A. Der Auftragsverarbeiter betreibt unter dem Handelsnamen ModbusCloud ein B2B-SaaS-IoT-Portal, mit dem Installateure (der Verantwortliche) Modbus-Geräte ihrer Endkunden aus der Ferne über das sogenannte MCG-1-Gateway überwachen, analysieren und steuern können (die "Plattform").
B. Der Verantwortliche hat mit dem Auftragsverarbeiter einen Vertrag geschlossen, der den Zugang zur und die Nutzung der Plattform regelt, einschließlich der dazugehörigen Allgemeinen Geschäftsbedingungen (nachstehend: der "Hauptvertrag").
C. Im Rahmen der Durchführung des Hauptvertrages verarbeitet der Auftragsverarbeiter personenbezogene Daten im Namen und im Auftrag des Verantwortlichen, wodurch der Verantwortliche als "Verantwortlicher" und der Auftragsverarbeiter als "Auftragsverarbeiter" im Sinne des Artikels 4 der Datenschutz-Grundverordnung (nachstehend: "DSGVO") zu qualifizieren ist.
D. Gemäß Art. 28 Abs. 3 DSGVO sind die Parteien verpflichtet, ihre wechselseitigen Rechte und Pflichten im Hinblick auf die Verarbeitung personenbezogener Daten in einem Auftragsverarbeitungsvertrag schriftlich festzulegen.
E. Der vorliegende Auftragsverarbeitungsvertrag (nachstehend: "Auftragsverarbeitungsvertrag" oder "AVV") bezweckt die Sicherstellung einer sorgfältigen, rechtmäßigen und transparenten Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Einklang mit der Systematik der DSGVO und den einschlägigen Leitlinien des Europäischen Datenschutzausschusses (EDSA-Leitlinien 07/2020 und Stellungnahme 22/2024).
F. Soweit personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, für die kein Angemessenheitsbeschluss vorliegt, wenden die Parteien die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021) als geeignete Garantie im Sinne des Art. 46 DSGVO an.
G. Dieser Auftragsverarbeitungsvertrag tritt, sofern sich aus dem Hauptvertrag nichts anderes ergibt, am Tag des Inkrafttretens des Hauptvertrages in Kraft und ist integraler Bestandteil desselben.
H. Die Parteien beabsichtigen, diesen Auftragsverarbeitungsvertrag als selbstständig unterzeichenbares Dokument auszugestalten, wobei der Hauptvertrag unverändert weiter gilt.
Die in diesem Auftragsverarbeitungsvertrag großgeschriebenen Begriffe haben die nachstehende Bedeutung. Nicht definierte Begriffe haben die in der DSGVO festgelegte Bedeutung.
1.1 DSGVO: die Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
1.2 personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die der Auftragsverarbeiter im Rahmen des Hauptvertrages im Namen des Verantwortlichen verarbeitet, wie in Anlage 1 näher bestimmt.
1.3 besondere Kategorien personenbezogener Daten: personenbezogene Daten im Sinne des Art. 9 DSGVO (besondere Kategorien) und des Art. 10 DSGVO (strafrechtliche Daten).
1.4 betroffene Person: die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
1.5 Verarbeitung: jede Verarbeitung oder jede Gesamtheit von Verarbeitungen personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO.
1.6 Verantwortlicher: die Partei, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, in diesem Auftragsverarbeitungsvertrag also der Installateur.
1.7 Auftragsverarbeiter: die Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, nämlich Avanta Systems (handelnd unter dem Namen ModbusCloud).
1.8 Unterauftragsverarbeiter: jeder vom Auftragsverarbeiter eingeschaltete Dritte, der im Auftrag des Auftragsverarbeiters personenbezogene Daten im Namen des Verantwortlichen verarbeitet.
1.9 Verletzung des Schutzes personenbezogener Daten: eine Verletzung im Zusammenhang mit personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO, nämlich eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu verarbeiteten personenbezogenen Daten führt.
1.10 SCC: die Standardvertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, einschließlich der Module 2 und 3 für die Übermittlung von Daten in Drittländer.
1.11 Hauptvertrag: der zwischen den Parteien geschlossene Vertrag über die Bereitstellung und Nutzung der Plattform (ModbusCloud SaaS), einschließlich der darauf anwendbaren Allgemeinen Geschäftsbedingungen (die "AGB").
1.12 Plattform: das ModbusCloud-SaaS-Portal (erreichbar unter anderem über modbuscloud.com und portal.modbuscloud.com), einschließlich der zugehörigen Backend-Systeme, APIs und des MCG-1-Gateways.
1.13 TOMs: die technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO, wie in Anlage 2 näher beschrieben.
1.14 Übermittlung: jede Übermittlung personenbezogener Daten an eine Partei außerhalb des EWR im Sinne des Kapitels V DSGVO.
1.15 EWR: der Europäische Wirtschaftsraum, bestehend aus den Mitgliedstaaten der Europäischen Union sowie Norwegen, Island und Liechtenstein.
1.16 DPF: das EU-U.S. Data Privacy Framework, festgelegt durch den Durchführungsbeschluss (EU) 2023/1795 der Europäischen Kommission vom 10. Juli 2023, auf dessen Grundlage Übermittlungen an unter dem DPF zertifizierte US-amerikanische Organisationen ohne zusätzliche Garantien zulässig sind.
2.1 Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Plattform an den Verantwortlichen auf Grundlage des Hauptvertrages.
2.2 Gegenstand, Art, Zweck, Dauer der Verarbeitung, Kategorien betroffener Personen und Kategorien personenbezogener Daten sind in Anlage 1 (Spezifikation der Verarbeitung) festgelegt.
2.3 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zwecke der Durchführung des Hauptvertrages und dieses Auftragsverarbeitungsvertrags und ausschließlich soweit dies zur Erfüllung seiner Pflichten gegenüber dem Verantwortlichen erforderlich ist.
3.1 Die Parteien bestätigen, dass der Verantwortliche in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrages als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und der Auftragsverarbeiter hinsichtlich dieser Verarbeitung als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO tätig wird.
