{"id":1287,"date":"2026-03-16T16:20:50","date_gmt":"2026-03-16T16:20:50","guid":{"rendered":"https:\/\/beamon.ai\/?page_id=1287"},"modified":"2026-07-17T10:11:12","modified_gmt":"2026-07-17T10:11:12","slug":"auftragsverarbeitungsvertrag","status":"publish","type":"page","link":"https:\/\/beamon.ai\/de\/legal-terms\/auftragsverarbeitungsvertrag\/","title":{"rendered":"Auftragsverarbeitungsvertrag"},"content":{"rendered":"\n<div class=\"wp-block-group rest-api-page-content-wrapper is-layout-constrained wp-block-group-is-layout-constrained\">\n<div class=\"wp-block-group container is-layout-constrained wp-block-group-is-layout-constrained\"><nav style=\"--separator: &quot;\/&quot;\" class=\"wp-block-breadcrumbs\" aria-label=\"Breadcrumbs\"><ol><li><a href=\"https:\/\/beamon.ai\/de\/\">Start<\/a><\/li><li><a href=\"https:\/\/beamon.ai\/de\/legal-terms\/\">Legal terms<\/a><\/li><li><span aria-current=\"page\">Auftragsverarbeitungsvertrag<\/span><\/li><\/ol><\/nav><\/div>\n\n\n\n<div id=\"rest-api-page-content-block_e76556a112ffbb61015b9eb2df0092bd\" class=\"rest-api-page-content max-w-content\">\n            <div class=\"rest-api-page-content__body\">\n            \n<div class=\"wp-block-group is-style-container-default article-content main-content is-layout-flow wp-block-group-is-layout-flow\" style=\"margin-top:var(--wp--preset--spacing--12);margin-bottom:var(--wp--preset--spacing--12)\">\n<div class=\"wp-block-group blog-sidebar is-layout-constrained wp-block-group-is-layout-constrained\"><div role=\"navigation\" aria-label=\"Language Switcher\" id=\"\" class=\"wpml-language-switcher-block is-layout-flex is-responsive has-child-selected wp-block-navigation\"><div class=\"wp-block wp-block-navigation-item has-link has-child wp-block-navigation-submenu\"><div class=\"wpml-ls-dropdown open-on-click \"><script>\n            (function() {\n              if (typeof window.wpmlLSBlockKeyboard === 'undefined') {\n                window.wpmlLSBlockKeyboard = true;\n                document.addEventListener('DOMContentLoaded', function() {\n                  var toggles = document.querySelectorAll('.wp-block-navigation-submenu__toggle[tabindex=\"0\"]');\n                  toggles.forEach(function(toggle) {\n                    var isClickMode = toggle.closest('.open-on-click');\n                    if (isClickMode) {\n                      toggle.addEventListener('keydown', function(e) {\n                        if (e.key === 'Enter' || e.key === ' ') {\n                          e.preventDefault();\n                          toggle.click();\n                        }\n                      });\n                    } else {\n                      toggle.addEventListener('keydown', function(e) {\n                        if (e.key === 'ArrowDown') {\n                          e.preventDefault();\n                          toggle.classList.add('wpml-ls-keyboard-focus');\n                          var submenu = toggle.nextElementSibling;\n                          if (submenu) {\n                            var firstLink = submenu.querySelector('a');\n                            if (firstLink) firstLink.focus();\n                          }\n                        } else if (e.key === 'Escape') {\n                          e.preventDefault();\n                          toggle.classList.remove('wpml-ls-keyboard-focus');\n                        }\n                      });\n                      toggle.addEventListener('focus', function() {\n                        toggle.classList.add('wpml-ls-keyboard-focus');\n                      });\n                      toggle.addEventListener('blur', function() {\n                        var parent = toggle.closest('li');\n                        setTimeout(function() {\n                          if (parent && !parent.contains(document.activeElement)) {\n                            toggle.classList.remove('wpml-ls-keyboard-focus');\n                          }\n                        }, 100);\n                      });\n                      document.addEventListener('click', function(e) {\n                        var dropdown = toggle.closest('.wpml-ls-dropdown');\n                        if (dropdown && !dropdown.contains(e.target)) {\n                          toggle.classList.remove('wpml-ls-keyboard-focus');\n                        }\n                      });\n                    }\n                  });\n                });\n              }\n            })();\n          <\/script><ul class=\"wp-block-navigation__container\"><li class=\"wp-block-navigation-item has-child wp-block-navigation-submenu open-on-click\" onclick=\"(()=&gt;{const ariaExpanded = this.children[0].getAttribute('aria-expanded');\n\t\t\t\t\tthis.children[0].setAttribute('aria-expanded', ariaExpanded === 'true' ? 'false' : 'true');})(this);\"><div class=\"wp-block-navigation-item__content wp-block-navigation-submenu__toggle\" aria-expanded=\"false\" aria-controls=\"wpml-ls-submenu-default\" aria-haspopup=\"true\" tabindex=\"0\" role=\"button\"><span class=\"current-language-item\" style=\"display:flex;cursor:pointer\" data-wpml=\"current-language-item\" aria-current=\"page\"><div style=\"display:inline-block\" class=\"wp-block-navigation-item__content\"><div aria-current=\"page\"><img decoding=\"async\" alt=\"wpml-ls-flag\" class=\"wpml-ls-flag\" src=\"https:\/\/bryter.com\/wp-content\/plugins\/sitepress-multilingual-cms\/res\/flags\/de.png\" style=\"margin-right:8px;width:24px;height:18px;border-radius:0%;object-fit:unset\" size=\"24\" data-wpml=\"flag-url\"><span data-wpml=\"label\" data-wpml-label-type=\"native\" class=\"wp-block-navigation-item__label \">Deutsch<\/span><\/div><\/div><span class=\"wp-block-navigation__submenu-icon\"><svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" viewbox=\"0 0 12 12\" fill=\"none\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M1.50002 4L6.00002 8L10.5 4\" stroke-width=\"1.5\"><\/path><\/svg><\/span><\/span><\/div><ul class=\"wp-block-navigation__submenu-container isHorizontal\" style=\"id:wpml-ls-submenu-default;flex-wrap:nowrap\" aria-label=\"Available languages\" data-is-drop-zone=\"true\"><li class=\"wp-block-navigation-item \" data-wpml=\"language-item\"><div><a class=\"wp-block-navigation-item__content\" data-wpml=\"link\" href=\"#\" aria-label=\"Wechseln zu English\"><img decoding=\"async\" alt=\"wpml-ls-flag\" class=\"wpml-ls-flag\" src=\"https:\/\/bryter.com\/wp-content\/plugins\/sitepress-multilingual-cms\/res\/flags\/en.png\" style=\"margin-right:8px;width:24px;height:18px;border-radius:0%;object-fit:unset\" size=\"24\" data-wpml=\"flag-url\"><span data-wpml=\"label\" data-wpml-label-type=\"native\" class=\"wp-block-navigation-item__label \">English<\/span><\/a><\/div><\/li><\/ul><\/li><\/ul><\/div><\/div><\/div>\n\n\n\n        <div class=\"hs-form-field version-selector-block\">\n        <label for=\"version_selector\">Version<\/label>\n        <select name=\"version_selector\" id=\"version_selector\">\n                    <option value=\"version-9.0\" >9.0 October 2025<\/option>\n                    <option value=\"version-10.0\" >10.0 M\u00e4rz 2026<\/option>\n                    <option value=\"version-10.1\" selected>10.1 April 2026<\/option>\n                <\/select>\n\n        \n            <div class=\"description-item\" data-description-for=\"version-9.0\" ><\/div>\n        \n            <div class=\"description-item\" data-description-for=\"version-10.0\" ><\/div>\n        \n            <div class=\"description-item\" data-description-for=\"version-10.1\" style=\"display: block\">Aktuelle Version<\/div>\n            <\/div>\n    \n\n<div class=\"wp-block-buttons has-1-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div style=\"--wp--block-button--width: 100;\" class=\"wp-block-button has-custom-width wp-block-button__width wp-block-button__width-100\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/media.bryter.com\/wp-content\/uploads\/2026\/04\/BRYTER-AVV-10.1-April-2026.pdf\" rel=\"noopener\">Download PDF<\/a><\/div>\n<\/div><\/div>\n\n\n\n<div class=\"wp-block-group article-content is-layout-constrained wp-block-group-is-layout-constrained\">\n<h1 class=\"wp-block-heading has-text-align-left\" id=\"h-auftragsverarbeitungsvertrag\">Auftragsverarbeitungsvertrag<\/h1>\n\n\n\n<div id=\"version-10.1\" class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<p class=\"wp-block-paragraph\">Auftragsverarbeitungsvertrag<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">zwischen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">dem Kunden, der in der jeweils geltenden Leistungs- bzw. Bestellvereinbarung (\u201e<strong>Order Form<\/strong>\u201c) namentlich benannt ist (nachfolgend \u201e<strong>Kunde<\/strong>\u201c oder \u201e<strong>Verantwortlicher<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">und<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">der&nbsp;<strong>BRYTER GmbH<\/strong>, Biebergasse 2, 60313 Frankfurt am Main, Deutschland (nachfolgend \u201e<strong>BRYTER<\/strong>\u201c oder \u201e<strong>Auftragsverarbeiter<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">(Kunde und BRYTER gemeinsam die \u201e<strong>Parteien<\/strong>\u201c, jeweils eine \u201e<strong>Partei<\/strong>\u201c).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zwischen dem Verantwortlichen und BRYTER besteht ein Vertrag \u00fcber die Nutzung der BRYTER-Software sowie etwaiger weiterer Dienstleistungen (\u201e<strong>Rahmenvertrag<\/strong>\u201c). Im Rahmen der Erf\u00fcllung dieses Rahmenvertrags kann der Verantwortliche personenbezogene Daten an BRYTER \u00fcbermitteln, damit diese im Auftrag des Verantwortlichen verarbeitet werden. Dieser Auftragsverarbeitungsvertrag (\u201e<strong>AVV<\/strong>\u201c) regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung solcher personenbezogener Daten gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus enth\u00e4lt der AVV in Abschnitt 6 diejenigen erg\u00e4nzenden Regelungen, die im Hinblick auf die Einhaltung berufsrechtlicher bzw. amtlicher Verschwiegenheitspflichten \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO, \u00a7\u00a7 18, 26a BNotO und \u00a7 203 StGB \u2013 erforderlich sind, sofern der Verantwortliche derartige Pflichten zu beachten hat. Soweit im Rahmen dieses AVV personenbezogene Daten verarbeitet werden, die zugleich berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der genannten Vorschriften darstellen, finden die Regelungen dieses AVV zum Schutz personenbezogener Daten erg\u00e4nzend Anwendung, soweit sie mit den berufsrechtlichen Verschwiegenheitspflichten vereinbar sind. Abschnitt 6 dieses AVV bleibt vorrangig anwendbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Allgemeine Bestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Kunde ist der Verantwortliche gem\u00e4\u00df Artikel 4 Nr. 7 der DSGVO. BRYTER ist der Auftragsverarbeiter gem\u00e4\u00df Artikel 4 Nr. 8 der DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich zur Erf\u00fcllung des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und etwaiger Projekt- oder Leistungsbeschreibungen (Statements of Work), sowie auf dokumentierte Weisung des Verantwortlichen gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Rahmenvertrag und den genannten Vereinbarungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dauer und Umfang der Verarbeitung richten sich nach den Vorgaben des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und den Weisungen des Verantwortlichen, soweit in diesem AVV nichts Abweichendes bestimmt ist<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit&nbsp;in diesem AVV Begriffe verwendet werden, die in der DSGVO definiert sind, gelten die gesetzlichen Definitionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Art der personenbezogenen Daten und Kategorien betroffener Personen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die im Rahmen der BRYTER-Software verarbeiteten personenbezogenen Daten ergeben sich aus den Inhalten und Informationen, die der Verantwortliche in die BRYTER-Software eingibt oder an BRYTER \u00fcbermittelt. BRYTER hat keinen Einfluss auf die Art, den Umfang oder die Kategorien der personenbezogenen Daten, die der Verantwortliche zur Verarbeitung bereitstellt. Dementsprechend k\u00f6nnen alle Arten personenbezogener Daten verarbeitet werden, einschlie\u00dflich besonderer Kategorien personenbezogener Daten, sofern deren Verarbeitung durch den Verantwortlichen zul\u00e4ssig ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.2&nbsp; Die typischerweise im Rahmen der Nutzung der BRYTER-Software verarbeiteten personenbezogenen Daten sowie die betroffenen Personengruppen ergeben sich aus folgender \u00dcbersicht:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Art der personenbezogenen Daten<\/strong><\/td><td><strong>Kategorien der betroffenen Personen<\/strong><\/td><td><strong>Zweck der Verarbeitung<\/strong><\/td><td><strong>Verarbeitungsdauer<\/strong><\/td><\/tr><tr><td>Kontakt-\/Kundenkontodaten (z.B. Vorname, Nachname, E-Mail-Adresse, Nutzer-ID, Rol-le\/Rechte, Tenant-ID)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Nutzerverwaltung; Zugriffskontrolle<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Authentifizierungs- und Zugangskennungen (z.B. Passwort-Hash, Login-Credentials)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Zugriffskontrolle<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Netzwerk-\/Ger\u00e4tekennungen und Sicherheits-daten (z.B. IP-Adresse, Session-IDs, Zeitstempel, Ger\u00e4te-\/Browser-Kennungen, Leis-tungsmetriken, Logdateien und Audit-Trails)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Service-Monitoring; Fehleranalyse; Audit-Logging; Compliance<\/td><td>F\u00fcr Sicherheits-\/Audit-Logs bis zu 90 Tage, so-weit einschl\u00e4gig; im \u00dcbri-gen bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Vom Kunden bereitgestellte Inhalte und abge-leitete Inhalte (z.B. hochgeladene Dokumen-te\/Dateien, Frei-texte, Formula-re\/Workflows, extrahierte Felder, KI-Input\/Output, soweit personen-bezogen)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<br>\u00b7&nbsp;&nbsp;      Weitere im Kundeninhalt identifizierbare betroffene Personen (z.B. Mitarbeiter des Kunden, die keine Endnutzer sind, Gesch\u00e4ftspartner, Mandanten des Kunden)<\/td><td>Bereitstellung der BRYTER-Software und ggf. KI-gest\u00fctzter Funktionen auf dokumentierte Weisung des Verantwortlichen; Speicherung, Anzeige, Trans-formation und \u00dcbermittlung gem\u00e4\u00df Funktionsumfang der Software; Qualit\u00e4tssicherung, Fehleranalyse und \u00dcberwachung der KI-gest\u00fctzen Verarbeitung (LLM-Observability), soweit dies zur Sicherstellung der Funktionsf\u00e4higkeit, Stabilit\u00e4t und Sicherheit der Software erforderlich ist<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags und L\u00f6schung\/R\u00fcckgabe gem\u00e4\u00df Abschnitt 10 AVV<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">2.3.          Die Kategorien betroffener Personen h\u00e4ngen von den jeweiligen Daten ab, die der Verantwortliche \u00fcbermittelt. Betroffen sein k\u00f6nnen insbesondere autorisierte Nutzer des Verantwortlichen sowie weitere Personen, deren Daten der Verantwortliche in die BRYTER-Software eingebracht hat (z. B. Kunden, Mitarbeiter, Gesch\u00e4ftspartner oder sonstige Dritte).