmanagementprogramm; datenschutzfreundliche Voreinstellungen auf der Plattform implementiert.

Zertifizierungen

Der Dienstleister implementiert derzeit ein Informationssicherheitsmanagementprogramm gemäß den ISO/IEC 27001-Prinzipien. Er beabsichtigt, die SOC 2 Typ II-Zertifizierung zu erlangen und wird den Kunden nach deren Erhalt benachrichtigen. Aktuelle Sicherheitsbewertungsberichte von Drittanbietern sind auf schriftliche Anfrage unter Einhaltung der Vertraulichkeitsverpflichtung erhältlich.

Datenminimierung und -aufbewahrung

Die Datenerfassung beschränkt sich auf das Notwendigste; automatische Löschung innerhalb von 30 Tagen nach dem Exportfenster; konfigurierbare Aufbewahrungseinstellungen in der Plattform.

ANHANG 3

Zugelassene Unterauftragnehmer

Die folgenden Unterauftragnehmer sind zum Zeitpunkt des Inkrafttretens des Hauptvertrags genehmigt und auf der Unterauftragnehmerliste auf der Website des Dienstleisters veröffentlicht. Der Dienstleister stellt sicher, dass jeder Unterauftragnehmer an Datenschutzbestimmungen gebunden ist, die diesem Auftragsverarbeitungsvertrag gleichwertig sind. Kunden können Benachrichtigungen über Aktualisierungen von Unterauftragnehmern per E-MAIl an dataprivacy@Perspectis.AI abonnieren.

Unterprozessor

Dienstleistung / Zweck

Verarbeitungsort(e)

Sichern

Amazon Web Services (AWS)

Primäres Cloud-Hosting, Speicher, Rechenleistung, Datenbank

Kanada (ca-central-1) – Standard; Vereinigtes Königreich (eu-west-2); USA (us-east-1), falls aktiviert

AWS-Datenschutzvereinbarung; ISO 27001, SOC 2 Typ II; Standardvertragsklauseln / UK IDTA / PIPEDA-Übertragungsvereinbarung (soweit zutreffend)

OpenAI, L.L.C.

KI-/LLM-Verarbeitung (optional – standardmäßig deaktiviert)

Vereinigte Staaten

Keine Modellschulung zu Kundendaten; gegebenenfalls gelten die Standardvertragsklauseln (SCCs), die britische Datenschutz-Grundverordnung (DSGVO) und die Datenschutz-Grundverordnung (DSGVO).

Microsoft Azure (Azure OpenAI)

Enterprise AI / LLM — Residenzoption

Kanada, Großbritannien oder EU (konfigurierbar)

Microsoft DPA; ISO 27001 / SOC 2; Wohnsitz im Bestellformular wählbar

Microsoft Azure (Sprachdienste)

Sprach-/Sprachtranskription (optional)

Konfigurierbar (bevorzugt Kanada / Großbritannien / USA)

Microsoft DPA; wird nur aktiviert, wenn der Kunde die Funktion aktiviert.

Confido Legal (falls aktiviert)

Zahlungsabwicklung für Abrechnungsintegrationen

Kanada / Vereinigte Staaten

PCI-DSS-konform; wird nur verwendet, wenn die Zahlungsintegration aktiviert ist.