3.2 Diese Rollenverteilung entspricht den EDSA-Leitlinien 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter, wonach der Verantwortliche die Zwecke (das "Warum") und die wesentlichen Mittel (das "Wie") der Verarbeitung festlegt und der Auftragsverarbeiter ausschließlich auf Grundlage der Weisungen des Verantwortlichen handelt.
3.3 Dieser Auftragsverarbeitungsvertrag stellt eine nähere Ausgestaltung des Artikels 10 (oder der entsprechenden Datenschutzklausel) der AGB zum Hauptvertrag dar.
3.4 Für eigene Verarbeitungen des Auftragsverarbeiters (darunter Rechnungsstellung, Debitorenmanagement, Accountverwaltung des Installateurs, Marketing gegenüber Nutzern der Plattform sowie gesetzliche steuerliche Aufbewahrungspflichten) tritt der Auftragsverarbeiter als eigenständiger Verantwortlicher auf. Auf diese Verarbeitungen findet nicht dieser Auftragsverarbeitungsvertrag Anwendung, sondern die Datenschutzerklärung des Auftragsverarbeiters, verfügbar unter modbuscloud.com.
4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage schriftlicher (auch elektronischer) Weisungen des Verantwortlichen, es sei denn, er ist nach Unions- oder Mitgliedstaatenrecht, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
4.2 Der Hauptvertrag, die AGB, dieser Auftragsverarbeitungsvertrag sowie die Konfiguration der Plattform (darunter Kontoeinstellungen, Zugriffsrechte und API-Konfiguration) gelten als schriftliche Weisungen des Verantwortlichen. Zusätzliche Weisungen sind schriftlich (einschließlich per E-Mail an privacy@modbuscloud.com) zu erteilen.
4.3 Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere anwendbare Datenschutzgesetze verstößt, so informiert er den Verantwortlichen hierüber unverzüglich und kann die Ausführung der betreffenden Weisung aussetzen, bis diese vom Verantwortlichen bestätigt, angepasst oder zurückgenommen wurde.
4.4 Der Auftragsverarbeiter gewährleistet, dass seine Verarbeitung im Einklang mit der DSGVO und sonstigen anwendbaren Gesetzen und Vorschriften zum Schutz personenbezogener Daten erfolgt.
5.1 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitet, vertraulich zu behandeln.
5.2 Der Auftragsverarbeiter stellt sicher, dass die Personen, die unter seiner Verantwortung personenbezogene Daten verarbeiten (darunter Mitarbeiter, Leiharbeitnehmer und Unterauftragsverarbeiter), einer vertraglichen oder gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Die Verschwiegenheitspflicht besteht auch nach Beendigung dieses Auftragsverarbeitungsvertrags fort, soweit die betreffenden personenbezogenen Daten ihren vertraulichen Charakter behalten.
6.1 Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau im Sinne des Art. 32 DSGVO zu gewährleisten. Diese Maßnahmen sind in Anlage 2 (TOMs) näher ausgeführt.
6.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und die Schwere der unterschiedlichen Risiken für die Rechte und Freiheiten der betroffenen Personen.
6.3 Der Auftragsverarbeiter überprüft die Maßnahmen regelmäßig (mindestens einmal jährlich) und passt sie erforderlichenfalls an Entwicklungen des Standes der Technik, der Bedrohungslage und der Art der Verarbeitung an. Der Auftragsverarbeiter wird die Maßnahmen nicht derart anpassen, dass das Sicherheitsniveau wesentlich unter das Niveau zum Zeitpunkt des Abschlusses dieses Auftragsverarbeitungsvertrags absinkt.
6.4 Der Verantwortliche stimmt zu, dass die in Anlage 2 beschriebenen Maßnahmen für die in Anlage 1 beschriebene Verarbeitung angemessen sind.
7.1 Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung (im Sinne des Art. 28 Abs. 2 DSGVO) für die Beauftragung von Unterauftragsverarbeitern zur Durchführung des Hauptvertrages. Die zum Zeitpunkt des Inkrafttretens dieses Auftragsverarbeitungsvertrags bekannten Unterauftragsverarbeiter sind in Anlage 3 (Unterauftragsverarbeiter) aufgeführt.
7.2 Der Auftragsverarbeiter führt eine aktuelle Liste der Unterauftragsverarbeiter, die unter modbuscloud.com/dpa/subverwerkers veröffentlicht ist. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Beauftragung eines neuen Unterauftragsverarbeiters oder der Ersetzung eines bestehenden Unterauftragsverarbeiters durch Veröffentlichung auf der genannten Webseite und, auf Wunsch des Verantwortlichen, zusätzlich per E-Mail an die vom Verantwortlichen angegebene Kontaktadresse.
7.3 Der Verantwortliche hat das Recht, innerhalb von 30 Tagen nach Erhalt der Mitteilung aus begründeten Gründen Widerspruch gegen die Beauftragung eines neuen Unterauftragsverarbeiters zu erheben, wenn und soweit die beabsichtigte Unterauftragsverarbeitung nicht mit der DSGVO in Einklang steht. In diesem Fall beraten die Parteien einvernehmlich, um eine angemessene Lösung zu finden. Gelingt es den Parteien nicht, eine Einigung zu erzielen, ist der Verantwortliche berechtigt, den Hauptvertrag und diesen Auftragsverarbeitungsvertrag für den Teil, der sich auf die streitige Unterauftragsverarbeitung bezieht, zu kündigen, ohne für Folgeschäden zu haften.
7.4 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so erlegt er diesem durch schriftlichen Vertrag (sog. Flowdown) dieselben Datenschutzpflichten auf, wie sie für den Auftragsverarbeiter aus diesem Auftragsverarbeitungsvertrag und der DSGVO folgen, insbesondere hinsichtlich der geeigneten technischen und organisatorischen Maßnahmen und der Übermittlung personenbezogener Daten außerhalb des EWR.
7.5 Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber gemäß Art. 28 Abs. 4 DSGVO in vollem Umfang für die Erfüllung der Pflichten durch den Unterauftragsverarbeiter verantwortlich.