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Rechte und Pflichten des Verantwortlichen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist allein daf\u00fcr verantwortlich, dass die Verarbeitung personenbezogener Daten nach Ma\u00dfgabe dieses AVV, des Rahmenvertrags sowie der jeweils geltenden Order Form rechtm\u00e4\u00dfig erfolgt. Dies umfasst insbesondere die Pr\u00fcfung und Sicherstellung der datenschutzrechtlichen Zul\u00e4ssigkeit der Verarbeitung, einschlie\u00dflich der Einhaltung der Voraussetzungen der Art. 6 und \u2013 sofern einschl\u00e4gig \u2013 Art. 9 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden, stellt der Verantwortliche sicher, dass hierf\u00fcr eine einschl\u00e4gige Rechtsgrundlage gem\u00e4\u00df Art. 9 Abs. 2 DSGVO besteht und geeignete Schutzma\u00dfnahmen ergriffen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit im Rahmenvertrag nichts Abweichendes geregelt ist, ist der Verantwortliche f\u00fcr die Bearbeitung von Anfragen betroffener Personen nach Art. 12 bis 22 DSGVO zust\u00e4ndig. BRYTER wird Anfragen betroffener Personen, die erkennbar an den Verantwortlichen gerichtet sind, unverz\u00fcglich an diesen weiterleiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Rahmenvertrag sowie die jeweils geltenden Order Form einschlie\u00dflich dieses AVV sowie die vertragsgem\u00e4\u00dfe Nutzung der BRYTER-Software gelten als die vollst\u00e4ndigen dokumentierten Weisungen des Verantwortlichen im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Der Verantwortliche ist berechtigt, BRYTER erg\u00e4nzende Weisungen zu erteilen, soweit diese zur Einhaltung datenschutzrechtlicher Vorgaben erforderlich sind und den Regelungen des Rahmenvertrags sowie dieses AVV nicht widersprechen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Weisungen des Verantwortlichen bed\u00fcrfen der Textform oder einer dokumentierten elektronischen Form. M\u00fcndliche Weisungen sind unverz\u00fcglich in Textform oder dokumentierter elektronischer Form zu best\u00e4tigen. \u00c4nderungen des Gegenstands oder der Modalit\u00e4ten der Verarbeitung sind zwischen den Parteien abzustimmen und entsprechend zu dokumentieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen von BRYTER nach Ma\u00dfgabe der geltenden Datenschutzgesetze und dieses AVV zu \u00fcberpr\u00fcfen oder durch einen zur Vertraulichkeit verpflichteten und fachlich geeigneten Dritten \u00fcberpr\u00fcfen zu lassen. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen zur Verf\u00fcgung und unterst\u00fctzt Pr\u00fcfungen nach Ma\u00dfgabe dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pr\u00fcfungen und Inspektionen sind so durchzuf\u00fchren, dass sie den Gesch\u00e4ftsbetrieb von BRYTER nicht unangemessen beeintr\u00e4chtigen. Vor-Ort-Pr\u00fcfungen finden \u2013 vorbehaltlich eines berechtigten Anlasses \u2013 h\u00f6chstens einmal pro Kalenderjahr, w\u00e4hrend der \u00fcblichen Gesch\u00e4ftszeiten und nach vorheriger Abstimmung statt. BRYTER ist berechtigt, Pr\u00fcfer abzulehnen, die Wettbewerber von BRYTER sind, nicht \u00fcber die erforderliche Fachkunde verf\u00fcgen oder nicht unabh\u00e4ngig sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Ein wesentlicher Teil der Verarbeitung personenbezogener Daten erfolgt unter Einsatz von Cloud-Infrastrukturen, insbesondere durch Amazon Web Services und Microsoft Azure. Vor-Ort-Pr\u00fcfungen in den Gesch\u00e4ftsr\u00e4umen von BRYTER sind daher nur eingeschr\u00e4nkt geeignet, die Einhaltung der datenschutzrechtlichen Anforderungen zu \u00fcberpr\u00fcfen. Auf Verlangen des Verantwortlichen wird BRYTER Pr\u00fcfungen bei Unterauftragsverarbeitern im Rahmen der jeweils bestehenden Auftragsverarbeitungsvertr\u00e4ge sowie der geltenden datenschutzrechtlichen Vorgaben veranlassen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.9          Der Verantwortliche unterrichtet BRYTER unverz\u00fcglich, wenn er im Rahmen von Pr\u00fcfungen oder auf sonstige Weise M\u00e4ngel oder Unregelm\u00e4\u00dfigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten feststellt oder datenschutzrechtliche Beanstandungen erhebt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.10        Der Verantwortliche tr\u00e4gt die angemessenen und nachweislich entstandenen Kosten, die BRYTER im Zusammenhang mit Pr\u00fcfungen oder Vor-Ort-Inspektionen nach dieser Ziffer entstehen, soweit diese nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Pflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich im Rahmen des Rahmenvertrags und dieses AVV sowie ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen, sofern BRYTER nicht aufgrund zwingender unionsrechtlicher oder mitgliedstaatlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht aus Gr\u00fcnden eines wichtigen \u00f6ffentlichen Interesses untersagt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung unterst\u00fctzt BRYTER den Verantwortlichen durch geeignete technische und organisatorische Ma\u00dfnahmen dabei, seinen Verpflichtungen zur Wahrung der Rechte betroffener Personen gem\u00e4\u00df Art. 12 bis 22 DSGVO nachzukommen, soweit dies BRYTER m\u00f6glich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen unterst\u00fctzt BRYTER den Verantwortlichen bei der Einhaltung seiner Pflichten gem\u00e4\u00df Art. 32 DSGVO sowie \u2013 soweit erforderlich \u2013 bei der Durchf\u00fchrung einer Datenschutz-Folgenabsch\u00e4tzung und einer etwaigen vorherigen Konsultation gem\u00e4\u00df Art. 35 und 36 DSGVO. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen unverz\u00fcglich zur Verf\u00fcgung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass alle Personen, die unter seiner Verantwortung personenbezogene Daten des Verantwortlichen verarbeiten, (i) einer angemessenen vertraglichen oder gesetzlichen Verschwiegenheitspflicht unterliegen, (ii) \u00fcber die einschl\u00e4gigen datenschutzrechtlichen Pflichten nach diesem AVV informiert sind und (iii) personenbezogene Daten ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen verarbeiten. Abweichend hiervon ist eine Verarbeitung ohne Weisung des Verantwortlichen nur zul\u00e4ssig, soweit und sofern BRYTER hierzu aufgrund zwingenden Unionsrechts oder des Rechts eines Mitgliedstaates verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber die entsprechende rechtliche Verpflichtung, sofern das anwendbare Recht eine solche Information nicht untersagt. Im Hinblick auf die auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten gelten erg\u00e4nzend die Bestimmungen von Abschnitt 6 des AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.5 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;    Soweit der Verantwortliche im Rahmen der BRYTER-Software Funktionen nutzt, die auf maschinellem Lernen oder anderen Verfahren k\u00fcnstlicher Intelligenz beruhen, bleibt der Verantwortliche f\u00fcr die Rechtm\u00e4\u00dfigkeit der Eingaben sowie f\u00fcr die Pr\u00fcfung, Bewertung und Nutzung der durch diese Funktionen erzeugten Ergebnisse verantwortlich. Erg\u00e4nzend gelten f\u00fcr die Nutzung solcher KI-gest\u00fctzter Funktionen die in Abschnitt 12 (KI-Bestimmungen) des Rahmenvertrags enthaltenen Regelungen, die durch Bezugnahme Bestandteil dieses AVV werden und entsprechend Anwendung finden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Benachrichtigungspflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER informiert den Verantwortlichen unverz\u00fcglich, wenn BRYTER der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige anwendbare datenschutzrechtliche Vorschriften verst\u00f6\u00dft. BRYTER ist berechtigt, die Ausf\u00fchrung einer solchen Weisung bis zu deren Best\u00e4tigung oder Anpassung durch den Verantwortlichen auszusetzen, soweit dies zur Vermeidung eines Rechtsversto\u00dfes erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Besteht der Verantwortliche trotz eines entsprechenden Hinweises von BRYTER auf der Durchf\u00fchrung einer Weisung, stellt der Verantwortliche BRYTER von s\u00e4mtlichen Sch\u00e4den, Kosten und Aufwendungen frei, die BRYTER aus der Ausf\u00fchrung dieser Weisung entstehen. BRYTER wird den Verantwortlichen \u00fcber geltend gemachte Anspr\u00fcche Dritter unverz\u00fcglich informieren und keine solchen Anspr\u00fcche ohne vorherige Zustimmung des Verantwortlichen anerkennen. Die Verteidigung gegen solche Anspr\u00fcche erfolgt nach Wahl von BRYTER in Abstimmung mit dem Verantwortlichen oder durch den Verantwortlichen selbst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER unterst\u00fctzt den Verantwortlichen unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen bei der Erf\u00fcllung seiner Pflichten gem\u00e4\u00df Art. 33 und 34 DSGVO durch geeignete technische und organisatorische Ma\u00dfnahmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.4           Soweit die Unterst\u00fctzung nach diesem Abschnitt einen \u00fcber die vertraglich geschuldeten Umfang hinausgehenden Aufwand erfordert und dieser nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren ist, tr\u00e4gt der Verantwortliche die BRYTER hierdurch entstehenden angemessenen Kosten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Wahrung von Berufsgeheimnissen und berufsrechtlicher Verschwiegenheit<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dieser Abschnitt gilt erg\u00e4nzend, soweit der Verantwortliche berufsrechtlichen bzw. amtlichen Verschwiegenheitspflichten unterliegt, insbesondere als Rechtsanwalt oder Angeh\u00f6riger eines rechts- oder steuerberatenden Berufs gem\u00e4\u00df \u00a7\u00a7 43a, 43e BRAO oder als Notar&nbsp;gem\u00e4\u00df \u00a7 18 BNotO, sowie \u00a7 203 StGB.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Im Rahmen des Rahmenvertrags sowie der jeweils geltenden Order Form und dieses AVV kann BRYTER Zugriff auf oder Kenntnis von Daten erlangen, die berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der vorgenannten Vorschriften darstellen (\u201e<strong>Berufsgeheimnisse<\/strong>\u201c). Der Verantwortliche bleibt daf\u00fcr verantwortlich zu beurteilen, ob und in welchem Umfang die von ihm \u00fcbermittelten Daten Berufsgeheimnisse darstellen. Unbeschadet dessen behandelt BRYTER s\u00e4mtliche im Auftrag verarbeiteten Daten vorsorglich als potenziell berufsgeheimnisgesch\u00fctzt, sofern nicht eindeutig etwas anderes feststeht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verpflichtet sich, Berufsgeheimnisse streng vertraulich zu behandeln und diese ausschlie\u00dflich in dem Umfang zur Kenntnis zu nehmen oder technisch zug\u00e4nglich zu machen, der zur ordnungsgem\u00e4\u00dfen Erf\u00fcllung der vertraglichen Pflichten zwingend erforderlich ist. Als \u201eKenntnisnahme\u201c gilt dabei auch jede technische oder organisatorische Zugriffsm\u00f6glichkeit, unabh\u00e4ngig davon, ob eine tats\u00e4chliche inhaltliche Einsichtnahme durch nat\u00fcrliche Personen erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass s\u00e4mtliche Personen, die bei BRYTER mit der Verarbeitung von Berufsgeheimnissen befasst sind, wirksam zur Verschwiegenheit verpflichtet wurden und \u00fcber die sich aus diesem AVV sowie aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften ergebenden Pflichten informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; BRYTER ist berechtigt, zur Erf\u00fcllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen, soweit dies erforderlich ist. BRYTER stellt sicher, dass s\u00e4mtliche Unterauftragsverarbeiter sowie die mit der Verarbeitung von Berufsgeheimnissen befassten Personen vorab in Textform zur Wahrung der berufsrechtlichen Verschwiegenheit entsprechend diesem Abschnitt verpflichtet werden und dass diese Verpflichtung auch f\u00fcr etwaige weitere Unterauftragsverh\u00e4ltnisse fortwirkt. BRYTER stellt zudem sicher, dass die betroffenen Personen \u00fcber die sich aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften, insbesondere \u00a7 203 StGB, ergebenden Pflichten und strafrechtlichen Konsequenzen informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Die Verpflichtungen nach diesem Abschnitt bestehen zeitlich unbegrenzt fort, auch \u00fcber die Beendigung des Rahmenvertrags und dieses AVV hinaus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Soweit der Verantwortliche Berufsgeheimnistr\u00e4ger im Sinne von \u00a7 53a StPO ist, k\u00f6nnen die im Rahmen dieses AVV verarbeiteten Berufsgeheimnisse dem Zeugnisverweigerungsrecht nach \u00a7 53a StPO sowie dem Beschlagnahmeschutz, insbesondere nach \u00a7 97 Abs. 2 StPO, unterliegen. BRYTER wird im Fall einer beh\u00f6rdlichen Vernehmung oder Ma\u00dfnahme, die auf die Herausgabe solcher Informationen gerichtet ist, soweit rechtlich zul\u00e4ssig widersprechen und den Verantwortlichen unverz\u00fcglich informieren, damit dieser \u00fcber das weitere Vorgehen entscheiden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Unterauftragsverarbeiter<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER nimmt derzeit die in Anlage 1 genannten externen Unterauftragsverarbeiter in Anspruch. Der Verantwortliche erteilt hiermit explizit seine Zustimmung zur Beauftragung der in der Anlage 1 aufgef\u00fchrten externen Unterauftragsverarbeiter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ist zudem grunds\u00e4tzlich berechtigt, weitere Unterauftragsverarbeiter in Anspruch zu nehmen oder bestehende Unterauftragsverarbeiter zu ersetzen. BRYTER wird den Verantwortlichen zuvor in Textform \u00fcber die beabsichtigte \u00c4nderung informieren. Die Mitteilung erfolgt an die vom Verantwortlichen f\u00fcr Mitteilungen im Zusammenhang mit diesem AVV benannte E-Mail-Adresse. Der Verantwortliche kann BRYTER die entsprechende E-Mail-Adresse \u00fcber dieses <a href=\"https:\/\/legal-admin.bryter.io\/portal\/applications\/yKoJOqBaRZ6pfxWUW5WLhQ\" rel=\"noopener\">Portal<\/a> mitteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegen derartige \u00c4nderungen kann der Verantwortliche innerhalb von f\u00fcnfzehn (15) Werktagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund Widerspruch erheben. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Zustimmung zur beabsichtigten \u00c4nderung als erteilt. Erhebt der Verantwortliche Widerspruch und kann zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, nach eigener Wahl (i) die betroffenen Leistungen ohne Einsatz des betreffenden Unterauftragsverarbeiters zu erbringen oder (ii) den Rahmenvertrag und diesen AVV mit Wirkung zum Zeitpunkt des geplanten Einsatzes des Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  Nimmt BRYTER die Dienste eines Unterauftragsverarbeiters in Anspruch, um bestimmte Verarbeitungst\u00e4tigkeiten im Namen des Verantwortlichen auszuf\u00fchren, stellt BRYTER sicher, dass dem Unterauftragsverarbeiter im Wege eines schriftlich abzuschlie\u00dfenden Vertrags im Wesentlichen dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem Vertrag festgelegt sind. Der Vertrag kann auch elektronisch abgeschlossen werden und muss insbesondere hinreichende Garantien daf\u00fcr bieten, dass die geeigneten technischen und organisatorischen Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet BRYTER gegen\u00fcber dem Verantwortlichen f\u00fcr die Einhaltung der Pflichten des Unterauftragsverarbeiters.