Auftragsverarbeitung

Präambel

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen eine Dienstleistung zur Verfügung, die eine externe Schwachstellenanalyse von IT-Systemen durchführt. Hierbei können in Abhängigkeit der Systemkonfiguration auch personenbezogene Daten (z. B. IP-Adressen, E-Mail-Adressen oder öffentlich sichtbare Login-Pfade) erfasst und verarbeitet werden.

Die Verarbeitung erfolgt ausschließlich im Rahmen der vereinbarten Leistungen und auf Grundlage der folgenden Bestimmungen

§1 Gegenstand der Verarbeitung

Der Auftragnehmer führt im Auftrag des Auftraggebers automatisierte, technische Analysen öffentlich erreichbarer IT-Systeme durch. Die Analysen erfolgen auf Basis einer vom Verantwortlichen angegebenen Zieladresse (IP-Adresse oder Domain).

Der Auftragnehmer verarbeitet dabei personenbezogene Daten in Form von durch den Auftraggeber benannten IT-Systemen (z. B. IP-Adressen, Domains). Die Ergebnisse werden in Form von Berichten zur Verfügung gestellt. Der Zugriff erfolgt ausschließlich nach erfolgreicher Authentifizierung.

§2 Art der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Erhebung öffentlich zugänglicher Informationen (z. B. Subdomains, Mail-Konfiguration)
  • Prüfung erreichbarer Dienste auf Schwachstellen (z. B. durch Portscans, CVE-Erkennung)
  • Speicherung von Metadaten und Ergebnissen in Berichtsform
  • Bereitstellung der Berichte im geschützten Kundenbereich
  • Verwaltung von Benutzerkonten (Name, E-Mail-Adresse, Zugangsdaten, 2FA-Token)
  • Versand von Benachrichtigungen an hinterlegte E-Mail-Adressen (optional)

§3 Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der:

  • Erkennung technischer Risiken und Schwachstellen,
  • Verbesserung der Sicherheitssituation beim Verantwortlichen,
  • Erfüllung gesetzlicher und regulatorischer Anforderungen (z. B. ISO 27001, NIS2),
  • Unterstützung von internen Sicherheits- und Risikomanagementprozessen,
  • Bereitstellung eines abgesicherten Kundenbereichs zur Verwaltung von Analysen und Zugriffsrechten.

§4 Kategorien betroffener Personen

Im Rahmen der beauftragten Leistungen können Daten folgender Personengruppen betroffen sein:

  • Mitarbeitende des Verantwortlichen, z. B. IT-Administratoren oder Benutzer von analysierten Systemen
  • Externe Ansprechpartner, deren E-Mail-Adressen oder Kontaktdaten öffentlich in analysierten Bereichen erscheinen
  • Benutzer mit Zugang zum Kundenbereich (z. B. Konto-Inhaber, Berechtigte zur Berichtseinsicht)

§5 Rechte und Pflichten des Auftraggebers

  • Verantwortlichkeit für die Datenverarbeitung
    Der Auftraggeber ist im Sinne der DSGVO für die rechtmäßige Verarbeitung der personenbezogenen Daten zuständig. Er trägt die Verantwortung dafür, dass die Verarbeitung durch den Auftragsverarbeiter auf einer gültigen Rechtsgrundlage erfolgt (z. B. Einwilligung, Vertrag, gesetzliche Verpflichtung).
  • Anweisungsrecht
    Der Auftraggeber darf dem Auftragnehmer nur solche Daten zur Verarbeitung überlassen, deren Verarbeitung rechtmäßig ist. Der Auftragnehmer verarbeitet personenbezogene Daten gem. der automatisierten Vorgänge auf dieser Plattform. Für die Verarbeitung der Daten bedarf es keiner Weisung durch den Auftraggeber.
  • Mitwirkungspflichten
    Der Auftraggeber ist verpflichtet, seinen eigenen gesetzlichen Verpflichtungen (z. B. Informationspflichten, Betroffenenrechte) eigenständig nachzukommen.
  • Vertraulichkeitspflichten gegenüber Dritten
    Der Auftraggeber verpflichtet sich, Zugangsdaten und Inhalte des Kundenkontos vertraulich zu behandeln und Dritten keinen unberechtigten Zugriff zu gewähren.

§7 Pflichten des Auftragsverarbeiters

  • Vertraulichkeit
    Der Auftragnehmer verpflichtet sich, personenbezogene Daten vertraulich zu behandeln. Personen, die Zugang zu Daten haben, sind auf das Datengeheimnis gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet – dies gilt auch bei Einzelunternehmern (Selbstbindung).
  • Technisch-organisatorische Maßnahmen (TOMs)
    Der Auftragnehmer verpflichtet sich zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten.
    Eine Übersicht der jeweils gültigen Maßnahmen ist unter folgender Adresse einsehbar:
    https://threatemy.com/transparency/
  • Unterstützung bei Betroffenenrechten
    Der Auftragnehmer unterstützt den Verantwortlichen – soweit möglich – bei der Erfüllung von Anfragen betroffener Personen (z. B. Auskunft, Löschung, Berichtigung) nach Maßgabe der Art. 12–23 DSGVO.
  • Meldung von Datenschutzverstößen
    Der Auftragnehmer informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen, insbesondere bei unbefugtem Zugriff auf gespeicherte Daten oder Systemkompromittierungen.

§8 Einsatz von Unterauftragnehmern

  • Der Auftragnehmer ist berechtigt, Unterauftragnehmer mit der Verarbeitung personenbezogener Daten zu beauftragen. Dabei stellt er sicher, dass diese vertraglich denselben Datenschutzpflichten unterliegen, wie sie in diesem Vertrag festgelegt sind.
  • Eine aktuelle Liste der eingesetzten Unterauftragnehmer ist unter folgender URL abrufbar:
    https://threatemy.com/transparency/
  • Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragnehmern in angemessener Frist. Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichen Grund widersprechen.

§9 Rückgabe und Löschung der Daten

  • Nach Abschluss der vertraglich vereinbarten Datenverarbeitung oder auf Anweisung des Auftraggebers wird der Auftragnehmer sämtliche in seinem Besitz befindlichen personenbezogenen Daten löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Die Löschung personenbezogener Daten erfolgt entsprechend den geltenden datenschutzrechtlichen Vorgaben.

§10 Schlussbestimmungen

Der Vertrag wird in elektronischer Form geschlossen. Eine handschriftliche Unterzeichnung ist nicht erforderlich, sofern die Zustimmung auf elektronischem Weg dokumentiert wird.

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.