7.6 Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter in angemessenem Umfang Informationen zur Untermauerung der vom Unterauftragsverarbeiter gebotenen hinreichenden Garantien zur Verfügung, in Übereinstimmung mit der EDSA-Stellungnahme 22/2024.
8.1 Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter mit dem Ersuchen um Ausübung ihrer Rechte nach den Artikeln 15 bis 22 DSGVO (u. a. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch), wird der Auftragsverarbeiter dieses Ersuchen nicht eigenständig inhaltlich bearbeiten, sondern unverzüglich an den Verantwortlichen weiterleiten, es sei denn, der Auftragsverarbeiter ist gemäß der DSGVO verpflichtet, eigenständig zu handeln.
8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen in angemessener Weise bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen.
8.3 Standardfunktionalitäten der Plattform (darunter Export, Einsicht in Kontodaten, Löschung von Nutzerkonten) sind Bestandteil der regulären Dienstleistung. Für außergewöhnliche, aufwendige oder individuelle Anfragen, die einen erheblichen Aufwand des Auftragsverarbeiters erfordern, ist der Auftragsverarbeiter berechtigt, dem Verantwortlichen die angemessenen Kosten zu den jeweils geltenden Sätzen in Rechnung zu stellen, nach vorheriger Kostenindikation.
9.1 Der Auftragsverarbeiter leistet dem Verantwortlichen auf dessen Verlangen angemessene Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO, soweit diese die Verarbeitung im Rahmen dieses Auftragsverarbeitungsvertrags betrifft.
9.2 Der Auftragsverarbeiter leistet außerdem angemessene Unterstützung bei einer etwaigen vorherigen Konsultation der Aufsichtsbehörde im Sinne des Art. 36 DSGVO.
9.3 Die Unterstützung umfasst insbesondere die Bereitstellung von Dokumentation über die Plattform, die Sicherheitsmaßnahmen und die beauftragten Unterauftragsverarbeiter, soweit diese Informationen für die DSFA oder die vorherige Konsultation vernünftigerweise erforderlich sind und sich im Besitz des Auftragsverarbeiters befinden.
9.4 Artikel 8.3 gilt entsprechend für die Kosten der Unterstützung, die die reguläre Dienstleistung wesentlich übersteigt.
10.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, in jedem Fall aber innerhalb von 48 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten, unter Angabe aller zu diesem Zeitpunkt bekannten relevanten Informationen.
10.2 Die Meldung enthält mindestens die nachstehenden Angaben, soweit zu diesem Zeitpunkt bekannt:
die Art der Verletzung, soweit möglich unter Angabe der Kategorien und der (geschätzten) Anzahl der betroffenen Personen und der betroffenen Datensätze;
die wahrscheinlichen Folgen der Verletzung;
die Maßnahmen, die der Auftragsverarbeiter ergriffen hat oder vorschlägt, um die Verletzung zu beheben, einschließlich gegebenenfalls Maßnahmen zur Minderung etwaiger nachteiliger Folgen;
die Kontaktdaten des Beauftragten oder Ansprechpartners, bei dem der Verantwortliche weitere Informationen einholen kann.
10.3 Können nicht alle Informationen gleichzeitig bereitgestellt werden, stellt der Auftragsverarbeiter diese schrittweise ohne unangemessene Verzögerung zur Verfügung.
10.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise bei der Erfüllung seiner Pflichten nach den Artikeln 33 und 34 DSGVO, einschließlich der (etwaigen) Meldung an die Niederländische Datenschutzbehörde (AP) und der Kommunikation mit den betroffenen Personen.
10.5 Der Auftragsverarbeiter ist nicht berechtigt, Verletzungen des Schutzes personenbezogener Daten im Namen des Verantwortlichen eigenständig an die Aufsichtsbehörde oder an betroffene Personen zu melden, es sei denn, der Verantwortliche hat ihn dazu ausdrücklich schriftlich beauftragt.
10.6 Der Auftragsverarbeiter dokumentiert sämtliche Verletzungen des Schutzes personenbezogener Daten, die Tatsachen, die Folgen und die getroffenen Abhilfemaßnahmen in einem internen Register.
11.1 Der Auftragsverarbeiter ermöglicht dem Verantwortlichen, die Einhaltung dieses Auftragsverarbeitungsvertrags durch Audits zu überprüfen, und wirkt daran in angemessener Weise mit, in Übereinstimmung mit Art. 28 Abs. 3 lit. h DSGVO.
11.2 Der Verantwortliche ist berechtigt, höchstens einmal pro Kalenderjahr ein Audit durch einen unabhängigen, qualifizierten Dritten (der kein unmittelbarer Wettbewerber des Auftragsverarbeiters sein darf) durchführen oder durchführen zu lassen, sofern dieser Dritte zugunsten des Auftragsverarbeiters an eine angemessene Geheimhaltungsverpflichtung (NDA) gebunden ist.
11.3 Das Audit ist mindestens 30 Tage im Voraus schriftlich anzukündigen, findet während der üblichen Geschäftszeiten statt und wird so durchgeführt, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unnötig gestört wird. Audits richten sich nicht auf andere Kunden des Auftragsverarbeiters und nicht auf den zugrunde liegenden Quellcode des Auftragsverarbeiters.
11.4 Die Kosten des Audits trägt der Verantwortliche. Ergibt das Audit, dass der Auftragsverarbeiter in erheblichem Maße gegen diesen Auftragsverarbeitungsvertrag verstößt, so trägt der Auftragsverarbeiter die angemessenen Kosten des Audits und trifft auf eigene Kosten Abhilfemaßnahmen.
11.5 Zur Begrenzung des Verwaltungsaufwands ist der Auftragsverarbeiter berechtigt, seinen Auditverpflichtungen in angemessener Weise dadurch nachzukommen, dass er auf aktuelle (nicht älter als 24 Monate) externe Prüfberichte, Zertifizierungen oder Assurance-Berichte der beauftragten Lieferanten oder des Auftragsverarbeiters selbst verweist, wie ISO 27001, SOC 2 Type II oder gleichwertig. Decken diese Berichte den Gegenstand ausreichend ab, gilt die in Absatz 1 genannte Auditverpflichtung als erfüllt.