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER setzt f\u00fcr den Betrieb der BRYTER-Software sowie f\u00fcr die Verarbeitung personenbezogener Daten im Rahmen dieses AVV insbesondere Amazon Web Services (AWS) und Microsoft Azure als Unterauftragsverarbeiter ein. Diese Unterauftragsverarbeiter sind f\u00fcr die technische und organisatorische Bereitstellung der BRYTER-Software wesentlich und nicht ohne Weiteres austauschbar. BRYTER hat mit Amazon Web Services (AWS) sowie mit Microsoft Azure jeweils eine den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechende Vereinbarung zur Auftragsverarbeitung abgeschlossen. Die jeweiligen Vereinbarungen werden dem Verantwortlichen auf Anfrage zur Verf\u00fcgung gestellt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die Regelungen der Ziffer 7.3 finden auf den Einsatz von Amazon Web Services (AWS), Microsoft Azure sowie auf deren jeweilige Nachfolge- oder Ersatzanbieter entsprechende Anwendung, mit der Ma\u00dfgabe, dass BRYTER im Falle eines aus wichtigem datenschutzrechtlichem Grund erhobenen Widerspruchs des Verantwortlichen nicht verpflichtet ist, die betroffenen Leistungen ohne Einsatz dieser Unterauftragsverarbeiter oder unter Nutzung einer alternativen Infrastruktur zu erbringen. Kann in einem solchen Fall zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, den Rahmenvertrag und dieses AVV aus wichtigem Grund mit Wirkung zum Zeitpunkt des geplanten Einsatzes des jeweiligen Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>\u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verarbeitung personenbezogener Daten und Berufsgeheimnisse erfolgt in der Regel in Mitgliedstaaten der Europ\u00e4ischen Union oder in anderen Vertragsstaaten des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum (EWR). BRYTER ist berechtigt, personenbezogene Daten auch au\u00dferhalb der Europ\u00e4ischen Union bzw. des EWR verarbeiten zu lassen oder durch Unterauftragsverarbeiter verarbeiten zu lassen, sofern und soweit die Voraussetzungen der Art. 44 ff. DSGVO erf\u00fcllt sind oder ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Insbesondere stellt BRYTER sicher, dass bei einer \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder geeignete Garantien im Sinne von Art. 46 DSGVO bestehen, etwa durch den Abschluss von Standarddatenschutzklauseln der Europ\u00e4ischen Kommission, oder dass ein Angemessenheitsbeschluss gem\u00e4\u00df Art. 45 DSGVO vorliegt. Soweit personenbezogene Daten im Rahmen der Beauftragung von Unterauftragsverarbeitern in Drittl\u00e4ndern verarbeitet werden, stellt BRYTER sicher, dass diese Unterauftragsverarbeiter vertraglich zur Einhaltung eines der DSGVO entsprechenden Datenschutzniveaus verpflichtet sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ergreift unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung geeignete technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die personenbezogenen Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die von BRYTER implementierten technischen und organisatorischen Ma\u00dfnahmen sind in Anlage 2 zu diesem AVV n\u00e4her beschrieben und werden vor Beginn der Verarbeitung eingerichtet sowie f\u00fcr die Dauer des Rahmenvertrags aufrechterhalten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Technische und organisatorische Ma\u00dfnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. BRYTER ist berechtigt und verpflichtet, diese w\u00e4hrend der Laufzeit des Rahmenvertrags an den Stand der Technik anzupassen, sofern hierdurch das in Anlage 2 beschriebene Sicherheitsniveau nicht unterschritten wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\u00c4nderungen der technischen und organisatorischen Ma\u00dfnahmen, die sich wesentlich auf das vereinbarte Sicherheitsniveau auswirken, wird BRYTER dem Verantwortlichen in geeigneter Weise zur Kenntnis bringen; dies kann auch in elektronischer Form erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.5         Der Kunde ist daf\u00fcr verantwortlich, die Eignung der von BRYTER getroffenen technischen und organisatorischen Ma\u00dfnahmen im Hinblick auf die konkreten Umst\u00e4nde der Verarbeitung zu beurteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>L\u00f6schung und R\u00fcckgabe personenbezogener Daten nach Beendigung des Rahmenvertrags<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Beendigung des Rahmenvertrags verarbeitet BRYTER personenbezogene Daten ausschlie\u00dflich, soweit und solange dies zur Abwicklung des Vertragsverh\u00e4ltnisses oder zur Erf\u00fcllung gesetzlicher Aufbewahrungspflichten erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Wahl des Verantwortlichen wird BRYTER nach Beendigung des Rahmenvertrags s\u00e4mtliche im Auftrag verarbeiteten personenbezogenen Daten entweder datenschutzkonform l\u00f6schen oder an den Verantwortlichen zur\u00fcckgeben und vorhandene Kopien l\u00f6schen, sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht. Gesetzliche Aufbewahrungspflichten nach dem Recht der Europ\u00e4ischen Union oder eines Mitgliedstaates bleiben unber\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.3          Abweichend von Ziffer 10.2 ist BRYTER berechtigt, Sicherungskopien personenbezogener Daten f\u00fcr einen Zeitraum von bis zu 30 Tagen nach Beendigung des Rahmenvertrags aufzubewahren, sofern eine sofortige L\u00f6schung aus diesen Sicherungskopien aus technischen Gr\u00fcnden nicht m\u00f6glich ist. F\u00fcr diesen Zeitraum gelten die Regelungen dieses AVV uneingeschr\u00e4nkt fort.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Haftung<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die zwischen den Parteien im Rahmenvertrag vereinbarten Haftungsregelungen finden auf die Verarbeitung personenbezogener Daten nach diesem AVV entsprechende Anwendung, soweit zwingende datenschutzrechtliche Vorschriften dem nicht entgegenstehen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>12.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Schlussbestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Werden die vom Verantwortlichen an BRYTER \u00fcbermittelten personenbezogenen Daten w\u00e4hrend der Verarbeitung Gegenstand von Pf\u00e4ndungen, Beschlagnahmen, Insolvenz- oder Vergleichsverfahren oder sonstigen Ma\u00dfnahmen Dritter, informiert BRYTER den Verantwortlichen hier\u00fcber unverz\u00fcglich, soweit dem keine gesetzliche Verpflichtung entgegensteht. BRYTER wird in einem solchen Fall die beteiligten Stellen unverz\u00fcglich darauf hinweisen, dass die Verf\u00fcgungsbefugnis \u00fcber die betroffenen Daten ausschlie\u00dflich beim Verantwortlichen liegt, dass diese Daten dessen Verantwortungsbereich zuzuordnen sind und dass der Verantwortliche im datenschutzrechtlichen Sinne Verantwortlicher gem\u00e4\u00df Art. 4 Nr. 7 DSGVO ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit und solange berufsrechtliche Verschwiegenheitspflichten des Verantwortlichen \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO sowie \u00a7 203 StGB \u2013 betroffen sind, gelten die Regelungen dieses AVV entsprechend auch f\u00fcr Berufsgeheimnisse und sonstige vertrauliche Informationen im Sinne von Abschnitt 6 dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit Bestimmungen dieses AVV im Widerspruch zu Regelungen des Rahmenvertrags stehen, gehen die Regelungen dieses AVV den Regelungen des Rahmenvertrags vor.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.4         Im \u00dcbrigen gelten die Schlussbestimmungen des Rahmenvertrags entsprechend auch f\u00fcr diesen AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.5        Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchf\u00fchrbar sein oder werden, bleibt die Wirksamkeit der \u00fcbrigen Bestimmungen unber\u00fchrt. Die Parteien verpflichten sich, die unwirksame oder undurchf\u00fchrbare Bestimmung durch eine solche wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am n\u00e4chsten kommt.<br><\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-1\"><strong>Anlage 1<\/strong><\/h3>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><strong>&#8211;<\/strong><\/p>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-liste-der-unterauftragsverarbeiter\"><strong>Liste der Unterauftragsverarbeiter<\/strong><\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Die nachfolgend aufgef\u00fchrten Unterauftragsverarbeiter werden von BRYTER zur Erbringung der BRYTER-Software eingesetzt. Der Einsatz erfolgt ausschlie\u00dflich im Rahmen der Weisungen des Verantwortlichen und gem\u00e4\u00df den Regelungen dieses AVV.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Unterauftragsverarbeiter<\/strong><\/td><td><strong>Erbrachter Service<\/strong><\/td><td><strong>Unternehmensstandort<\/strong><\/td><td><strong>Serverstandort<\/strong><\/td><\/tr><tr><td>Amazon Web Services (AWS) EMEA SARL<\/td><td>Cloud-Infrastruktur (Hosting, Betrieb und Speicherung der BRYTER-Software)<\/td><td>8 Avenue John F. Kennedy, L-1855 Luxemburg<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>UAB ConvertAPI<\/td><td>API-basierter Konvertierungsdienst<\/td><td>Lauksargio g. 111, LT-10105 Vilnius, Litauen<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>DeepL SE<\/td><td>\u00dcbersetzungsdienst (optionales, kostenpflichtiges Add on)<\/td><td>Maarweg 165, 50825 K\u00f6ln, Deutschland<\/td><td>Deutschland und Schweden<\/td><\/tr><tr><td>DataDog Inc.<\/td><td>Monitoring und Analyse Tool (System- und Nutzungsmetriken)<\/td><td>620 8th Avenue, 45. Stock, New York, NY 10019-1741, USA<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>LDA Legal Data Analytics GmbH<\/td><td>API Schnittstelle zu Verlagsdaten von Otto Schmidt (optionales, kostenpflichtiges Add on)<\/td><td>Hochwaldstr. 26, 81377 Munich, Deutschland<\/td><td>Deutschland<\/td><\/tr><tr><td>Microsoft Azure (Microsoft Ire-land Operations Ltd)<\/td><td>Cloud-Infrastruktur und LLM-Dienst<\/td><td>One Microsoft Place, South County Business Park, Leop-ard-stown, Dublin 18, Ireland<\/td><td>EU<\/td><\/tr><tr><td>AlphaAI Technologies Inc. dba Tavily<\/td><td>API-basierte Websuche f\u00fcr BEAMON (optional)<\/td><td>33 W 60th St, New York, NY 10023, USA<\/td><td>USA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-2\"><strong>Anlage 2<\/strong><\/h4>\n\n\n\n<h5 class=\"wp-block-heading has-text-align-center\" id=\"h-technische-und-organisatorische-massnahmen\"><strong>Technische und organisatorische Ma\u00dfnahmen<\/strong><\/h5>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER trifft geeignete technische und organisatorische Ma\u00dfnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die im Auftrag verarbeiteten personenbezogenen Daten sicherzustellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ma\u00dfnahmen ber\u00fccksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umst\u00e4nde und Zwecke der Verarbeitung und werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und fortentwickelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Zutritts- und physische Zugangskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung des unbefugten physischen Zugangs zu Verarbeitungsanlagen trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Betrieb der BRYTER-Software erfolgt ausschlie\u00dflich in gesicherten Rechenzentren von Cloud-Infrastrukturanbietern, die physische Sicherheitsma\u00dfnahmen wie Zugangskontrollen, \u00dcberwachungssysteme und Zutrittsprotokollierungen einsetzen.<\/li>\n\n\n\n<li>Der physische Zugang zu den von BRYTER genutzten B\u00fcror\u00e4umen ist auf berechtigte Personen beschr\u00e4nkt.<\/li>\n\n\n\n<li>Unbefugten wird der Zutritt zu Bereichen, in denen personenbezogene Daten verarbeitet werden k\u00f6nnen, verwehrt.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong> <strong>Zugriffskontrolle (Benutzerzugriff)<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung der Nutzung von Verarbeitungssystemen durch Unbefugte setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einsatz eines zentralen Identit\u00e4ts- und Berechtigungsmanagements zur Steuerung von Benutzerzug\u00e4ngen.<\/li>\n\n\n\n<li>Vergabe von Zugriffsrechten nach einem rollenbasierten Berechtigungskonzept.<\/li>\n\n\n\n<li>Verwendung geeigneter Authentifizierungsmechanismen, einschlie\u00dflich zus\u00e4tzlicher Sicherheitsfaktoren, soweit technisch und organisatorisch angemessen.<\/li>\n\n\n\n<li>Sperrung oder Entzug von Benutzerkonten bei Inaktivit\u00e4t oder bei Beendigung des Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnisses.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Zugangsbeschr\u00e4nkung auf personenbezogene Daten<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass berechtigte Personen ausschlie\u00dflich auf die f\u00fcr sie freigegebenen personenbezogenen Daten zugreifen k\u00f6nnen, werden insbesondere folgende Ma\u00dfnahmen umgesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Trennung von System- und Anwendungsrechten sowie Beschr\u00e4nkung des Zugriffs auf personenbezogene Daten nach dem Need-to-know-Prinzip.<\/li>\n\n\n\n<li>Einsatz technischer und organisatorischer Ma\u00dfnahmen zur Verhinderung unbefugter Einsichtnahme, Ver\u00e4nderung oder L\u00f6schung personenbezogener Daten.<\/li>\n\n\n\n<li>Protokollierung relevanter Zugriffe und Verarbeitungsvorg\u00e4nge.<\/li>\n\n\n\n<li>Verschl\u00fcsselung gespeicherter personenbezogener Daten, soweit technisch und organisatorisch angemessen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Trennungskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur getrennten Verarbeitung von Daten, die f\u00fcr unterschiedliche Zwecke erhoben wurden, setzt BRYTER insbesondere folgende Ma\u00dfnahmen ein:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Logische Trennung von Mandanten-, Projekt- und Kundendaten.<\/li>\n\n\n\n<li>Trennung von Kunden-, Test- und internen Unternehmensdaten.<\/li>\n\n\n\n<li>Einsatz getrennter Systeme, Datenbanken oder Anwendungen f\u00fcr unterschiedliche Datenkategorien, soweit erforderlich.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. \u00dcbertragungs- und Weitergabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Vertraulichkeit personenbezogener Daten bei der \u00dcbertragung trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Absicherung von Daten\u00fcbertragungen durch geeignete Verschl\u00fcsselungstechnologien.<\/li>\n\n\n\n<li>Beschr\u00e4nkung externer Verbindungen auf genehmigte, kontrollierte und dokumentierte Schnittstellen.<\/li>\n\n\n\n<li>Vermeidung einer unkontrollierten lokalen Speicherung personenbezogener Daten auf Endger\u00e4ten.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. Eingabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, ver\u00e4ndert oder gel\u00f6scht wurden, werden insbesondere folgende Ma\u00dfnahmen eingesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Protokollierung relevanter Verarbeitungsvorg\u00e4nge in den eingesetzten Systemen.<\/li>\n\n\n\n<li>Nutzung personalisierter Benutzerkonten zur eindeutigen Zuordnung von Verarbeitungshandlungen.<\/li>\n\n\n\n<li>Trennung von Anwendungs- und Systemprotokollen zur Vermeidung unbefugter Manipulationen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7. Verf\u00fcgbarkeitskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Schutz personenbezogener Daten vor zuf\u00e4lliger Zerst\u00f6rung oder Verlust trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Durchf\u00fchrung regelm\u00e4\u00dfiger Datensicherungen.<\/li>\n\n\n\n<li>Vorhaltung von Wiederherstellungsverfahren und Notfallkonzepten.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Backup- und Wiederanlaufprozesse.<\/li>\n\n\n\n<li>Zeitnaher Entzug von Zugriffsrechten bei Beendigung von Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnissen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8. Belastbarkeit und Resilienz der Systeme<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Belastbarkeit und Widerstandsf\u00e4higkeit der Verarbeitungssysteme setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcberwachung der Systeme zur fr\u00fchzeitigen Erkennung von Sicherheitsereignissen.<\/li>\n\n\n\n<li>Etablierte Verfahren zum Umgang mit Sicherheitsvorf\u00e4llen (Incident Response).<\/li>\n\n\n\n<li>Einsatz geeigneter Schutzmechanismen auf Infrastruktur- und Anwendungsebene.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9. Auftragskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass personenbezogene Daten ausschlie\u00dflich nach Weisung des Verantwortlichen verarbeitet werden, werden insbesondere folgende Ma\u00dfnahmen getroffen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Festlegung und Dokumentation von Weisungsrechten im Rahmenvertrag und in diesem AVV.<\/li>\n\n\n\n<li>Vertragliche Verpflichtung von Mitarbeitenden und Unterauftragsverarbeitern auf Vertraulichkeit und Datenschutz.<\/li>\n\n\n\n<li>Kontrollierte und dokumentierte Einbindung von Unterauftragsverarbeitern.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10. Datenschutzmanagemen<\/strong>t<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Einhaltung datenschutzrechtlicher Verpflichtungen setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Betrieb eines Datenschutzmanagementsystems mit definierten Verantwortlichkeiten.<\/li>\n\n\n\n<li>F\u00fchrung von Verzeichnissen von Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Art. 30 DSGVO.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Weiterentwicklung der technischen und organisatorischen Ma\u00dfnahmen.<\/li>\n\n\n\n<li>Schulung und Sensibilisierung von Mitarbeitenden im Bereich Datenschutz und Informationssicherheit.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11. Einsatz von Cloud-Infrastruktur<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER nutzt zur Bereitstellung der BRYTER-Software Cloud-Infrastrukturen, insbesondere von Amazon Web Services (AWS) und Microsoft Azure.<br>Diese Anbieter setzen ihrerseits geeignete technische und organisatorische Ma\u00dfnahmen ein und verf\u00fcgen \u00fcber anerkannte Sicherheitszertifizierungen. BRYTER hat mit diesen Anbietern entsprechende Vereinbarungen zur Auftragsverarbeitung abgeschlossen.