11.6 Ein zusätzliches (On-site-)Audit ist möglich, wenn der Verantwortliche mit Gründen darlegen kann, dass die in Absatz 5 genannten Berichte zur Feststellung der Einhaltung nicht ausreichen, oder wenn hierzu anlässlich einer Verletzung des Schutzes personenbezogener Daten Anlass besteht.
11.7 Die Feststellungen des Audits werden dem Auftragsverarbeiter in einem Berichtsentwurf vorgelegt, auf den der Auftragsverarbeiter in angemessener Weise reagieren kann, bevor der Bericht endgültig festgestellt wird.
12.1 Der Auftragsverarbeiter lässt personenbezogene Daten nur dann außerhalb des EWR verarbeiten, soweit dafür eine gültige Übermittlungsgrundlage nach Kapitel V DSGVO besteht, einschließlich gegebenenfalls eines Angemessenheitsbeschlusses (darunter das DPF), der Standardvertragsklauseln (SCC) oder verbindlicher interner Datenschutzvorschriften.
12.2 Die konkreten Übermittlungsgarantien je Unterauftragsverarbeiter sind in Anlage 3 aufgeführt. Die näheren Bedingungen für Übermittlungen auf Grundlage der SCC sind in Anlage 4 (SCC-Übermittlung) enthalten, die integraler Bestandteil dieses Auftragsverarbeitungsvertrags ist.
12.3 Für Übermittlungen an unter dem DPF zertifizierte US-amerikanische Empfänger stützt sich der Auftragsverarbeiter primär auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795). Aus Vorsorgegründen und als zusätzliche Garantie im Falle etwaiger Änderungen des DPF schließen die Parteien zudem SCC Modul 2 und Modul 3 gemäß Anlage 4 ab.
12.4 Der Auftragsverarbeiter führt erforderlichenfalls ein Transfer Impact Assessment durch und trifft gegebenenfalls zusätzliche Maßnahmen (wie Verschlüsselung und Pseudonymisierung), um ein im Wesentlichen gleichwertiges Schutzniveau sicherzustellen.
13.1 Nach Beendigung des Hauptvertrages oder dieses Auftragsverarbeitungsvertrags und auf erstes Verlangen des Verantwortlichen wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten:
dem Verantwortlichen in einem gängigen und maschinenlesbaren Format zurückgeben; oder
vernichten, es sei denn, die Speicherung der personenbezogenen Daten ist nach Unions- oder Mitgliedstaatenrecht vorgeschrieben.
13.2 Die Wahl nach Absatz 1 ist vom Verantwortlichen innerhalb von 30 Tagen nach Beendigung schriftlich mitzuteilen. Trifft der Verantwortliche innerhalb dieser Frist keine Wahl, wird der Auftragsverarbeiter nach einer angemessenen weiteren Frist (grundsätzlich weitere 30 Tage) unter Versendung einer vorherigen Erinnerung zur Löschung übergehen.
13.3 Der Auftragsverarbeiter stellt auf Wunsch eine schriftliche Bestätigung der Rückgabe bzw. der Vernichtung unter Angabe des Datums und des Umfangs zur Verfügung.
13.4 Back-ups werden gemäß dem regulären Aufbewahrungsplan der beauftragten Hosting-Anbieter (wie Supabase PITR) außer Betrieb genommen. Bis zu diesem Zeitpunkt bleiben die personenbezogenen Daten in den Back-ups gesichert und für die aktive Nutzung unzugänglich.
13.5 Die dem Auftragsverarbeiter auferlegten gesetzlichen Aufbewahrungsfristen (wie die steuerliche Aufbewahrungspflicht für Rechnungs- und Buchhaltungsdaten) gehen diesem Artikel vor, wobei die betreffenden personenbezogenen Daten ausschließlich für diesen gesetzlichen Zweck aufbewahrt werden.
14.1 Die Haftung der Parteien aus diesem Auftragsverarbeitungsvertrag ist entsprechend der Haftungsregelung in den AGB zum Hauptvertrag beschränkt (einschließlich der Haftungshöchstgrenzen und Haftungsausschlüsse), soweit zwingendes Recht dies zulässt.
14.2 Unbeschadet des Absatzes 1 bleibt Art. 82 DSGVO uneingeschränkt anwendbar. Dies bedeutet, dass die Parteien gegenüber betroffenen Personen gesamtschuldnerisch für den gesamten Schaden haften können, um einen wirksamen Schadensersatz für die betroffene Person sicherzustellen.
14.3 Eine Partei, die mehr gezahlt hat, als ihrem Anteil an der Verantwortung für den Schaden entspricht, hat gemäß Art. 82 Abs. 5 DSGVO ein Rückgriffsrecht gegen die andere Partei in Höhe des von der anderen Partei geschuldeten Anteils.
14.4 Im Innenverhältnis der Parteien gilt, dass jede Partei für den Schaden haftet, soweit dieser auf ihrem eigenen Tun oder Unterlassen in Verstoß gegen die DSGVO oder diesen Auftragsverarbeitungsvertrag beruht.
14.5 Bußgelder, die von der Aufsichtsbehörde gegen eine bestimmte Partei für Verstöße verhängt werden, die ausschließlich dieser Partei zuzurechnen sind, trägt diese Partei, unbeschadet eines etwaigen Rückgriffsrechts.
15.1 Bei einem schwerwiegenden, zurechenbaren Verstoß des Auftragsverarbeiters gegen die Kernpflichten aus diesem Auftragsverarbeitungsvertrag (insbesondere die Pflichten aus den Artikeln 4, 6, 7, 10 und 12), der nicht innerhalb von 30 Tagen nach schriftlicher Mahnung behoben wird, verwirkt der Auftragsverarbeiter eine sofort fällige Vertragsstrafe in Höhe von 5.000 EUR je Verstoß, zuzüglich 500 EUR pro Tag, an dem der Verstoß andauert, bis zu einem Höchstbetrag von 25.000 EUR je Verstoß und einem Gesamthöchstbetrag von 50.000 EUR pro Kalenderjahr.