<\/p>\n<\/div>\n\n\n\n<div id=\"version-10.0\" class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<p class=\"wp-block-paragraph\">Auftragsverarbeitungsvertrag<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">zwischen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">dem Kunden, der in der jeweils geltenden Leistungs- bzw. Bestellvereinbarung (\u201e<strong>Order Form<\/strong>\u201c) namentlich benannt ist (nachfolgend \u201e<strong>Kunde<\/strong>\u201c oder \u201e<strong>Verantwortlicher<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">und<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">der&nbsp;<strong>BRYTER GmbH<\/strong>, Biebergasse 2, 60313 Frankfurt am Main, Deutschland (nachfolgend \u201e<strong>BRYTER<\/strong>\u201c oder \u201e<strong>Auftragsverarbeiter<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">(Kunde und BRYTER gemeinsam die \u201e<strong>Parteien<\/strong>\u201c, jeweils eine \u201e<strong>Partei<\/strong>\u201c).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zwischen dem Verantwortlichen und BRYTER besteht ein Vertrag \u00fcber die Nutzung der BRYTER-Software sowie etwaiger weiterer Dienstleistungen (\u201e<strong>Rahmenvertrag<\/strong>\u201c). Im Rahmen der Erf\u00fcllung dieses Rahmenvertrags kann der Verantwortliche personenbezogene Daten an BRYTER \u00fcbermitteln, damit diese im Auftrag des Verantwortlichen verarbeitet werden. Dieser Auftragsverarbeitungsvertrag (\u201e<strong>AVV<\/strong>\u201c) regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung solcher personenbezogener Daten gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus enth\u00e4lt der AVV in Abschnitt 6 diejenigen erg\u00e4nzenden Regelungen, die im Hinblick auf die Einhaltung berufsrechtlicher bzw. amtlicher Verschwiegenheitspflichten \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO, \u00a7\u00a7 18, 26a BNotO und \u00a7 203 StGB \u2013 erforderlich sind, sofern der Verantwortliche derartige Pflichten zu beachten hat. Soweit im Rahmen dieses AVV personenbezogene Daten verarbeitet werden, die zugleich berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der genannten Vorschriften darstellen, finden die Regelungen dieses AVV zum Schutz personenbezogener Daten erg\u00e4nzend Anwendung, soweit sie mit den berufsrechtlichen Verschwiegenheitspflichten vereinbar sind. Abschnitt 6 dieses AVV bleibt vorrangig anwendbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Allgemeine Bestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Kunde ist der Verantwortliche gem\u00e4\u00df Artikel 4 Nr. 7 der DSGVO. BRYTER ist der Auftragsverarbeiter gem\u00e4\u00df Artikel 4 Nr. 8 der DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich zur Erf\u00fcllung des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und etwaiger Pro-jekt- oder Leistungsbeschreibungen (Statements of Work), sowie auf dokumentierte Weisung des Verantwortlichen gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Rahmenvertrag und den genannten Vereinbarungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dauer und Umfang der Verarbeitung richten sich nach den Vorgaben des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und den Weisungen des Verantwortlichen, soweit in diesem AVV nichts Abweichendes bestimmt ist<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit&nbsp;in diesem AVV Begriffe verwendet werden, die in der DSGVO definiert sind, gelten die gesetzlichen Definitionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Art der personenbezogenen Daten und Kategorien betroffener Personen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die im Rahmen der BRYTER-Software verarbeiteten personenbezogenen Daten ergeben sich aus den Inhalten und Informationen, die der Verantwortliche in die BRYTER-Software eingibt oder an BRYTER \u00fcbermittelt. BRYTER hat keinen Einfluss auf die Art, den Umfang oder die Kategorien der personenbezogenen Daten, die der Verantwortliche zur Verarbeitung bereitstellt. Dementsprechend k\u00f6nnen alle Arten personenbezogener Daten verarbeitet werden, einschlie\u00dflich besonderer Kategorien personenbezogener Daten, sofern deren Verarbeitung durch den Verantwortlichen zul\u00e4ssig ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.2&nbsp; Die typischerweise im Rahmen der Nutzung der BRYTER-Software verarbeiteten personenbezogenen Daten sowie die betroffenen Personengruppen ergeben sich aus folgender \u00dcbersicht:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Art der personenbezogenen Daten<\/strong><\/td><td><strong>Kategorien der betroffenen Personen<\/strong><\/td><td><strong>Zweck der Verarbeitung<\/strong><\/td><td><strong>Verarbeitungsdauer<\/strong><\/td><\/tr><tr><td>Kontakt-\/Kundenkontodaten (z.B. Vorname, Nachname, E-Mail-Adresse, Nutzer-ID, Rol-le\/Rechte, Tenant-ID)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Nutzerverwaltung; Zugriffskontrolle<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Authentifizierungs- und Zugangskennungen (z.B. Passwort-Hash, Login-Credentials)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Zugriffskontrolle<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Netzwerk-\/Ger\u00e4tekennungen und Sicherheits-daten (z.B. IP-Adresse, Session-IDs, Zeitstempel, Ger\u00e4te-\/Browser-Kennungen, Leis-tungsmetriken, Logdateien und Audit-Trails)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit; Service-Monitoring; Fehleranalyse; Audit-Logging; Compliance<\/td><td>F\u00fcr Sicherheits-\/Audit-Logs bis zu 90 Tage, so-weit einschl\u00e4gig; im \u00dcbri-gen bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Vom Kunden bereitgestellte Inhalte und abge-leitete Inhalte (z.B. hochgeladene Dokumen-te\/Dateien, Frei-texte, Formula-re\/Workflows, extrahierte Felder, KI-Input\/Output, soweit personen-bezogen)<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<br>\u00b7&nbsp;&nbsp;      Weitere im Kundeninhalt identifizierbare betroffene Personen (z.B. Mitarbeiter des Kunden, die keine Endnutzer sind, Gesch\u00e4ftspartner, Mandanten des Kunden)<\/td><td>Bereitstellung der BRYTER-Software und ggf. KI-gest\u00fctzter Funktionen auf dokumentierte Weisung des Verantwortlichen; Speicherung, Anzeige, Trans-formation und \u00dcbermittlung gem\u00e4\u00df Funktionsumfang der Software<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags und L\u00f6schung\/R\u00fcckgabe gem\u00e4\u00df Abschnitt 10 AVV<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">2.3.          Die Kategorien betroffener Personen h\u00e4ngen von den jeweiligen Daten ab, die der Verantwortliche \u00fcbermittelt. Betroffen sein k\u00f6nnen insbesondere autorisierte Nutzer des Verantwortlichen sowie weitere Personen, deren Daten der Verantwortliche in die BRYTER-Software eingebracht hat (z. B. Kunden, Mitarbeiter, Gesch\u00e4ftspartner oder sonstige Dritte).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Rechte und Pflichten des Verantwortlichen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist allein daf\u00fcr verantwortlich, dass die Verarbeitung personenbezogener Daten nach Ma\u00dfgabe dieses AVV, des Rahmenvertrags sowie der jeweils geltenden Order Form rechtm\u00e4\u00dfig erfolgt. Dies umfasst insbesondere die Pr\u00fcfung und Sicherstellung der datenschutzrechtlichen Zul\u00e4ssigkeit der Verarbeitung, einschlie\u00dflich der Einhaltung der Voraussetzungen der Art. 6 und \u2013 sofern einschl\u00e4gig \u2013 Art. 9 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden, stellt der Verantwortliche sicher, dass hierf\u00fcr eine einschl\u00e4gige Rechtsgrundlage gem\u00e4\u00df Art. 9 Abs. 2 DSGVO besteht und geeignete Schutzma\u00dfnahmen ergriffen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit im Rahmenvertrag nichts Abweichendes geregelt ist, ist der Verantwortliche f\u00fcr die Bearbeitung von Anfragen betroffener Personen nach Art. 12 bis 22 DSGVO zust\u00e4ndig. BRYTER wird Anfragen betroffener Personen, die erkennbar an den Verantwortlichen gerichtet sind, unverz\u00fcglich an diesen weiterleiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Rahmenvertrag sowie die jeweils geltenden Order Form einschlie\u00dflich dieses AVV sowie die vertragsgem\u00e4\u00dfe Nutzung der BRYTER-Software gelten als die vollst\u00e4ndigen dokumentierten Weisungen des Verantwortlichen im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Der Verantwortliche ist berechtigt, BRYTER erg\u00e4nzende Weisungen zu erteilen, soweit diese zur Einhaltung datenschutzrechtlicher Vorgaben erforderlich sind und den Regelungen des Rahmenvertrags sowie dieses AVV nicht widersprechen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Weisungen des Verantwortlichen bed\u00fcrfen der Textform oder einer dokumentierten elektronischen Form. M\u00fcndliche Weisungen sind unverz\u00fcglich in Textform oder dokumentierter elektronischer Form zu best\u00e4tigen. \u00c4nderungen des Gegenstands oder der Modalit\u00e4ten der Verarbeitung sind zwischen den Parteien abzustimmen und entsprechend zu dokumentieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen von BRYTER nach Ma\u00dfgabe der geltenden Datenschutzgesetze und dieses AVV zu \u00fcberpr\u00fcfen oder durch einen zur Vertraulichkeit verpflichteten und fachlich geeigneten Dritten \u00fcberpr\u00fcfen zu lassen. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen zur Verf\u00fcgung und unterst\u00fctzt Pr\u00fcfungen nach Ma\u00dfgabe dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pr\u00fcfungen und Inspektionen sind so durchzuf\u00fchren, dass sie den Gesch\u00e4ftsbetrieb von BRYTER nicht unangemessen beeintr\u00e4chtigen. Vor-Ort-Pr\u00fcfungen finden \u2013 vorbehaltlich eines berechtigten Anlasses \u2013 h\u00f6chstens einmal pro Kalenderjahr, w\u00e4hrend der \u00fcblichen Gesch\u00e4ftszeiten und nach vorheriger Abstimmung statt. BRYTER ist berechtigt, Pr\u00fcfer abzulehnen, die Wettbewerber von BRYTER sind, nicht \u00fcber die erforderliche Fachkunde verf\u00fcgen oder nicht unabh\u00e4ngig sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Ein wesentlicher Teil der Verarbeitung personenbezogener Daten erfolgt unter Einsatz von Cloud-Infrastrukturen, insbesondere durch Amazon Web Services und Microsoft Azure. Vor-Ort-Pr\u00fcfungen in den Gesch\u00e4ftsr\u00e4umen von BRYTER sind daher nur eingeschr\u00e4nkt geeignet, die Einhaltung der datenschutzrechtlichen Anforderungen zu \u00fcberpr\u00fcfen. Auf Verlangen des Verantwortlichen wird BRYTER Pr\u00fcfungen bei Unterauftragsverarbeitern im Rahmen der jeweils bestehenden Auftragsverarbeitungsvertr\u00e4ge sowie der geltenden datenschutzrechtlichen Vorgaben veranlassen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.9          Der Verantwortliche unterrichtet BRYTER unverz\u00fcglich, wenn er im Rahmen von Pr\u00fcfungen oder auf sonstige Weise M\u00e4ngel oder Unregelm\u00e4\u00dfigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten feststellt oder datenschutzrechtliche Beanstandungen erhebt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.10        Der Verantwortliche tr\u00e4gt die angemessenen und nachweislich entstandenen Kosten, die BRYTER im Zusammenhang mit Pr\u00fcfungen oder Vor-Ort-Inspektionen nach dieser Ziffer entstehen, soweit diese nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Pflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich im Rahmen des Rahmenvertrags und dieses AVV sowie ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen, sofern BRYTER nicht aufgrund zwingender unionsrechtlicher oder mitgliedstaatlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht aus Gr\u00fcnden eines wichtigen \u00f6ffentlichen Interesses untersagt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung unterst\u00fctzt BRYTER den Verantwortlichen durch geeignete technische und organisatorische Ma\u00dfnahmen dabei, seinen Verpflichtungen zur Wahrung der Rechte betroffener Personen gem\u00e4\u00df Art. 12 bis 22 DSGVO nachzukommen, soweit dies BRYTER m\u00f6glich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen unterst\u00fctzt BRYTER den Verantwortlichen bei der Einhaltung seiner Pflichten gem\u00e4\u00df Art. 32 DSGVO sowie \u2013 soweit erforderlich \u2013 bei der Durchf\u00fchrung einer Datenschutz-Folgenabsch\u00e4tzung und einer etwaigen vorherigen Konsultation gem\u00e4\u00df Art. 35 und 36 DSGVO. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen unverz\u00fcglich zur Verf\u00fcgung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass alle Personen, die unter seiner Verantwortung personenbezogene Daten des Verantwortlichen verarbeiten, (i) einer angemessenen vertraglichen oder gesetzlichen Verschwiegenheitspflicht unterliegen, (ii) \u00fcber die einschl\u00e4gigen datenschutzrechtlichen Pflichten nach diesem AVV informiert sind und (iii) personenbezogene Daten ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen verarbeiten. Abweichend hiervon ist eine Verarbeitung ohne Weisung des Verantwortlichen nur zul\u00e4ssig, soweit und sofern BRYTER hierzu aufgrund zwingenden Unionsrechts oder des Rechts eines Mitgliedstaates verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber die entsprechende rechtliche Verpflichtung, sofern das anwendbare Recht eine solche Information nicht untersagt. Im Hinblick auf die auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten gelten erg\u00e4nzend die Bestimmungen von Abschnitt 6 des AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.5 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;    Soweit der Verantwortliche im Rahmen der BRYTER-Software Funktionen nutzt, die auf maschinellem Lernen oder anderen Verfahren k\u00fcnstlicher Intelligenz beruhen, bleibt der Verantwortliche f\u00fcr die Rechtm\u00e4\u00dfigkeit der Eingaben sowie f\u00fcr die Pr\u00fcfung, Bewertung und Nutzung der durch diese Funktionen erzeugten Ergebnisse verantwortlich. Erg\u00e4nzend gelten f\u00fcr die Nutzung solcher KI-gest\u00fctzter Funktionen die in Abschnitt 12 (KI-Bestimmungen) des Rahmenvertrags enthaltenen Regelungen, die durch Bezugnahme Bestandteil dieses AVV werden und entsprechend Anwendung finden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Benachrichtigungspflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER informiert den Verantwortlichen unverz\u00fcglich, wenn BRYTER der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige anwendbare datenschutzrechtliche Vorschriften verst\u00f6\u00dft. BRYTER ist berechtigt, die Ausf\u00fchrung einer solchen Weisung bis zu deren Best\u00e4tigung oder Anpassung durch den Verantwortlichen auszusetzen, soweit dies zur Vermeidung eines Rechtsversto\u00dfes erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Besteht der Verantwortliche trotz eines entsprechenden Hinweises von BRYTER auf der Durchf\u00fchrung einer Weisung, stellt der Verantwortliche BRYTER von s\u00e4mtlichen Sch\u00e4den, Kosten und Aufwendungen frei, die BRYTER aus der Ausf\u00fchrung dieser Weisung entstehen. BRYTER wird den Verantwortlichen \u00fcber geltend gemachte Anspr\u00fcche Dritter unverz\u00fcglich informieren und keine solchen Anspr\u00fcche ohne vorherige Zustimmung des Verantwortlichen anerkennen. Die Verteidigung gegen solche Anspr\u00fcche erfolgt nach Wahl von BRYTER in Abstimmung mit dem Verantwortlichen oder durch den Verantwortlichen selbst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER unterst\u00fctzt den Verantwortlichen unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen bei der Erf\u00fcllung seiner Pflichten gem\u00e4\u00df Art. 33 und 34 DSGVO durch geeignete technische und organisatorische Ma\u00dfnahmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.4           Soweit die Unterst\u00fctzung nach diesem Abschnitt einen \u00fcber die vertraglich geschuldeten Umfang hinausgehenden Aufwand erfordert und dieser nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren ist, tr\u00e4gt der Verantwortliche die BRYTER hierdurch entstehenden angemessenen Kosten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Wahrung von Berufsgeheimnissen und berufsrechtlicher Verschwiegenheit<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dieser Abschnitt gilt erg\u00e4nzend, soweit der Verantwortliche berufsrechtlichen bzw. amtlichen Verschwiegenheitspflichten unterliegt, insbesondere als Rechtsanwalt oder Angeh\u00f6riger eines rechts- oder steuerberatenden Berufs gem\u00e4\u00df \u00a7\u00a7 43a, 43e BRAO oder als Notar&nbsp;gem\u00e4\u00df \u00a7 18 BNotO, sowie \u00a7 203 StGB.