15.2 Diese Vertragsstrafe lässt das Recht des Verantwortlichen unberührt, daneben Erfüllung, Rücktritt oder zusätzlichen oder ersatzweisen Schadensersatz zu verlangen, wobei die Vertragsstrafe auf einen etwaig zugesprochenen Schadensersatz angerechnet wird.
15.3 Die gesamte finanzielle Haftung des Auftragsverarbeiters (einschließlich der Vertragsstrafe aus diesem Artikel und des Schadensersatzes aus Artikel 14) ist auf die in den AGB festgelegte Haftungshöchstgrenze beschränkt, es sei denn, zwingendes Recht lässt eine Berufung auf die Beschränkung nicht zu (etwa bei Vorsatz oder bewusster Fahrlässigkeit der Geschäftsleitung des Auftragsverarbeiters).
16.1 Dieser Auftragsverarbeitungsvertrag tritt am Tag des Inkrafttretens des Hauptvertrages in Kraft (oder, falls dieser Auftragsverarbeitungsvertrag zu einem späteren Zeitpunkt unterzeichnet wird, am Datum der letzten Unterzeichnung) und läuft so lange, wie der Hauptvertrag in Kraft ist.
16.2 Die Beendigung des Hauptvertrages, aus welchem Grund auch immer, führt von Rechts wegen zur Beendigung dieses Auftragsverarbeitungsvertrags, mit Ausnahme derjenigen Bestimmungen, die ihrer Natur nach dazu bestimmt sind, die Beendigung zu überdauern (darunter Vertraulichkeit, Rückgabe oder Löschung von Daten, Haftung und anwendbares Recht).
16.3 Die Beendigung dieses Auftragsverarbeitungsvertrags lässt die Pflichten des Auftragsverarbeiters zur Rückgabe oder Löschung personenbezogener Daten (Artikel 13) unberührt.
16.4 Die Parteien können diesen Auftragsverarbeitungsvertrag ohne gerichtliche Mitwirkung mit sofortiger Wirkung schriftlich (ganz oder teilweise) kündigen, wenn die andere Partei eine oder mehrere Kernpflichten aus diesem Auftragsverarbeitungsvertrag in zurechenbarer Weise verletzt und die Pflichtverletzung nach schriftlicher Mahnung und einer angemessenen Nachfrist (von mindestens 30 Tagen) nicht behoben wurde.
17.1 Bei Widersprüchen zwischen den zwischen den Parteien geltenden Dokumenten gilt die folgende Rangordnung, wobei das höherrangige Dokument Vorrang hat:
soweit die Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss betroffen ist: die SCC (Anlage 4);
dieser Auftragsverarbeitungsvertrag (einschließlich Anlagen 1 bis 3 und 5);
die AGB zum Hauptvertrag;
die Datenschutzerklärung des Auftragsverarbeiters, nur soweit sie auf die Verarbeitungen im Rahmen dieses Auftragsverarbeitungsvertrags anwendbar ist und niemals abweichend von der DSGVO.
17.2 Änderungen und Ergänzungen dieses Auftragsverarbeitungsvertrags sind nur wirksam, wenn sie zwischen den Parteien schriftlich vereinbart werden. Der Auftragsverarbeiter ist jedoch berechtigt, diesen Auftragsverarbeitungsvertrag einseitig anzupassen, sofern dies aufgrund zwingenden Rechts, einer Entscheidung einer zuständigen Aufsichtsbehörde oder eines Gerichts oder einer Änderung der von der Europäischen Kommission festgelegten SCC erforderlich ist. Der Auftragsverarbeiter wird den Verantwortlichen hierüber rechtzeitig (mindestens 30 Tage im Voraus) informieren.
17.3 Rechte und Pflichten aus diesem Auftragsverarbeitungsvertrag dürfen ohne vorherige schriftliche Zustimmung der anderen Partei nicht auf einen Dritten übertragen werden, außer im Rahmen einer Umstrukturierung, Fusion oder Übernahme innerhalb der Unternehmensgruppe des Auftragsverarbeiters, sofern das Schutzniveau für betroffene Personen dadurch nicht verringert wird.
17.4 Sollte eine Bestimmung dieses Auftragsverarbeitungsvertrags nichtig oder anfechtbar sein oder werden, so bleiben die übrigen Bestimmungen uneingeschränkt in Kraft. Die Parteien werden in diesem Fall im gegenseitigen Einvernehmen eine Ersatzbestimmung vereinbaren, die dem Sinn und Zweck der nichtigen oder angefochtenen Bestimmung möglichst nahekommt.
17.5 Mitteilungen im Rahmen dieses Auftragsverarbeitungsvertrags erfolgen schriftlich (auch per E-Mail) an die in Anlage 5 (Ansprechpartner) genannten Ansprechpartner oder an eine später von einer Partei schriftlich angegebene Adresse.
18.1 Auf diesen Auftragsverarbeitungsvertrag ist ausschließlich niederländisches Recht anwendbar.
18.2 Alle Streitigkeiten, die zwischen den Parteien im Zusammenhang mit diesem Auftragsverarbeitungsvertrag entstehen, werden ausschließlich dem zuständigen Richter des Bezirksgerichts Midden-Nederland, Standort Utrecht, vorgelegt, unbeschadet des Rechts der Parteien, einstweiligen Rechtsschutz zu beantragen.
18.3 Dies lässt das Recht einer betroffenen Person unberührt, gemäß Art. 79 DSGVO Klage bei einem anderen zuständigen Gericht (einschließlich des Gerichts am Wohnort der betroffenen Person) zu erheben.
Gegenstand der Verarbeitung ist die Bereitstellung des ModbusCloud-SaaS-Dienstes durch den Auftragsverarbeiter an den Verantwortlichen auf Grundlage des Hauptvertrages. Die Plattform ermöglicht es dem Verantwortlichen (dem Installateur), im Auftrag seiner Endkunden angeschlossene Modbus-Geräte aus der Ferne zu überwachen, zu analysieren und (innerhalb vorher festgelegter Grenzen) zu steuern.
Überwachung und Visualisierung von Modbus-Gerätedaten;
Alarmierung (bei Über- oder Unterschreitung von Schwellenwerten);
Automatisierung und Regelungsstrategien;
Berichterstattung und Datenanalyse;
Befehlssteuerung an autorisierte Geräte;
Service und Verwaltung durch den Verantwortlichen in seiner Rolle als Installateur;
Rechnungsstellung, Support, Sicherheit und Einhaltung gesetzlicher Pflichten, soweit dies als eigenständige Verarbeitung durch den Auftragsverarbeiter erfolgt (siehe Artikel 3.4 des AVV).
Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (einschließlich Gesundheitsdaten, Biometrie, politischer oder weltanschaulicher Daten) oder strafrechtlicher Daten im Sinne des Art. 10 DSGVO bestimmt.
Der Verantwortliche:
gibt keine besonderen Kategorien personenbezogener Daten und keine Daten im Sinne des Art. 10 in die Plattform ein, weder in Freitextfeldern, Gerätenamen, Berichten noch anderweitig;
gibt keine Daten von betroffenen Personen unter 16 Jahren ohne gültige Rechtsgrundlage ein;
ist dafür verantwortlich, dass die von ihm oder in seinem Auftrag eingegebenen Daten rechtmäßig erlangt wurden und über die Plattform verarbeitet werden dürfen.
Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter im Sinne des Art. 32 DSGVO getroffen hat. Der Auftragsverarbeiter kann die Maßnahmen auf Grundlage des Standes der Technik anpassen, sofern das Sicherheitsniveau dabei nicht wesentlich sinkt.
Der Auftragsverarbeiter verhindert den unbefugten Zugang zu personenbezogenen Daten durch ein zusammenhängendes System technischer Maßnahmen.
Verschlüsselung bei der Übertragung: der gesamte Verkehr zwischen der Plattform, dem MCG-1-Gateway und dem Nutzer erfolgt über TLS 1.2 oder höher, mit modernen Ciphersuites und HSTS auf den Webportalen.
Verschlüsselung im Ruhezustand: Daten werden mit AES-256 verschlüsselt gespeichert, sowohl in der Supabase-Produktionsdatenbank als auch in den Back-ups beim Hosting-Anbieter.
Row Level Security (RLS): in der PostgreSQL-Datenbank wird die Mandantentrennung über Row-Level-Security-Richtlinien erzwungen, damit Daten verschiedener Verantwortlicher strikt getrennt bleiben.
Role Based Access Control (RBAC): der Zugriff auf (Produktions-)Systeme wird nach dem Least-Privilege-Prinzip gewährt, aufgegliedert nach Rolle (Endkunde, Installateur, Administrator, Entwickler).
Obligatorische 2FA: für alle Produktionszugriffe durch Mitarbeiter und Administratoren des Auftragsverarbeiters gilt eine obligatorische Zwei-Faktor-Authentifizierung.
Passwortsicherheit: Passwörter werden ausschließlich als Hash unter Verwendung von bcrypt oder Argon2 mit einem angemessenen Work Factor gespeichert.
Föderierte Authentifizierung: Endnutzer können sich über OAuth-2.0-Verbindungen mit Google oder Microsoft (Entra ID) anmelden, wobei die föderierte Identität mit einem Plattform-Konto verknüpft wird.
Audit-Trail: kritische Handlungen (wie Anmeldeversuche, Rollenänderungen, Gerätebefehle und Konfigurationsänderungen) werden in einer unveränderlichen Protokolldatei mit Nutzer, Zeitstempel und Aktion festgehalten.
Der Auftragsverarbeiter setzt nach Möglichkeit Pseudonymisierungstechniken ein, um die unmittelbare Zurückführbarkeit zu begrenzen.
Feldverschlüsselung: sensible Felder (u. a. OAuth-Refresh-Token, API-Schlüssel und externe Token) werden zusätzlich auf Anwendungsebene verschlüsselt, bevor sie in der Datenbank gespeichert werden.
IP-Pseudonymisierung: nach Möglichkeit werden IP-Adressen in Protokollen und Analysen maskiert oder gekürzt.
Umgebungstrennung: die Produktionsumgebung ist strikt von Test- und Entwicklungsumgebungen getrennt. In Test- und Entwicklungsumgebungen werden grundsätzlich keine Produktionsdaten verwendet; ist dies ausnahmsweise erforderlich, kommen anonymisierte oder pseudonymisierte Datensätze zum Einsatz.
Der Auftragsverarbeiter sorgt für ein angemessenes Niveau an Verfügbarkeit und Wiederherstellung nach Zwischenfällen.
Back-ups: tägliche Back-ups, ergänzt durch Point-In-Time-Recovery (PITR) über Supabase oder gleichwertige Einrichtungen.
Geografische Verteilung: Back-ups und Produktionsdaten verbleiben innerhalb des EWR.
Rufbereitschaft: der Auftragsverarbeiter hält einen Entwickler oder operativen Mitarbeiter in Rufbereitschaft für schwerwiegende Zwischenfälle vor.
Monitoring und Alerting: die Plattform wird 24/7 automatisiert auf Verfügbarkeit, Fehlerquoten und Sicherheitsindikatoren überwacht, mit Alerting an die zuständigen Mitarbeiter.
RPO und RTO: das Recovery Point Objective beträgt maximal 24 Stunden und das Recovery Time Objective maximal 72 Stunden für die vollständige Wiederherstellung nach einer schwerwiegenden Störung.
Der Auftragsverarbeiter verfügt über organisatorische Garantien, die die technischen Maßnahmen ergänzen.
Vertraulichkeit: Mitarbeiter und Zulieferer sind an eine Geheimhaltungsvereinbarung (NDA) gebunden, die auch nach Beendigung des Arbeitsverhältnisses oder Auftrags fortbesteht.
Security Awareness Training: alle Mitarbeiter durchlaufen bei Arbeitsantritt ein Security-Awareness-Programm, das jährlich wiederholt und bei Bedarf aktualisiert wird.