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Im Rahmen des Rahmenvertrags sowie der jeweils geltenden Order Form und dieses AVV kann BRYTER Zugriff auf oder Kenntnis von Daten erlangen, die berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der vorgenannten Vorschriften darstellen (\u201e<strong>Berufsgeheimnisse<\/strong>\u201c). Der Verantwortliche bleibt daf\u00fcr verantwortlich zu beurteilen, ob und in welchem Umfang die von ihm \u00fcbermittelten Daten Berufsgeheimnisse darstellen. Unbeschadet dessen behandelt BRYTER s\u00e4mtliche im Auftrag verarbeiteten Daten vorsorglich als potenziell berufsgeheimnisgesch\u00fctzt, sofern nicht eindeutig etwas anderes feststeht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verpflichtet sich, Berufsgeheimnisse streng vertraulich zu behandeln und diese ausschlie\u00dflich in dem Umfang zur Kenntnis zu nehmen oder technisch zug\u00e4nglich zu machen, der zur ordnungsgem\u00e4\u00dfen Erf\u00fcllung der vertraglichen Pflichten zwingend erforderlich ist. Als \u201eKenntnisnahme\u201c gilt dabei auch jede technische oder organisatorische Zugriffsm\u00f6glichkeit, unabh\u00e4ngig davon, ob eine tats\u00e4chliche inhaltliche Einsichtnahme durch nat\u00fcrliche Personen erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass s\u00e4mtliche Personen, die bei BRYTER mit der Verarbeitung von Berufsgeheimnissen befasst sind, wirksam zur Verschwiegenheit verpflichtet wurden und \u00fcber die sich aus diesem AVV sowie aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften ergebenden Pflichten informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; BRYTER ist berechtigt, zur Erf\u00fcllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen, soweit dies erforderlich ist. BRYTER stellt sicher, dass s\u00e4mtliche Unterauftragsverarbeiter sowie die mit der Verarbeitung von Berufsgeheimnissen befassten Personen vorab in Textform zur Wahrung der berufsrechtlichen Verschwiegenheit entsprechend diesem Abschnitt verpflichtet werden und dass diese Verpflichtung auch f\u00fcr etwaige weitere Unterauftragsverh\u00e4ltnisse fortwirkt. BRYTER stellt zudem sicher, dass die betroffenen Personen \u00fcber die sich aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften, insbesondere \u00a7 203 StGB, ergebenden Pflichten und strafrechtlichen Konsequenzen informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Die Verpflichtungen nach diesem Abschnitt bestehen zeitlich unbegrenzt fort, auch \u00fcber die Beendigung des Rahmenvertrags und dieses AVV hinaus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Soweit der Verantwortliche Berufsgeheimnistr\u00e4ger im Sinne von \u00a7 53a StPO ist, k\u00f6nnen die im Rahmen dieses AVV verarbeiteten Berufsgeheimnisse dem Zeugnisverweigerungsrecht nach \u00a7 53a StPO sowie dem Beschlagnahmeschutz, insbesondere nach \u00a7 97 Abs. 2 StPO, unterliegen. BRYTER wird im Fall einer beh\u00f6rdlichen Vernehmung oder Ma\u00dfnahme, die auf die Herausgabe solcher Informationen gerichtet ist, soweit rechtlich zul\u00e4ssig widersprechen und den Verantwortlichen unverz\u00fcglich informieren, damit dieser \u00fcber das weitere Vorgehen entscheiden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Unterauftragsverarbeiter<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER nimmt derzeit die in Anlage 1 genannten externen Unterauftragsverarbeiter in Anspruch. Der Verantwortliche erteilt hiermit explizit seine Zustimmung zur Beauftragung der in der Anlage 1 aufgef\u00fchrten externen Unterauftragsverarbeiter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ist zudem grunds\u00e4tzlich berechtigt, weitere Unterauftragsverarbeiter in Anspruch zu nehmen oder bestehende Unterauftragsverarbeiter zu ersetzen. BRYTER wird den Verantwortlichen zuvor in Textform \u00fcber die beabsichtigte \u00c4nderung informieren. Die Mitteilung erfolgt an die vom Verantwortlichen f\u00fcr Mitteilungen im Zusammenhang mit diesem AVV benannte E-Mail-Adresse. Der Verantwortliche kann BRYTER die entsprechende E-Mail-Adresse \u00fcber dieses <a href=\"https:\/\/legal-admin.bryter.io\/portal\/applications\/yKoJOqBaRZ6pfxWUW5WLhQ\" rel=\"noopener\">Portal<\/a> mitteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegen derartige \u00c4nderungen kann der Verantwortliche innerhalb von f\u00fcnfzehn (15) Werktagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund Widerspruch erheben. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Zustimmung zur beabsichtigten \u00c4nderung als erteilt. Erhebt der Verantwortliche Widerspruch und kann zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, nach eigener Wahl (i) die betroffenen Leistungen ohne Einsatz des betreffenden Unterauftragsverarbeiters zu erbringen oder (ii) den Rahmenvertrag und diesen AVV mit Wirkung zum Zeitpunkt des geplanten Einsatzes des Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  Nimmt BRYTER die Dienste eines Unterauftragsverarbeiters in Anspruch, um bestimmte Verarbeitungst\u00e4tigkeiten im Namen des Verantwortlichen auszuf\u00fchren, stellt BRYTER sicher, dass dem Unterauftragsverarbeiter im Wege eines schriftlich abzuschlie\u00dfenden Vertrags im Wesentlichen dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem Vertrag festgelegt sind. Der Vertrag kann auch elektronisch abgeschlossen werden und muss insbesondere hinreichende Garantien daf\u00fcr bieten, dass die geeigneten technischen und organisatorischen Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet BRYTER gegen\u00fcber dem Verantwortlichen f\u00fcr die Einhaltung der Pflichten des Unterauftragsverarbeiters.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER setzt f\u00fcr den Betrieb der BRYTER-Software sowie f\u00fcr die Verarbeitung personenbezogener Daten im Rahmen dieses AVV insbesondere Amazon Web Services (AWS) und Microsoft Azure als Unterauftragsverarbeiter ein. Diese Unterauftragsverarbeiter sind f\u00fcr die technische und organisatorische Bereitstellung der BRYTER-Software wesentlich und nicht ohne Weiteres austauschbar. BRYTER hat mit Amazon Web Services (AWS) sowie mit Microsoft Azure jeweils eine den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechende Vereinbarung zur Auftragsverarbeitung abgeschlossen. Die jeweiligen Vereinbarungen werden dem Verantwortlichen auf Anfrage zur Verf\u00fcgung gestellt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die Regelungen der Ziffer 7.3 finden auf den Einsatz von Amazon Web Services (AWS), Microsoft Azure sowie auf deren jeweilige Nachfolge- oder Ersatzanbieter entsprechende Anwendung, mit der Ma\u00dfgabe, dass BRYTER im Falle eines aus wichtigem datenschutzrechtlichem Grund erhobenen Widerspruchs des Verantwortlichen nicht verpflichtet ist, die betroffenen Leistungen ohne Einsatz dieser Unterauftragsverarbeiter oder unter Nutzung einer alternativen Infrastruktur zu erbringen. Kann in einem solchen Fall zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, den Rahmenvertrag und dieses AVV aus wichtigem Grund mit Wirkung zum Zeitpunkt des geplanten Einsatzes des jeweiligen Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>\u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verarbeitung personenbezogener Daten und Berufsgeheimnisse erfolgt in der Regel in Mitgliedstaaten der Europ\u00e4ischen Union oder in anderen Vertragsstaaten des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum (EWR). BRYTER ist berechtigt, personenbezogene Daten auch au\u00dferhalb der Europ\u00e4ischen Union bzw. des EWR verarbeiten zu lassen oder durch Unterauftragsverarbeiter verarbeiten zu lassen, sofern und soweit die Voraussetzungen der Art. 44 ff. DSGVO erf\u00fcllt sind oder ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Insbesondere stellt BRYTER sicher, dass bei einer \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder geeignete Garantien im Sinne von Art. 46 DSGVO bestehen, etwa durch den Abschluss von Standarddatenschutzklauseln der Europ\u00e4ischen Kommission, oder dass ein Angemessenheitsbeschluss gem\u00e4\u00df Art. 45 DSGVO vorliegt. Soweit personenbezogene Daten im Rahmen der Beauftragung von Unterauftragsverarbeitern in Drittl\u00e4ndern verarbeitet werden, stellt BRYTER sicher, dass diese Unterauftragsverarbeiter vertraglich zur Einhaltung eines der DSGVO entsprechenden Datenschutzniveaus verpflichtet sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ergreift unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung geeignete technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die personenbezogenen Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die von BRYTER implementierten technischen und organisatorischen Ma\u00dfnahmen sind in Anlage 2 zu diesem AVV n\u00e4her beschrieben und werden vor Beginn der Verarbeitung eingerichtet sowie f\u00fcr die Dauer des Rahmenvertrags aufrechterhalten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Technische und organisatorische Ma\u00dfnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. BRYTER ist berechtigt und verpflichtet, diese w\u00e4hrend der Laufzeit des Rahmenvertrags an den Stand der Technik anzupassen, sofern hierdurch das in Anlage 2 beschriebene Sicherheitsniveau nicht unterschritten wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\u00c4nderungen der technischen und organisatorischen Ma\u00dfnahmen, die sich wesentlich auf das vereinbarte Sicherheitsniveau auswirken, wird BRYTER dem Verantwortlichen in geeigneter Weise zur Kenntnis bringen; dies kann auch in elektronischer Form erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.5         Der Kunde ist daf\u00fcr verantwortlich, die Eignung der von BRYTER getroffenen technischen und organisatorischen Ma\u00dfnahmen im Hinblick auf die konkreten Umst\u00e4nde der Verarbeitung zu beurteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>L\u00f6schung und R\u00fcckgabe personenbezogener Daten nach Beendigung des Rahmenvertrags<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Beendigung des Rahmenvertrags verarbeitet BRYTER personenbezogene Daten ausschlie\u00dflich, soweit und solange dies zur Abwicklung des Vertragsverh\u00e4ltnisses oder zur Erf\u00fcllung gesetzlicher Aufbewahrungspflichten erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Wahl des Verantwortlichen wird BRYTER nach Beendigung des Rahmenvertrags s\u00e4mtliche im Auftrag verarbeiteten personenbezogenen Daten entweder datenschutzkonform l\u00f6schen oder an den Verantwortlichen zur\u00fcckgeben und vorhandene Kopien l\u00f6schen, sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht. Gesetzliche Aufbewahrungspflichten nach dem Recht der Europ\u00e4ischen Union oder eines Mitgliedstaates bleiben unber\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.3          Abweichend von Ziffer 10.2 ist BRYTER berechtigt, Sicherungskopien personenbezogener Daten f\u00fcr einen Zeitraum von bis zu 30 Tagen nach Beendigung des Rahmenvertrags aufzubewahren, sofern eine sofortige L\u00f6schung aus diesen Sicherungskopien aus technischen Gr\u00fcnden nicht m\u00f6glich ist. F\u00fcr diesen Zeitraum gelten die Regelungen dieses AVV uneingeschr\u00e4nkt fort.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Haftung<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die zwischen den Parteien im Rahmenvertrag vereinbarten Haftungsregelungen finden auf die Verarbeitung personenbezogener Daten nach diesem AVV entsprechende Anwendung, soweit zwingende datenschutzrechtliche Vorschriften dem nicht entgegenstehen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>12.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Schlussbestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Werden die vom Verantwortlichen an BRYTER \u00fcbermittelten personenbezogenen Daten w\u00e4hrend der Verarbeitung Gegenstand von Pf\u00e4ndungen, Beschlagnahmen, Insolvenz- oder Vergleichsverfahren oder sonstigen Ma\u00dfnahmen Dritter, informiert BRYTER den Verantwortlichen hier\u00fcber unverz\u00fcglich, soweit dem keine gesetzliche Verpflichtung entgegensteht. BRYTER wird in einem solchen Fall die beteiligten Stellen unverz\u00fcglich darauf hinweisen, dass die Verf\u00fcgungsbefugnis \u00fcber die betroffenen Daten ausschlie\u00dflich beim Verantwortlichen liegt, dass diese Daten dessen Verantwortungsbereich zuzuordnen sind und dass der Verantwortliche im datenschutzrechtlichen Sinne Verantwortlicher gem\u00e4\u00df Art. 4 Nr. 7 DSGVO ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit und solange berufsrechtliche Verschwiegenheitspflichten des Verantwortlichen \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO sowie \u00a7 203 StGB \u2013 betroffen sind, gelten die Regelungen dieses AVV entsprechend auch f\u00fcr Berufsgeheimnisse und sonstige vertrauliche Informationen im Sinne von Abschnitt 6 dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit Bestimmungen dieses AVV im Widerspruch zu Regelungen des Rahmenvertrags stehen, gehen die Regelungen dieses AVV den Regelungen des Rahmenvertrags vor.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.4         Im \u00dcbrigen gelten die Schlussbestimmungen des Rahmenvertrags entsprechend auch f\u00fcr diesen AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.5        Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchf\u00fchrbar sein oder werden, bleibt die Wirksamkeit der \u00fcbrigen Bestimmungen unber\u00fchrt. Die Parteien verpflichten sich, die unwirksame oder undurchf\u00fchrbare Bestimmung durch eine solche wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am n\u00e4chsten kommt.<br><\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-1-0\"><strong>Anlage 1<\/strong><\/h3>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><strong>&#8211;<\/strong><\/p>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-liste-der-unterauftragsverarbeiter-0\"><strong>Liste der Unterauftragsverarbeiter<\/strong><\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Die nachfolgend aufgef\u00fchrten Unterauftragsverarbeiter werden von BRYTER zur Erbringung der BRYTER-Software eingesetzt. Der Einsatz erfolgt ausschlie\u00dflich im Rahmen der Weisungen des Verantwortlichen und gem\u00e4\u00df den Regelungen dieses AVV.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Unterauftragsverarbeiter<\/strong><\/td><td><strong>Erbrachter Service<\/strong><\/td><td><strong>Unternehmensstandort<\/strong><\/td><td><strong>Serverstandort<\/strong><\/td><\/tr><tr><td>Amazon Web Services (AWS) EMEA SARL<\/td><td>Cloud-Infrastruktur (Hosting, Betrieb und Speicherung der BRYTER-Software)<\/td><td>8 Avenue John F. Kennedy, L-1855 Luxemburg<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>UAB ConvertAPI<\/td><td>API-basierter Konvertierungsdienst<\/td><td>Lauksargio g. 111, LT-10105 Vilnius, Litauen<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>DeepL SE<\/td><td>\u00dcbersetzungsdienst (optionales, kostenpflichtiges Add on)<\/td><td>Maarweg 165, 50825 K\u00f6ln, Deutschland<\/td><td>Deutschland und Schweden<\/td><\/tr><tr><td>DataDog Inc.<\/td><td>Monitoring und Analyse Tool (System- und Nutzungsmetriken)<\/td><td>620 8th Avenue, 45. Stock, New York, NY 10019-1741, USA<\/td><td>Frankfurt am Main (Deutschland)<\/td><\/tr><tr><td>LDA Legal Data Analytics GmbH<\/td><td>API Schnittstelle zu Verlagsdaten von Otto Schmidt (optionales, kostenpflichtiges Add on)<\/td><td>Hochwaldstr. 