Incident Response Plan: der Auftragsverarbeiter verfügt über einen dokumentierten Incident Response Plan mit klaren Rollen, Eskalationspfaden und Kommunikationslinien.
Regelmäßige Zugriffsprüfung: mindestens zweimal jährlich wird geprüft, ob zugewiesene Zugriffsrechte noch angemessen sind (Principle of Least Privilege).
Onboarding und Offboarding: bei Eintritt und Austritt werden Konten zeitgerecht erstellt bzw. entzogen, gemäß festem Protokoll.
AVV-Register: der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO.
Keine Produktionsdaten auf Privatgeräten: Produktionsdaten dürfen nicht auf Privatgeräten gespeichert werden. Grundsatz ist die Nutzung von Geräten, die der Auftragsverarbeiter verwaltet.
Clean Desk und Clear Screen: im Büro gelten eine Clean-Desk-Richtlinie und ein automatisch sperrender Bildschirmschoner auf Arbeitsplätzen.
Der Auftragsverarbeiter betreibt selbst keine physischen Rechenzentren.
Zertifizierte Rechenzentren: die Daten werden bei Anbietern gehostet, deren zugrunde liegende Rechenzentren nach ISO 27001 und SOC 2 zertifiziert sind, darunter Vercel, Supabase, Railway und EMQX Cloud.
Lieferantenkontrolle: der Auftragsverarbeiter prüft vor Inbetriebnahme, ob diese Anbieter angemessene physische Sicherheit bieten (u. a. Zutrittskontrolle, Brandschutz, redundante Energie- und Netzwerkversorgung), und bewertet dies regelmäßig.
Der Auftragsverarbeiter wendet Secure-Development-Prinzipien an.
Secure Coding: Richtlinien auf Grundlage der OWASP Top 10, einschließlich Schutz gegen Injection, Cross-Site-Scripting, unsichere Deserialisierung und unzureichendes Logging.
Dependency Scanning: Abhängigkeiten werden automatisiert auf bekannte Schwachstellen geprüft (über Dependabot, Snyk oder gleichwertig), mit risikoabhängigen Behebungsfristen.
Obligatorische Code-Review: jede Änderung am Produktionscode durchläuft vor dem Merge in den Hauptzweig eine Code-Review durch einen zweiten Entwickler.
Keine hardcodierten Credentials: Geheimnisse werden nicht im Quellcode gespeichert, sondern über einen Secrets-Manager verwaltet und pro Umgebung getrennten Environment Variables zugewiesen.
Umgebungstrennung: Entwicklungs-, Test-, Abnahme- und Produktionsumgebungen sind hinsichtlich Credentials und Netzwerkzugriffs strikt getrennt.
Der Auftragsverarbeiter unterzieht seine Umgebung regelmäßigen unabhängigen Kontrollen.
Jährlicher Penetrationstest oder Security Review: der Auftragsverarbeiter lässt jährlich einen Penetrationstest oder einen gleichwertigen Security Review an der Plattform durchführen.
Externes Vulnerability-Scanning: die externen Angriffsflächen werden regelmäßig automatisiert gescannt, mit Nachverfolgung von Befunden gemäß einem internen SLA.
Mitwirkung bei Audits: der Auftragsverarbeiter wirkt bei Audits des Verantwortlichen gemäß Artikel 11 des AVV mit, höchstens einmal jährlich (außer bei begründetem Anlass wie einer Verletzung des Schutzes personenbezogener Daten).
Der Auftragsverarbeiter verfügt über einen formalen Prozess zur Erkennung, Eindämmung und Meldung von Sicherheitsvorfällen.
Meldefrist von 48 Stunden: innerhalb von 48 Stunden nach Entdeckung wird der Verantwortliche informiert, gemäß Artikel 10 des AVV.
Festes Meldeformat: die Meldung enthält mindestens die Art, den Umfang, die Kategorien betroffener Personen und personenbezogener Daten, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen.
Logging und Forensik: relevante Protokolle werden gesichert, um Untersuchungen zu ermöglichen.
Post-Incident-Review: nach Abschluss eines Vorfalls findet eine interne Auswertung statt, um strukturelle Verbesserungsmaßnahmen zu identifizieren und festzuhalten.
Der Auftragsverarbeiter bereitet sich auf die Pflichten aus dem europäischen Cyber Resilience Act im Hinblick auf die Verpflichtung zum 11. September 2026 vor.
Vulnerability Disclosure Policy: der Auftragsverarbeiter verwendet ein öffentlich auffindbares Responsible-Disclosure-Verfahren, damit Schwachstellen sicher gemeldet werden können.
SBOM: für die Firmware des MCG-1-Gateways wird eine Software Bill of Materials geführt.
Sicherheitspatches: der Auftragsverarbeiter sagt zu, Sicherheitsupdates für die MCG-1-Firmware über eine erwartete Lebensdauer von mindestens 5 Jahren bereitzustellen.
Meldepflicht gegenüber ENISA: der Auftragsverarbeiter bereitet sich auf die aus der CRA folgende Meldepflicht gegenüber ENISA bzw. dem CSIRT ab dem 11. September 2026 für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle in Produkten mit digitalen Elementen vor.
Die nachstehende Tabelle gibt einen Überblick über die vom Auftragsverarbeiter zum Zeitpunkt des Inkrafttretens dieses Auftragsverarbeitungsvertrags beauftragten Unterauftragsverarbeiter.
Aktualisierung: der Auftragsverarbeiter veröffentlicht die aktuelle Liste der Unterauftragsverarbeiter unter modbuscloud.com/dpa/subverwerkers. Neue oder ersetzende Unterauftragsverarbeiter werden mindestens 30 Tage vor Inbetriebnahme angekündigt; der Verantwortliche hat dabei gemäß Artikel 7 des Auftragsverarbeitungsvertrags das Recht, aus begründetem Anlass Widerspruch zu erheben.