26, 81377 Munich, Deutschland<\/td><td>Deutschland<\/td><\/tr><tr><td>Microsoft Azure<\/td><td>Cloud-Infrastruktur und LLM-Dienst<\/td><td>Takeda Ireland Ltd (Grange Castle), New Nangor Road, Grange, Dublin 22, Ireland<\/td><td>EU<\/td><\/tr><tr><td>AlphaAI Technologies Inc. dba Tavily<\/td><td>API-basierte Websuche f\u00fcr BEAMON (optional)<\/td><td>33 W 60th St, New York, NY 10023, USA<\/td><td>USA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-2-0\"><strong>Anlage 2<\/strong><\/h4>\n\n\n\n<h5 class=\"wp-block-heading has-text-align-center\" id=\"h-technische-und-organisatorische-massnahmen-0\"><strong>Technische und organisatorische Ma\u00dfnahmen<\/strong><\/h5>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER trifft geeignete technische und organisatorische Ma\u00dfnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die im Auftrag verarbeiteten personenbezogenen Daten sicherzustellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ma\u00dfnahmen ber\u00fccksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umst\u00e4nde und Zwecke der Verarbeitung und werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und fortentwickelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Zutritts- und physische Zugangskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung des unbefugten physischen Zugangs zu Verarbeitungsanlagen trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Betrieb der BRYTER-Software erfolgt ausschlie\u00dflich in gesicherten Rechenzentren von Cloud-Infrastrukturanbietern, die physische Sicherheitsma\u00dfnahmen wie Zugangskontrollen, \u00dcberwachungssysteme und Zutrittsprotokollierungen einsetzen.<\/li>\n\n\n\n<li>Der physische Zugang zu den von BRYTER genutzten B\u00fcror\u00e4umen ist auf berechtigte Personen beschr\u00e4nkt.<\/li>\n\n\n\n<li>Unbefugten wird der Zutritt zu Bereichen, in denen personenbezogene Daten verarbeitet werden k\u00f6nnen, verwehrt.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong> <strong>Zugriffskontrolle (Benutzerzugriff)<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung der Nutzung von Verarbeitungssystemen durch Unbefugte setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einsatz eines zentralen Identit\u00e4ts- und Berechtigungsmanagements zur Steuerung von Benutzerzug\u00e4ngen.<\/li>\n\n\n\n<li>Vergabe von Zugriffsrechten nach einem rollenbasierten Berechtigungskonzept.<\/li>\n\n\n\n<li>Verwendung geeigneter Authentifizierungsmechanismen, einschlie\u00dflich zus\u00e4tzlicher Sicherheitsfaktoren, soweit technisch und organisatorisch angemessen.<\/li>\n\n\n\n<li>Sperrung oder Entzug von Benutzerkonten bei Inaktivit\u00e4t oder bei Beendigung des Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnisses.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Zugangsbeschr\u00e4nkung auf personenbezogene Daten<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass berechtigte Personen ausschlie\u00dflich auf die f\u00fcr sie freigegebenen personenbezogenen Daten zugreifen k\u00f6nnen, werden insbesondere folgende Ma\u00dfnahmen umgesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Trennung von System- und Anwendungsrechten sowie Beschr\u00e4nkung des Zugriffs auf personenbezogene Daten nach dem Need-to-know-Prinzip.<\/li>\n\n\n\n<li>Einsatz technischer und organisatorischer Ma\u00dfnahmen zur Verhinderung unbefugter Einsichtnahme, Ver\u00e4nderung oder L\u00f6schung personenbezogener Daten.<\/li>\n\n\n\n<li>Protokollierung relevanter Zugriffe und Verarbeitungsvorg\u00e4nge.<\/li>\n\n\n\n<li>Verschl\u00fcsselung gespeicherter personenbezogener Daten, soweit technisch und organisatorisch angemessen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Trennungskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur getrennten Verarbeitung von Daten, die f\u00fcr unterschiedliche Zwecke erhoben wurden, setzt BRYTER insbesondere folgende Ma\u00dfnahmen ein:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Logische Trennung von Mandanten-, Projekt- und Kundendaten.<\/li>\n\n\n\n<li>Trennung von Kunden-, Test- und internen Unternehmensdaten.<\/li>\n\n\n\n<li>Einsatz getrennter Systeme, Datenbanken oder Anwendungen f\u00fcr unterschiedliche Datenkategorien, soweit erforderlich.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. \u00dcbertragungs- und Weitergabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Vertraulichkeit personenbezogener Daten bei der \u00dcbertragung trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Absicherung von Daten\u00fcbertragungen durch geeignete Verschl\u00fcsselungstechnologien.<\/li>\n\n\n\n<li>Beschr\u00e4nkung externer Verbindungen auf genehmigte, kontrollierte und dokumentierte Schnittstellen.<\/li>\n\n\n\n<li>Vermeidung einer unkontrollierten lokalen Speicherung personenbezogener Daten auf Endger\u00e4ten.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. Eingabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, ver\u00e4ndert oder gel\u00f6scht wurden, werden insbesondere folgende Ma\u00dfnahmen eingesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Protokollierung relevanter Verarbeitungsvorg\u00e4nge in den eingesetzten Systemen.<\/li>\n\n\n\n<li>Nutzung personalisierter Benutzerkonten zur eindeutigen Zuordnung von Verarbeitungshandlungen.<\/li>\n\n\n\n<li>Trennung von Anwendungs- und Systemprotokollen zur Vermeidung unbefugter Manipulationen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7. Verf\u00fcgbarkeitskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Schutz personenbezogener Daten vor zuf\u00e4lliger Zerst\u00f6rung oder Verlust trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Durchf\u00fchrung regelm\u00e4\u00dfiger Datensicherungen.<\/li>\n\n\n\n<li>Vorhaltung von Wiederherstellungsverfahren und Notfallkonzepten.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Backup- und Wiederanlaufprozesse.<\/li>\n\n\n\n<li>Zeitnaher Entzug von Zugriffsrechten bei Beendigung von Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnissen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8. Belastbarkeit und Resilienz der Systeme<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Belastbarkeit und Widerstandsf\u00e4higkeit der Verarbeitungssysteme setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcberwachung der Systeme zur fr\u00fchzeitigen Erkennung von Sicherheitsereignissen.<\/li>\n\n\n\n<li>Etablierte Verfahren zum Umgang mit Sicherheitsvorf\u00e4llen (Incident Response).<\/li>\n\n\n\n<li>Einsatz geeigneter Schutzmechanismen auf Infrastruktur- und Anwendungsebene.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9. Auftragskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass personenbezogene Daten ausschlie\u00dflich nach Weisung des Verantwortlichen verarbeitet werden, werden insbesondere folgende Ma\u00dfnahmen getroffen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Festlegung und Dokumentation von Weisungsrechten im Rahmenvertrag und in diesem AVV.<\/li>\n\n\n\n<li>Vertragliche Verpflichtung von Mitarbeitenden und Unterauftragsverarbeitern auf Vertraulichkeit und Datenschutz.<\/li>\n\n\n\n<li>Kontrollierte und dokumentierte Einbindung von Unterauftragsverarbeitern.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10. Datenschutzmanagemen<\/strong>t<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Einhaltung datenschutzrechtlicher Verpflichtungen setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Betrieb eines Datenschutzmanagementsystems mit definierten Verantwortlichkeiten.<\/li>\n\n\n\n<li>F\u00fchrung von Verzeichnissen von Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Art. 30 DSGVO.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Weiterentwicklung der technischen und organisatorischen Ma\u00dfnahmen.<\/li>\n\n\n\n<li>Schulung und Sensibilisierung von Mitarbeitenden im Bereich Datenschutz und Informationssicherheit.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11. Einsatz von Cloud-Infrastruktur<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER nutzt zur Bereitstellung der BRYTER-Software Cloud-Infrastrukturen, insbesondere von Amazon Web Services (AWS) und Microsoft Azure.<br>Diese Anbieter setzen ihrerseits geeignete technische und organisatorische Ma\u00dfnahmen ein und verf\u00fcgen \u00fcber anerkannte Sicherheitszertifizierungen. BRYTER hat mit diesen Anbietern entsprechende Vereinbarungen zur Auftragsverarbeitung abgeschlossen.<\/p>\n<\/div>\n\n\n\n<div id=\"version-9.0\" class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<p class=\"wp-block-paragraph\">Auftragsverarbeitungsvertrag<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">zwischen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">dem Kunden, der in der jeweils geltenden Leistungs- bzw. Bestellvereinbarung (\u201e<strong>Order Form<\/strong>\u201c) namentlich benannt ist (nachfolgend \u201e<strong>Kunde<\/strong>\u201c oder \u201e<strong>Verantwortlicher<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">und<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">der&nbsp;<strong>BRYTER GmbH<\/strong>, Biebergasse 2, 60313 Frankfurt am Main, Deutschland (nachfolgend \u201e<strong>BRYTER<\/strong>\u201c oder \u201e<strong>Auftragsverarbeiter<\/strong>\u201c)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">(Kunde und BRYTER gemeinsam die \u201e<strong>Parteien<\/strong>\u201c, jeweils eine \u201e<strong>Partei<\/strong>\u201c).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zwischen dem Verantwortlichen und BRYTER besteht ein Vertrag \u00fcber die Nutzung der BRYTER-Software sowie etwaiger weiterer Dienstleistungen (\u201e<strong>Rahmenvertrag<\/strong>\u201c). Im Rahmen der Erf\u00fcllung dieses Rahmenvertrags kann der Verantwortliche personenbezogene Daten an BRYTER \u00fcbermitteln, damit diese im Auftrag des Verantwortlichen verarbeitet werden. Dieser Auftragsverarbeitungsvertrag (\u201e<strong>AVV<\/strong>\u201c) regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung solcher personenbezogener Daten gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus enth\u00e4lt der AVV in Abschnitt 6 diejenigen erg\u00e4nzenden Regelungen, die im Hinblick auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO und \u00a7 203 StGB \u2013 erforderlich sind, sofern der Verantwortliche derartige Pflichten zu beachten hat. Soweit im Rahmen dieses AVV personenbezogene Daten verarbeitet werden, die zugleich berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der genannten Vorschriften darstellen, finden die Regelungen dieses AVV zum Schutz personenbezogener Daten erg\u00e4nzend Anwendung, soweit sie mit den berufsrechtlichen Verschwiegenheitspflichten vereinbar sind. Abschnitt 6 dieses AVV bleibt vorrangig anwendbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Allgemeine Bestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Kunde ist der Verantwortliche gem\u00e4\u00df Artikel 4 Nr. 7 der DSGVO. BRYTER ist der Auftragsverarbeiter gem\u00e4\u00df Artikel 4 Nr. 8 der DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich zur Erf\u00fcllung des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und etwaiger Pro-jekt- oder Leistungsbeschreibungen (Statements of Work), sowie auf dokumentierte Weisung des Verantwortlichen gem\u00e4\u00df Art. 28 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Rahmenvertrag und den genannten Vereinbarungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dauer und Umfang der Verarbeitung richten sich nach den Vorgaben des Rahmenvertrags, einschlie\u00dflich der jeweils geltenden Order Forms und den Weisungen des Verantwortlichen, soweit in diesem AVV nichts Abweichendes bestimmt ist<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit&nbsp;in diesem AVV Begriffe verwendet werden, die in der DSGVO definiert sind, gelten die gesetzlichen Definitionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Art der personenbezogenen Daten und Kategorien betroffener Personen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die im Rahmen der BRYTER-Software verarbeiteten personenbezogenen Daten ergeben sich aus den Inhalten und Informationen, die der Verantwortliche in die BRYTER-Software eingibt oder an BRYTER \u00fcbermittelt. BRYTER hat keinen Einfluss auf die Art, den Umfang oder die Kategorien der personenbezogenen Daten, die der Verantwortliche zur Verarbeitung bereitstellt. Dementsprechend k\u00f6nnen alle Arten personenbezogener Daten verarbeitet werden, einschlie\u00dflich besonderer Kategorien personenbezogener Daten, sofern deren Verarbeitung durch den Verantwortlichen zul\u00e4ssig ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.2&nbsp; Die typischerweise im Rahmen der Nutzung der BRYTER-Software verarbeiteten personenbezogenen Daten sowie die betroffenen Personengruppen ergeben sich aus folgender \u00dcbersicht:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Art der personenbezogenen Daten<\/strong><\/td><td><strong>Kategorien der betroffenen Personen<\/strong><\/td><td><strong>Zweck der Verarbeitung<\/strong><\/td><td><strong>Verarbeitungsdauer<\/strong><\/td><\/tr><tr><td>IP-Adresse<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit<\/td><td>90 Tage nach letzter Anmeldung<\/td><\/tr><tr><td>Vorname<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Nachname<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>E-Mail-Adresse<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><tr><td>Passwort<\/td><td>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Autorisierte Nutzer<br>\u00b7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Endnutzer, falls eine Anmeldung erforderlich ist<\/td><td>Funktionalit\u00e4t und Sicherheit<\/td><td>Bis zur K\u00fcndigung des Rahmenvertrags<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">2.3.          Die Kategorien betroffener Personen h\u00e4ngen von den jeweiligen Daten ab, die der Verantwortliche \u00fcbermittelt. Betroffen sein k\u00f6nnen insbesondere autorisierte Nutzer des Verantwortlichen sowie weitere Personen, deren Daten der Verantwortliche in die BRYTER-Software eingebracht hat (z. B. Kunden, Mitarbeiter, Gesch\u00e4ftspartner oder sonstige Dritte).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Rechte und Pflichten des Verantwortlichen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist allein daf\u00fcr verantwortlich, dass die Verarbeitung personenbezogener Daten nach Ma\u00dfgabe dieses AVV, des Rahmenvertrags sowie der jeweils geltenden Order Form rechtm\u00e4\u00dfig erfolgt. Dies umfasst insbesondere die Pr\u00fcfung und Sicherstellung der datenschutzrechtlichen Zul\u00e4ssigkeit der Verarbeitung, einschlie\u00dflich der Einhaltung der Voraussetzungen der Art. 6 und \u2013 sofern einschl\u00e4gig \u2013 Art. 9 DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden, stellt der Verantwortliche sicher, dass hierf\u00fcr eine einschl\u00e4gige Rechtsgrundlage gem\u00e4\u00df Art. 9 Abs. 2 DSGVO besteht und geeignete Schutzma\u00dfnahmen ergriffen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit im Rahmenvertrag nichts Abweichendes geregelt ist, ist der Verantwortliche f\u00fcr die Bearbeitung von Anfragen betroffener Personen nach Art. 12 bis 22 DSGVO zust\u00e4ndig. BRYTER wird Anfragen betroffener Personen, die erkennbar an den Verantwortlichen gerichtet sind, unverz\u00fcglich an diesen weiterleiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Rahmenvertrag sowie die jeweils geltenden Order Form einschlie\u00dflich dieses AVV sowie die vertragsgem\u00e4\u00dfe Nutzung der BRYTER-Software gelten als die vollst\u00e4ndigen dokumentierten Weisungen des Verantwortlichen im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Der Verantwortliche ist berechtigt, BRYTER erg\u00e4nzende Weisungen zu erteilen, soweit diese zur Einhaltung datenschutzrechtlicher Vorgaben erforderlich sind und den Regelungen des Rahmenvertrags sowie dieses AVV nicht widersprechen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Weisungen des Verantwortlichen bed\u00fcrfen der Textform oder einer dokumentierten elektronischen Form. M\u00fcndliche Weisungen sind unverz\u00fcglich in Textform oder dokumentierter elektronischer Form zu best\u00e4tigen. \u00c4nderungen des Gegenstands oder der Modalit\u00e4ten der Verarbeitung sind zwischen den Parteien abzustimmen und entsprechend zu dokumentieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Verpflichtungen von BRYTER nach Ma\u00dfgabe der geltenden Datenschutzgesetze und dieses AVV zu \u00fcberpr\u00fcfen oder durch einen zur Vertraulichkeit verpflichteten und fachlich geeigneten Dritten \u00fcberpr\u00fcfen zu lassen. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen zur Verf\u00fcgung und unterst\u00fctzt Pr\u00fcfungen nach Ma\u00dfgabe dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pr\u00fcfungen und Inspektionen sind so durchzuf\u00fchren, dass sie den Gesch\u00e4ftsbetrieb von BRYTER nicht unangemessen beeintr\u00e4chtigen. Vor-Ort-Pr\u00fcfungen finden \u2013 vorbehaltlich eines berechtigten Anlasses \u2013 h\u00f6chstens einmal pro Kalenderjahr, w\u00e4hrend der \u00fcblichen Gesch\u00e4ftszeiten und nach vorheriger Abstimmung statt. BRYTER ist berechtigt, Pr\u00fcfer abzulehnen, die Wettbewerber von BRYTER sind, nicht \u00fcber die erforderliche Fachkunde verf\u00fcgen oder nicht unabh\u00e4ngig sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Ein wesentlicher Teil der Verarbeitung personenbezogener Daten erfolgt unter Einsatz von Cloud-Infrastrukturen, insbesondere durch Amazon Web Services und Microsoft Azure. Vor-Ort-Pr\u00fcfungen in den Gesch\u00e4ftsr\u00e4umen von BRYTER sind daher nur eingeschr\u00e4nkt geeignet, die Einhaltung der datenschutzrechtlichen Anforderungen zu \u00fcberpr\u00fcfen. Auf Verlangen des Verantwortlichen wird BRYTER Pr\u00fcfungen bei Unterauftragsverarbeitern im Rahmen der jeweils bestehenden Auftragsverarbeitungsvertr\u00e4ge sowie der geltenden datenschutzrechtlichen Vorgaben veranlassen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.9          Der Verantwortliche unterrichtet BRYTER unverz\u00fcglich, wenn er im Rahmen von Pr\u00fcfungen oder auf sonstige Weise M\u00e4ngel oder Unregelm\u00e4\u00dfigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten feststellt oder datenschutzrechtliche Beanstandungen erhebt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3.10        Der Verantwortliche tr\u00e4gt die angemessenen und nachweislich entstandenen Kosten, die BRYTER im Zusammenhang mit Pr\u00fcfungen oder Vor-Ort-Inspektionen nach dieser Ziffer entstehen, soweit diese nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Pflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verarbeitet personenbezogene Daten ausschlie\u00dflich im Rahmen des Rahmenvertrags und dieses AVV sowie ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen, sofern BRYTER nicht aufgrund zwingender unionsrechtlicher oder mitgliedstaatlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht aus Gr\u00fcnden eines wichtigen \u00f6ffentlichen Interesses untersagt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung unterst\u00fctzt BRYTER den Verantwortlichen durch geeignete technische und organisatorische Ma\u00dfnahmen dabei, seinen Verpflichtungen zur Wahrung der Rechte betroffener Personen gem\u00e4\u00df Art. 12 bis 22 DSGVO nachzukommen, soweit dies BRYTER m\u00f6glich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen unterst\u00fctzt BRYTER den Verantwortlichen bei der Einhaltung seiner Pflichten gem\u00e4\u00df Art. 32 DSGVO sowie \u2013 soweit erforderlich \u2013 bei der Durchf\u00fchrung einer Datenschutz-Folgenabsch\u00e4tzung und einer etwaigen vorherigen Konsultation gem\u00e4\u00df Art. 35 und 36 DSGVO. BRYTER stellt dem Verantwortlichen die hierf\u00fcr erforderlichen Informationen unverz\u00fcglich zur Verf\u00fcgung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass alle Personen, die unter seiner Verantwortung personenbezogene Daten des Verantwortlichen verarbeiten, (i) einer angemessenen vertraglichen oder gesetzlichen Verschwiegenheitspflicht unterliegen, (ii) \u00fcber die einschl\u00e4gigen datenschutzrechtlichen Pflichten nach diesem AVV informiert sind und (iii) personenbezogene Daten ausschlie\u00dflich auf dokumentierte Weisung des Verantwortlichen verarbeiten. Abweichend hiervon ist eine Verarbeitung ohne Weisung des Verantwortlichen nur zul\u00e4ssig, soweit und sofern BRYTER hierzu aufgrund zwingenden Unionsrechts oder des Rechts eines Mitgliedstaates verpflichtet ist. In einem solchen Fall informiert BRYTER den Verantwortlichen vor der Verarbeitung \u00fcber die entsprechende rechtliche Verpflichtung, sofern das anwendbare Recht eine solche Information nicht untersagt. Im Hinblick auf die auf die Einhaltung berufsrechtlicher Verschwiegenheitspflichten gelten erg\u00e4nzend die Bestimmungen von Abschnitt 6 des AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">4.5 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;    Soweit der Verantwortliche im Rahmen der BRYTER-Software Funktionen nutzt, die auf maschinellem Lernen oder anderen Verfahren k\u00fcnstlicher Intelligenz beruhen, bleibt der Verantwortliche f\u00fcr die Rechtm\u00e4\u00dfigkeit der Eingaben sowie f\u00fcr die Pr\u00fcfung, Bewertung und Nutzung der durch diese Funktionen erzeugten Ergebnisse verantwortlich. Erg\u00e4nzend gelten f\u00fcr die Nutzung solcher KI-gest\u00fctzter Funktionen die in Abschnitt 12 (KI-Bestimmungen) des Rahmenvertrags enthaltenen Regelungen, die durch Bezugnahme Bestandteil dieses AVV werden und entsprechend Anwendung finden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Benachrichtigungspflichten des Auftragsverarbeiters<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER informiert den Verantwortlichen unverz\u00fcglich, wenn BRYTER der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige anwendbare datenschutzrechtliche Vorschriften verst\u00f6\u00dft. BRYTER ist berechtigt, die Ausf\u00fchrung einer solchen Weisung bis zu deren Best\u00e4tigung oder Anpassung durch den Verantwortlichen auszusetzen, soweit dies zur Vermeidung eines Rechtsversto\u00dfes erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Besteht der Verantwortliche trotz eines entsprechenden Hinweises von BRYTER auf der Durchf\u00fchrung einer Weisung, stellt der Verantwortliche BRYTER von s\u00e4mtlichen Sch\u00e4den, Kosten und Aufwendungen frei, die BRYTER aus der Ausf\u00fchrung dieser Weisung entstehen. BRYTER wird den Verantwortlichen \u00fcber geltend gemachte Anspr\u00fcche Dritter unverz\u00fcglich informieren und keine solchen Anspr\u00fcche ohne vorherige Zustimmung des Verantwortlichen anerkennen. Die Verteidigung gegen solche Anspr\u00fcche erfolgt nach Wahl von BRYTER in Abstimmung mit dem Verantwortlichen oder durch den Verantwortlichen selbst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER unterst\u00fctzt den Verantwortlichen unter Ber\u00fccksichtigung der Art der Verarbeitung und der BRYTER zur Verf\u00fcgung stehenden Informationen bei der Erf\u00fcllung seiner Pflichten gem\u00e4\u00df Art. 33 und 34 DSGVO durch geeignete technische und organisatorische Ma\u00dfnahmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">5.4           Soweit die Unterst\u00fctzung nach diesem Abschnitt einen \u00fcber die vertraglich geschuldeten Umfang hinausgehenden Aufwand erfordert und dieser nicht auf einen Versto\u00df von BRYTER gegen datenschutzrechtliche Pflichten zur\u00fcckzuf\u00fchren ist, tr\u00e4gt der Verantwortliche die BRYTER hierdurch entstehenden angemessenen Kosten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Wahrung von Berufsgeheimnissen und berufsrechtlicher Verschwiegenheit<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dieser Abschnitt gilt erg\u00e4nzend, soweit der Verantwortliche berufsrechtlichen Verschwiegenheitspflichten unterliegt, insbesondere als Rechtsanwalt oder Angeh\u00f6riger eines rechts- oder steuerberatenden Berufs gem\u00e4\u00df \u00a7\u00a7 43a, 43e BRAO sowie \u00a7 203 StGB.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Im Rahmen des Rahmenvertrags sowie der jeweils geltenden Order Form und dieses AVV kann BRYTER Zugriff auf oder Kenntnis von Daten erlangen, die berufsrechtlich gesch\u00fctzte Geheimnisse im Sinne der vorgenannten Vorschriften darstellen (\u201e<strong>Berufsgeheimnisse<\/strong>\u201c). Der Verantwortliche bleibt daf\u00fcr verantwortlich zu beurteilen, ob und in welchem Umfang die von ihm \u00fcbermittelten Daten Berufsgeheimnisse darstellen. Unbeschadet dessen behandelt BRYTER s\u00e4mtliche im Auftrag verarbeiteten Daten vorsorglich als potenziell berufsgeheimnisgesch\u00fctzt, sofern nicht eindeutig etwas anderes feststeht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER verpflichtet sich, Berufsgeheimnisse streng vertraulich zu behandeln und diese ausschlie\u00dflich in dem Umfang zur Kenntnis zu nehmen oder technisch zug\u00e4nglich zu machen, der zur ordnungsgem\u00e4\u00dfen Erf\u00fcllung der vertraglichen Pflichten zwingend erforderlich ist. Als \u201eKenntnisnahme\u201c gilt dabei auch jede technische oder organisatorische Zugriffsm\u00f6glichkeit, unabh\u00e4ngig davon, ob eine tats\u00e4chliche inhaltliche Einsichtnahme durch nat\u00fcrliche Personen erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER stellt sicher, dass s\u00e4mtliche Personen, die bei BRYTER mit der Verarbeitung von Berufsgeheimnissen befasst sind, wirksam zur Verschwiegenheit verpflichtet wurden und \u00fcber die sich aus diesem AVV sowie aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften ergebenden Pflichten informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; BRYTER ist berechtigt, zur Erf\u00fcllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen, soweit dies erforderlich ist. BRYTER stellt sicher, dass s\u00e4mtliche Unterauftragsverarbeiter sowie die mit der Verarbeitung von Berufsgeheimnissen befassten Personen vorab in Textform zur Wahrung der berufsrechtlichen Verschwiegenheit entsprechend diesem Abschnitt verpflichtet werden und dass diese Verpflichtung auch f\u00fcr etwaige weitere Unterauftragsverh\u00e4ltnisse fortwirkt. BRYTER stellt zudem sicher, dass die betroffenen Personen \u00fcber die sich aus den einschl\u00e4gigen berufs- und strafrechtlichen Vorschriften, insbesondere \u00a7 203 StGB, ergebenden Pflichten und strafrechtlichen Konsequenzen informiert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Die Verpflichtungen nach diesem Abschnitt bestehen zeitlich unbegrenzt fort, auch \u00fcber die Beendigung des Rahmenvertrags und dieses AVV hinaus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">6.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Soweit der Verantwortliche Berufsgeheimnistr\u00e4ger im Sinne von \u00a7 53a StPO ist, k\u00f6nnen die im Rahmen dieses AVV verarbeiteten Berufsgeheimnisse dem Zeugnisverweigerungsrecht nach \u00a7 53a StPO sowie dem Beschlagnahmeschutz, insbesondere nach \u00a7 97 Abs. 2 StPO, unterliegen. BRYTER wird im Fall einer beh\u00f6rdlichen Vernehmung oder Ma\u00dfnahme, die auf die Herausgabe solcher Informationen gerichtet ist, soweit rechtlich zul\u00e4ssig widersprechen und den Verantwortlichen unverz\u00fcglich informieren, damit dieser \u00fcber das weitere Vorgehen entscheiden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Unterauftragsverarbeiter<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER nimmt derzeit die in Anlage 1 genannten externen Unterauftragsverarbeiter in Anspruch. Der Verantwortliche erteilt hiermit explizit seine Zustimmung zur Beauftragung der in der Anlage 1 aufgef\u00fchrten externen Unterauftragsverarbeiter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ist zudem grunds\u00e4tzlich berechtigt, weitere Unterauftragsverarbeiter in Anspruch zu nehmen oder bestehende Unterauftragsverarbeiter zu ersetzen. BRYTER wird den Verantwortlichen zuvor in Textform \u00fcber die beabsichtigte \u00c4nderung informieren. Die Mitteilung erfolgt an die vom Verantwortlichen f\u00fcr Mitteilungen im Zusammenhang mit diesem AVV benannte E-Mail-Adresse. Der Verantwortliche kann BRYTER die entsprechende E-Mail-Adresse \u00fcber dieses <a href=\"https:\/\/legal-admin.bryter.io\/portal\/applications\/yKoJOqBaRZ6pfxWUW5WLhQ\" rel=\"noopener\">Portal<\/a> mitteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Gegen derartige \u00c4nderungen kann der Verantwortliche innerhalb von f\u00fcnfzehn (15) Werktagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund Widerspruch erheben. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Zustimmung zur beabsichtigten \u00c4nderung als erteilt. Erhebt der Verantwortliche Widerspruch und kann zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, nach eigener Wahl (i) die betroffenen Leistungen ohne Einsatz des betreffenden Unterauftragsverarbeiters zu erbringen oder (ii) den Rahmenvertrag und diesen AVV mit Wirkung zum Zeitpunkt des geplanten Einsatzes des Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  Nimmt BRYTER die Dienste eines Unterauftragsverarbeiters in Anspruch, um bestimmte Verarbeitungst\u00e4tigkeiten im Namen des Verantwortlichen auszuf\u00fchren, stellt BRYTER sicher, dass dem Unterauftragsverarbeiter im Wege eines schriftlich abzuschlie\u00dfenden Vertrags im Wesentlichen dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem Vertrag festgelegt sind. Der Vertrag kann auch elektronisch abgeschlossen werden und muss insbesondere hinreichende Garantien daf\u00fcr bieten, dass die geeigneten technischen und organisatorischen Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet BRYTER gegen\u00fcber dem Verantwortlichen f\u00fcr die Einhaltung der Pflichten des Unterauftragsverarbeiters.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER setzt f\u00fcr den Betrieb der BRYTER-Software sowie f\u00fcr die Verarbeitung personenbezogener Daten im Rahmen dieses AVV insbesondere Amazon Web Services (AWS) und Microsoft Azure als Unterauftragsverarbeiter ein. Diese Unterauftragsverarbeiter sind f\u00fcr die technische und organisatorische Bereitstellung der BRYTER-Software wesentlich und nicht ohne Weiteres austauschbar. BRYTER hat mit Amazon Web Services (AWS) sowie mit Microsoft Azure jeweils eine den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechende Vereinbarung zur Auftragsverarbeitung abgeschlossen. Die jeweiligen Vereinbarungen werden dem Verantwortlichen auf Anfrage zur Verf\u00fcgung gestellt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7.7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die Regelungen der Ziffer 7.3 finden auf den Einsatz von Amazon Web Services (AWS), Microsoft Azure sowie auf deren jeweilige Nachfolge- oder Ersatzanbieter entsprechende Anwendung, mit der Ma\u00dfgabe, dass BRYTER im Falle eines aus wichtigem datenschutzrechtlichem Grund erhobenen Widerspruchs des Verantwortlichen nicht verpflichtet ist, die betroffenen Leistungen ohne Einsatz dieser Unterauftragsverarbeiter oder unter Nutzung einer alternativen Infrastruktur zu erbringen. Kann in einem solchen Fall zwischen den Parteien keine einvernehmliche L\u00f6sung erzielt werden, ist BRYTER berechtigt, den Rahmenvertrag und dieses AVV aus wichtigem Grund mit Wirkung zum Zeitpunkt des geplanten Einsatzes des jeweiligen Unterauftragsverarbeiters zu k\u00fcndigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>\u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verarbeitung personenbezogener Daten und Berufsgeheimnisse erfolgt in der Regel in Mitgliedstaaten der Europ\u00e4ischen Union oder in anderen Vertragsstaaten des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum (EWR). BRYTER ist berechtigt, personenbezogene Daten auch au\u00dferhalb der Europ\u00e4ischen Union bzw. des EWR verarbeiten zu lassen oder durch Unterauftragsverarbeiter verarbeiten zu lassen, sofern und soweit die Voraussetzungen der Art. 44 ff. DSGVO erf\u00fcllt sind oder ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Insbesondere stellt BRYTER sicher, dass bei einer \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder geeignete Garantien im Sinne von Art. 46 DSGVO bestehen, etwa durch den Abschluss von Standarddatenschutzklauseln der Europ\u00e4ischen Kommission, oder dass ein Angemessenheitsbeschluss gem\u00e4\u00df Art. 45 DSGVO vorliegt. Soweit personenbezogene Daten im Rahmen der Beauftragung von Unterauftragsverarbeitern in Drittl\u00e4ndern verarbeitet werden, stellt BRYTER sicher, dass diese Unterauftragsverarbeiter vertraglich zur Einhaltung eines der DSGVO entsprechenden Datenschutzniveaus verpflichtet sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BRYTER ergreift unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung geeignete technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die personenbezogenen Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Die von BRYTER implementierten technischen und organisatorischen Ma\u00dfnahmen sind in Anlage 2 zu diesem AVV n\u00e4her beschrieben und werden vor Beginn der Verarbeitung eingerichtet sowie f\u00fcr die Dauer des Rahmenvertrags aufrechterhalten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Technische und organisatorische Ma\u00dfnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. BRYTER ist berechtigt und verpflichtet, diese w\u00e4hrend der Laufzeit des Rahmenvertrags an den Stand der Technik anzupassen, sofern hierdurch das in Anlage 2 beschriebene Sicherheitsniveau nicht unterschritten wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\u00c4nderungen der technischen und organisatorischen Ma\u00dfnahmen, die sich wesentlich auf das vereinbarte Sicherheitsniveau auswirken, wird BRYTER dem Verantwortlichen in geeigneter Weise zur Kenntnis bringen; dies kann auch in elektronischer Form erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">9.5         Der Kunde ist daf\u00fcr verantwortlich, die Eignung der von BRYTER getroffenen technischen und organisatorischen Ma\u00dfnahmen im Hinblick auf die konkreten Umst\u00e4nde der Verarbeitung zu beurteilen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>L\u00f6schung und R\u00fcckgabe personenbezogener Daten nach Beendigung des Rahmenvertrags<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Beendigung des Rahmenvertrags verarbeitet BRYTER personenbezogene Daten ausschlie\u00dflich, soweit und solange dies zur Abwicklung des Vertragsverh\u00e4ltnisses oder zur Erf\u00fcllung gesetzlicher Aufbewahrungspflichten erforderlich ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nach Wahl des Verantwortlichen wird BRYTER nach Beendigung des Rahmenvertrags s\u00e4mtliche im Auftrag verarbeiteten personenbezogenen Daten entweder datenschutzkonform l\u00f6schen oder an den Verantwortlichen zur\u00fcckgeben und vorhandene Kopien l\u00f6schen, sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht. Gesetzliche Aufbewahrungspflichten nach dem Recht der Europ\u00e4ischen Union oder eines Mitgliedstaates bleiben unber\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">10.3          Abweichend von Ziffer 10.2 ist BRYTER berechtigt, Sicherungskopien personenbezogener Daten f\u00fcr einen Zeitraum von bis zu 30 Tagen nach Beendigung des Rahmenvertrags aufzubewahren, sofern eine sofortige L\u00f6schung aus diesen Sicherungskopien aus technischen Gr\u00fcnden nicht m\u00f6glich ist. F\u00fcr diesen Zeitraum gelten die Regelungen dieses AVV uneingeschr\u00e4nkt fort.