Diese Anlage regelt die Anwendung der Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 (nachstehend: "SCC") auf Übermittlungen personenbezogener Daten an Unterauftragsverarbeiter oder andere Empfänger außerhalb des EWR ohne Angemessenheitsbeschluss. Die SCC werden durch Verweis vollständig in diesen Auftragsverarbeitungsvertrag einbezogen.
Module 2 (Controller to Processor): anwendbar auf Übermittlungen durch den Verantwortlichen als Exporteur an den Auftragsverarbeiter als Importeur, soweit der Auftragsverarbeiter als unmittelbarer Empfänger außerhalb des EWR handelt.
Module 3 (Processor to Processor): anwendbar auf Übermittlungen durch den Auftragsverarbeiter als Exporteur im Namen des Verantwortlichen an Unterauftragsverarbeiter als Importeure außerhalb des EWR.
Klausel 7 (Docking clause): die Parteien vereinbaren, dass diese Klausel anwendbar ist. Dritte können mit Zustimmung aller bestehenden Parteien zu einem späteren Zeitpunkt durch Unterzeichnung der Anhänge den SCC beitreten.
Klausel 9 (Sub-processors), Option 2 "Allgemeine schriftliche Genehmigung": der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern aus der in Anlage 3 aufgeführten Liste. Die Frist für die vorherige Mitteilung von Änderungen oder Ersetzungen beträgt 30 Tage.
Klausel 11 (Redress): die Parteien entscheiden sich nicht dafür, Streitigkeiten durch ein unabhängiges Streitbeilegungsorgan entscheiden zu lassen. Die optionale Passage unter Klausel 11(a) findet keine Anwendung. Die Rechte der betroffenen Personen nach Klausel 11 bleiben uneingeschränkt gewahrt.
Klausel 17 (Governing law), Option 1: auf die SCC findet niederländisches Recht Anwendung.
Klausel 18 (Choice of forum and jurisdiction): Streitigkeiten aus den SCC werden ausschließlich vom Bezirksgericht Midden-Nederland, Standort Utrecht, entschieden. Die Befugnisse der betroffenen Personen nach Klausel 18(c) und Art. 79 DSGVO bleiben unberührt.
Datenexporteur: der Verantwortliche, wie auf der Vorderseite des Auftragsverarbeitungsvertrags und in Anlage 5 angegeben.
Datenimporteur: Avanta Systems (handelnd unter dem Namen ModbusCloud), Ceintuurbaan 15, 8022 AW Zwolle, Niederlande, sowie die in Anlage 3 genannten Unterauftragsverarbeiter außerhalb des EWR.
Kontaktdaten sind in Anlage 5 aufgeführt.
Für die Übermittlung relevante Tätigkeiten: wie in Anlage 1 beschrieben.
Rolle unter den SCC: für Module 2 fungiert der Verantwortliche als Exporteur und der Auftragsverarbeiter als Importeur. Für Module 3 fungiert der Auftragsverarbeiter als Exporteur und der jeweilige Unterauftragsverarbeiter als Importeur.
Annex I.B, Beschreibung der Übermittlung
Für die Kategorien betroffener Personen, Kategorien personenbezogener Daten, etwaige besondere Kategorien (nicht anwendbar, siehe Anlage 1 Ziffer 1.7), Häufigkeit, Art, Zweck, Aufbewahrungsfristen und weitere Verarbeitung durch Unterauftragsverarbeiter wird auf Anlage 1 (Spezifikation der Verarbeitung) verwiesen.
Annex I.C, Zuständige Aufsichtsbehörde
Zuständige Aufsichtsbehörde ist die Niederländische Datenschutzbehörde (AP) mit Sitz in Den Haag.
Für die Beschreibung der technischen und organisatorischen Maßnahmen im Sinne des Annex II der SCC wird auf Anlage 2 (TOMs) dieses Auftragsverarbeitungsvertrags verwiesen.
Für die Liste der Unterauftragsverarbeiter im Sinne des Annex III der SCC wird auf Anlage 3 (Unterauftragsverarbeiter) dieses Auftragsverarbeitungsvertrags verwiesen.
Bei Widersprüchen zwischen den SCC und anderen Teilen dieses Auftragsverarbeitungsvertrags oder des Hauptvertrages haben die SCC Vorrang, soweit es die Übermittlung außerhalb des EWR betrifft, im Einklang mit Klausel 5 der SCC.
DPO des Verantwortlichen: falls bestellt: [Ansprechpartner des Verantwortlichen], [E-Mail des Verantwortlichen], [Telefon des Verantwortlichen]. Falls nicht bestellt: nicht anwendbar.
DPO des Auftragsverarbeiters: der Auftragsverarbeiter ist gemäß Art. 37 DSGVO nicht gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet und hat sich derzeit auch nicht freiwillig für dessen Bestellung entschieden. Kontakt in Datenschutzangelegenheiten erfolgt über privacy@modbuscloud.com.
Alle Platzhalter im Parteienblock, Unterzeichnungsblock und in Anlage 5 ausfüllen (Name, Handelsregisternummer, Adresse, E-Mail, Telefon des Installateurs).
Benennung eines ständigen Ansprechpartners für Datenschutzfragen und Meldungen von Datenschutzverletzungen (darf dieselbe Person sein wie der allgemeine Kontakt).
Falls ein Datenschutzbeauftragter (DPO) bestellt ist: Name und Kontaktdaten in Anlage 5.3 eintragen oder ausdrücklich "nicht bestellt" vermerken.
Zusätzlich von einem Juristen prüfen zu lassen:
Abstimmung der Haftungshöchstgrenze und der Vertragsstrafenregelung aus den Artikeln 14 und 15 mit der tatsächlichen Haftungshöchstgrenze in den AGB zum Hauptvertrag sowie Abstimmung mit etwaigen branchenspezifischen Anforderungen (z. B. NIS2, CRA, Energiewirtschaft) und dem Auditansatz nach Artikel 11 (insbesondere die praktische Wirkung von Zertifizierungen als Alternative zu On-site-Audits).
Auftragsverarbeitungsvertrag ModbusCloud
Version 1.0•Zuletzt aktualisiert am 18. April 2026