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Haftung<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die zwischen den Parteien im Rahmenvertrag vereinbarten Haftungsregelungen finden auf die Verarbeitung personenbezogener Daten nach diesem AVV entsprechende Anwendung, soweit zwingende datenschutzrechtliche Vorschriften dem nicht entgegenstehen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>12.<\/strong>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong>Schlussbestimmungen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Werden die vom Verantwortlichen an BRYTER \u00fcbermittelten personenbezogenen Daten w\u00e4hrend der Verarbeitung Gegenstand von Pf\u00e4ndungen, Beschlagnahmen, Insolvenz- oder Vergleichsverfahren oder sonstigen Ma\u00dfnahmen Dritter, informiert BRYTER den Verantwortlichen hier\u00fcber unverz\u00fcglich, soweit dem keine gesetzliche Verpflichtung entgegensteht. BRYTER wird in einem solchen Fall die beteiligten Stellen unverz\u00fcglich darauf hinweisen, dass die Verf\u00fcgungsbefugnis \u00fcber die betroffenen Daten ausschlie\u00dflich beim Verantwortlichen liegt, dass diese Daten dessen Verantwortungsbereich zuzuordnen sind und dass der Verantwortliche im datenschutzrechtlichen Sinne Verantwortlicher gem\u00e4\u00df Art. 4 Nr. 7 DSGVO ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit und solange berufsrechtliche Verschwiegenheitspflichten des Verantwortlichen \u2013 insbesondere nach \u00a7\u00a7 43a, 43e BRAO sowie \u00a7 203 StGB \u2013 betroffen sind, gelten die Regelungen dieses AVV entsprechend auch f\u00fcr Berufsgeheimnisse und sonstige vertrauliche Informationen im Sinne von Abschnitt 6 dieses AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Soweit Bestimmungen dieses AVV im Widerspruch zu Regelungen des Rahmenvertrags stehen, gehen die Regelungen dieses AVV den Regelungen des Rahmenvertrags vor.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.4         Im \u00dcbrigen gelten die Schlussbestimmungen des Rahmenvertrags entsprechend auch f\u00fcr diesen AVV.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">12.5        Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchf\u00fchrbar sein oder werden, bleibt die Wirksamkeit der \u00fcbrigen Bestimmungen unber\u00fchrt. Die Parteien verpflichten sich, die unwirksame oder undurchf\u00fchrbare Bestimmung durch eine solche wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am n\u00e4chsten kommt.<br><\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-1-1\"><strong>Anlage 1<\/strong><\/h3>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><strong>&#8211;<\/strong><\/p>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-liste-der-unterauftragsverarbeiter-1\"><strong>Liste der Unterauftragsverarbeiter<\/strong><\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Die nachfolgend aufgef\u00fchrten Unterauftragsverarbeiter werden von BRYTER zur Erbringung der BRYTER-Software eingesetzt. Der Einsatz erfolgt ausschlie\u00dflich im Rahmen der Weisungen des Verantwortlichen und gem\u00e4\u00df den Regelungen dieses AVV.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Unterauftragsverarbeiter<\/strong><\/td><td><strong>Erbrachter Service<\/strong><\/td><td><strong>Unternehmensstandort<\/strong><\/td><td><strong>Serverstandort<\/strong><\/td><td><strong>Art der verarbeiteten Daten<\/strong><\/td><\/tr><tr><td>Amazon Web Services (AWS) EMEA SARL<\/td><td>Cloud-Infrastruktur (Hosting, Betrieb und Speicherung der BRYTER-Software)<\/td><td>8 Avenue John F. Kennedy, L-1855 Luxemburg<\/td><td>Frankfurt am Main (Deutschland)<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Software verarbeitet werden<\/td><\/tr><tr><td>UAB ConvertAPI<\/td><td>API-basierter Konvertierungsdienst<\/td><td>Lauksargio g. 111, LT-10105 Vilnius, Litauen<\/td><td>Frankfurt am Main (Deutschland)<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Software verarbeitet werden<\/td><\/tr><tr><td>DeepL SE<\/td><td>\u00dcbersetzungsdienst (optionales, kostenpflichtiges Add on)<\/td><td>Maarweg 165, 50825 K\u00f6ln, Deutschland<\/td><td>Deutschland und Schweden<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Software verarbeitet werden<\/td><\/tr><tr><td>DataDog Inc.<\/td><td>Monitoring und Analyse Tool (System- und Nutzungsmetriken)<\/td><td>620 8th Avenue, 45. Stock, New York, NY 10019-1741, USA<\/td><td>Frankfurt am Main (Deutschland)<\/td><td>Technische Nutzungs- und Metadaten (insbesondere IP-Adressen)<\/td><\/tr><tr><td>LDA Legal Data Analytics GmbH<\/td><td>API Schnittstelle zu Verlagsdaten von Otto Schmidt (optionales, kostenpflichtiges Add on)<\/td><td>Hochwaldstr. 26, 81377 Munich, Deutschland<\/td><td>Deutschland<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Dienste verarbeitet werden<\/td><\/tr><tr><td>Microsoft Azure<\/td><td>Cloud-Infrastruktur und LLM-Dienst<\/td><td>Takeda Ireland Ltd (Grange Castle), New Nangor Road, Grange, Dublin 22, Ireland<\/td><td>EU<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Software verarbeitet werden<\/td><\/tr><tr><td>AlphaAI Technologies Inc. dba Tavily<\/td><td>API-basierte Websuche f\u00fcr BEAMON (optional)<\/td><td>33 W 60th St, New York, NY 10023, USA<\/td><td>USA<\/td><td>Personenbezogene Daten, die im Rahmen der Nutzung der BRYTER-Software verarbeitet werden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\" id=\"h-anlage-2-1\"><strong>Anlage 2<\/strong><\/h4>\n\n\n\n<h5 class=\"wp-block-heading has-text-align-center\" id=\"h-technische-und-organisatorische-massnahmen-1\"><strong>Technische und organisatorische Ma\u00dfnahmen<\/strong><\/h5>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER trifft geeignete technische und organisatorische Ma\u00dfnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die im Auftrag verarbeiteten personenbezogenen Daten sicherzustellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ma\u00dfnahmen ber\u00fccksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umst\u00e4nde und Zwecke der Verarbeitung und werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und fortentwickelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Zutritts- und physische Zugangskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung des unbefugten physischen Zugangs zu Verarbeitungsanlagen trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Betrieb der BRYTER-Software erfolgt ausschlie\u00dflich in gesicherten Rechenzentren von Cloud-Infrastrukturanbietern, die physische Sicherheitsma\u00dfnahmen wie Zugangskontrollen, \u00dcberwachungssysteme und Zutrittsprotokollierungen einsetzen.<\/li>\n\n\n\n<li>Der physische Zugang zu den von BRYTER genutzten B\u00fcror\u00e4umen ist auf berechtigte Personen beschr\u00e4nkt.<\/li>\n\n\n\n<li>Unbefugten wird der Zutritt zu Bereichen, in denen personenbezogene Daten verarbeitet werden k\u00f6nnen, verwehrt.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2.<\/strong> <strong>Zugriffskontrolle (Benutzerzugriff)<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Verhinderung der Nutzung von Verarbeitungssystemen durch Unbefugte setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einsatz eines zentralen Identit\u00e4ts- und Berechtigungsmanagements zur Steuerung von Benutzerzug\u00e4ngen.<\/li>\n\n\n\n<li>Vergabe von Zugriffsrechten nach einem rollenbasierten Berechtigungskonzept.<\/li>\n\n\n\n<li>Verwendung geeigneter Authentifizierungsmechanismen, einschlie\u00dflich zus\u00e4tzlicher Sicherheitsfaktoren, soweit technisch und organisatorisch angemessen.<\/li>\n\n\n\n<li>Sperrung oder Entzug von Benutzerkonten bei Inaktivit\u00e4t oder bei Beendigung des Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnisses.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Zugangsbeschr\u00e4nkung auf personenbezogene Daten<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass berechtigte Personen ausschlie\u00dflich auf die f\u00fcr sie freigegebenen personenbezogenen Daten zugreifen k\u00f6nnen, werden insbesondere folgende Ma\u00dfnahmen umgesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Trennung von System- und Anwendungsrechten sowie Beschr\u00e4nkung des Zugriffs auf personenbezogene Daten nach dem Need-to-know-Prinzip.<\/li>\n\n\n\n<li>Einsatz technischer und organisatorischer Ma\u00dfnahmen zur Verhinderung unbefugter Einsichtnahme, Ver\u00e4nderung oder L\u00f6schung personenbezogener Daten.<\/li>\n\n\n\n<li>Protokollierung relevanter Zugriffe und Verarbeitungsvorg\u00e4nge.<\/li>\n\n\n\n<li>Verschl\u00fcsselung gespeicherter personenbezogener Daten, soweit technisch und organisatorisch angemessen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Trennungskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur getrennten Verarbeitung von Daten, die f\u00fcr unterschiedliche Zwecke erhoben wurden, setzt BRYTER insbesondere folgende Ma\u00dfnahmen ein:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Logische Trennung von Mandanten-, Projekt- und Kundendaten.<\/li>\n\n\n\n<li>Trennung von Kunden-, Test- und internen Unternehmensdaten.<\/li>\n\n\n\n<li>Einsatz getrennter Systeme, Datenbanken oder Anwendungen f\u00fcr unterschiedliche Datenkategorien, soweit erforderlich.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. \u00dcbertragungs- und Weitergabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Vertraulichkeit personenbezogener Daten bei der \u00dcbertragung trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Absicherung von Daten\u00fcbertragungen durch geeignete Verschl\u00fcsselungstechnologien.<\/li>\n\n\n\n<li>Beschr\u00e4nkung externer Verbindungen auf genehmigte, kontrollierte und dokumentierte Schnittstellen.<\/li>\n\n\n\n<li>Vermeidung einer unkontrollierten lokalen Speicherung personenbezogener Daten auf Endger\u00e4ten.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. Eingabekontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, ver\u00e4ndert oder gel\u00f6scht wurden, werden insbesondere folgende Ma\u00dfnahmen eingesetzt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Protokollierung relevanter Verarbeitungsvorg\u00e4nge in den eingesetzten Systemen.<\/li>\n\n\n\n<li>Nutzung personalisierter Benutzerkonten zur eindeutigen Zuordnung von Verarbeitungshandlungen.<\/li>\n\n\n\n<li>Trennung von Anwendungs- und Systemprotokollen zur Vermeidung unbefugter Manipulationen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7. Verf\u00fcgbarkeitskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Schutz personenbezogener Daten vor zuf\u00e4lliger Zerst\u00f6rung oder Verlust trifft BRYTER insbesondere folgende Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Durchf\u00fchrung regelm\u00e4\u00dfiger Datensicherungen.<\/li>\n\n\n\n<li>Vorhaltung von Wiederherstellungsverfahren und Notfallkonzepten.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Backup- und Wiederanlaufprozesse.<\/li>\n\n\n\n<li>Zeitnaher Entzug von Zugriffsrechten bei Beendigung von Besch\u00e4ftigungs- oder Vertragsverh\u00e4ltnissen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8. Belastbarkeit und Resilienz der Systeme<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Belastbarkeit und Widerstandsf\u00e4higkeit der Verarbeitungssysteme setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcberwachung der Systeme zur fr\u00fchzeitigen Erkennung von Sicherheitsereignissen.<\/li>\n\n\n\n<li>Etablierte Verfahren zum Umgang mit Sicherheitsvorf\u00e4llen (Incident Response).<\/li>\n\n\n\n<li>Einsatz geeigneter Schutzmechanismen auf Infrastruktur- und Anwendungsebene.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9. Auftragskontrolle<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung, dass personenbezogene Daten ausschlie\u00dflich nach Weisung des Verantwortlichen verarbeitet werden, werden insbesondere folgende Ma\u00dfnahmen getroffen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Festlegung und Dokumentation von Weisungsrechten im Rahmenvertrag und in diesem AVV.<\/li>\n\n\n\n<li>Vertragliche Verpflichtung von Mitarbeitenden und Unterauftragsverarbeitern auf Vertraulichkeit und Datenschutz.<\/li>\n\n\n\n<li>Kontrollierte und dokumentierte Einbindung von Unterauftragsverarbeitern.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>10. Datenschutzmanagemen<\/strong>t<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Sicherstellung der Einhaltung datenschutzrechtlicher Verpflichtungen setzt BRYTER insbesondere folgende Ma\u00dfnahmen um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Betrieb eines Datenschutzmanagementsystems mit definierten Verantwortlichkeiten.<\/li>\n\n\n\n<li>F\u00fchrung von Verzeichnissen von Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Art. 30 DSGVO.<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Weiterentwicklung der technischen und organisatorischen Ma\u00dfnahmen.<\/li>\n\n\n\n<li>Schulung und Sensibilisierung von Mitarbeitenden im Bereich Datenschutz und Informationssicherheit.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>11. Einsatz von Cloud-Infrastruktur<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">BRYTER nutzt zur Bereitstellung der BRYTER-Software Cloud-Infrastrukturen, insbesondere von Amazon Web Services (AWS) und Microsoft Azure.<br>Diese Anbieter setzen ihrerseits geeignete technische und organisatorische Ma\u00dfnahmen ein und verf\u00fcgen \u00fcber anerkannte Sicherheitszertifizierungen. BRYTER hat mit diesen Anbietern entsprechende Vereinbarungen zur Auftragsverarbeitung abgeschlossen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n        <\/div>\n    <\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":0,"parent":2111,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-1287","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/pages\/1287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/comments?post=1287"}],"version-history":[{"count":1,"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/pages\/1287\/revisions"}],"predecessor-version":[{"id":1289,"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/pages\/1287\/revisions\/1289"}],"up":[{"embeddable":true,"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/pages\/2111"}],"wp:attachment":[{"href":"https:\/\/beamon.ai\/de\/wp-json\/wp\/v2\/media?parent=1287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}