Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV") ist ein rechtlicher Vertrag zwischen Enigma Labs BV und unseren Kunden, der regelt, wie wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, wenn wir unsere Cybersicherheitsdienste bereitstellen.

Was das in einfachen Worten bedeutet:

• Sie (unser Kunde) sind der „Verantwortliche" — Sie entscheiden, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck.
• Wir (Enigma Labs) sind der „Auftragsverarbeiter" — wir verarbeiten personenbezogene Daten ausschließlich nach Ihren Weisungen, um unsere Dienste zu erbringen.
• Dieser Vertrag stellt sicher, dass wir alle Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllen.

Zentrale Zusagen, die wir machen:

| Zusage | Details | |--------|---------| | Beschränkung der Verarbeitung | Wir verarbeiten personenbezogene Daten nur zur Erbringung unserer Cybersicherheitsdienste | | Sicherheit | Wir implementieren starke Sicherheitsmaßnahmen zum Schutz Ihrer Daten | | Meldung von Datenschutzverletzungen | Wir informieren Sie innerhalb von 48 Stunden, wenn es zu einer Sicherheitsverletzung kommt | | Rechte betroffener Personen | Wir unterstützen Sie bei Betroffenenanfragen innerhalb von 5 Werktagen | | Datenlöschung | Wir löschen Ihre Daten innerhalb von 90 Tagen nach Ende unserer Vereinbarung | | Unterauftragsverarbeiter | Wir setzen sorgfältig geprüfte Unterauftragsverarbeiter ein und informieren Sie 7 Tage vor Änderungen |

Dieser AVV gilt zusammen mit unseren Allgemeinen Geschäftsbedingungen und unserer Datenschutzrichtlinie. Besteht ein Widerspruch zwischen diesen Dokumenten in Bezug auf Datenschutz, hat dieser AVV Vorrang.

Für die Zwecke dieses Auftragsverarbeitungsvertrags haben die folgenden Begriffe die nachstehend festgelegte Bedeutung. Begriffe mit Großschreibung, die hierin nicht definiert sind, haben die Bedeutung, die ihnen in der Hauptvereinbarung zugewiesen wird.

| Begriff | Definition | |---------|------------| | „Vereinbarung" | Dieser Auftragsverarbeitungsvertrag einschließlich aller beigefügten Anhänge. | | „Anwendbares Datenschutzrecht" | Alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten nach diesem AVV anwendbar sind, einschließlich u. a. der DSGVO, der UK-DSGVO sowie nationaler Umsetzungs- oder ergänzender Gesetze. | | „Verantwortlicher" | Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Für die Zwecke dieses AVV handelt der Kunde als Verantwortlicher. | | „Kunde" | Die Einheit, die mit Enigma Labs BV die Hauptvereinbarung geschlossen hat, um die Dienste zu nutzen. | | „Kundendaten" | Alle personenbezogenen Daten, die Enigma Labs im Auftrag des Kunden im Zusammenhang mit der Bereitstellung der Dienste verarbeitet. | | „Betroffene Person" | Eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen. | | „AVV" | Dieser Auftragsverarbeitungsvertrag. | | „DSB" | Datenschutzbeauftragter. | | „EWR" | Der Europäische Wirtschaftsraum. | | „DSGVO" | Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). | | „Personenbezogene Daten" | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Art. 4 Abs. 1 DSGVO definiert. | | „Verletzung des Schutzes personenbezogener Daten" | Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. | | „Hauptvereinbarung" | Die Allgemeinen Geschäftsbedingungen oder eine andere Rahmenvereinbarung zwischen Enigma Labs und dem Kunden, die die Erbringung der Dienste regelt. | | „Verarbeitung" | Jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, ob mit oder ohne Hilfe automatisierter Verfahren, wie z. B. Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung. | | „Auftragsverarbeiter" | Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für die Zwecke dieses AVV handelt Enigma Labs als Auftragsverarbeiter. | | „Sicherheitsvorfall" | Jeder tatsächliche oder vermutete unbefugte Zugriff auf, Erwerb, Nutzung, Offenlegung oder Vernichtung von Kundendaten oder jedes andere Ereignis, das die Sicherheit, Vertraulichkeit oder Integrität von Kundendaten beeinträchtigt. Dies umfasst u. a. Ransomware-Angriffe, unbefugten Datenzugriff, Datenexfiltration, Malware-Infektionen mit Bezug zu Kundendaten sowie versehentliche Datenoffenlegung. | | „Dienste" | Die von Enigma Labs für den Kunden erbrachten Cybersicherheitsdienste gemäß der Hauptvereinbarung, einschließlich u. a. KI-gestützter Bedrohungserkennung, Netzwerküberwachung, Schwachstellen-Scanning, Identitäts- und Zugriffsmanagement und Compliance-Reporting. | | „Standardvertragsklauseln" oder „SCCs" | Die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß Verordnung (EU) 2016/679, festgelegt in dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021. | | „Unterauftragsverarbeiter" | Jeder Auftragsverarbeiter, den Enigma Labs beauftragt, Kundendaten im Auftrag des Kunden zu verarbeiten. | | „Aufsichtsbehörde" | Eine unabhängige öffentliche Stelle, die von einem EU-Mitgliedstaat gemäß Art. 51 DSGVO eingerichtet wurde. | | „UK-DSGVO" | Die Datenschutz-Grundverordnung des Vereinigten Königreichs, wie sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des Rechts von England und Wales, Schottland und Nordirland ist. |

2.1 Rollen der Parteien

Die Parteien erkennen an und vereinbaren:

(a) Kunde als Verantwortlicher: Der Kunde handelt als Verantwortlicher für Kundendaten. Der Kunde bestimmt Zwecke und Mittel der Verarbeitung von Kundendaten und ist dafür verantwortlich, dass er nach anwendbarem Datenschutzrecht über eine gültige Rechtsgrundlage für diese Verarbeitung verfügt.

(b) Enigma Labs als Auftragsverarbeiter: Enigma Labs handelt als Auftragsverarbeiter für Kundendaten. Enigma Labs verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich der Weisungen in diesem AVV, der Hauptvereinbarung und soweit zur Erbringung der Dienste erforderlich.

(c) Umfang der Verarbeitung: Dieser AVV gilt für jede Verarbeitung von Kundendaten durch Enigma Labs im Zusammenhang mit der Erbringung der Dienste, unabhängig davon, wo diese Verarbeitung erfolgt.

2.2 Bezug zur Hauptvereinbarung

Dieser AVV wird Bestandteil der Hauptvereinbarung zwischen den Parteien und bildet einen integralen Bestandteil davon. Im Falle eines Widerspruchs zwischen Bestimmungen dieses AVV und der Hauptvereinbarung in Bezug auf den Schutz personenbezogener Daten haben die Bestimmungen dieses AVV Vorrang.

2.3 Enigma Labs als Verantwortlicher

Nichts in diesem AVV berührt die Stellung von Enigma Labs als Verantwortlicher hinsichtlich eigener Kundenkontaktinformationen (z. B. Kontoinformationen, Abrechnungsdetails und geschäftliche Kommunikation), die gemäß der Datenschutzrichtlinie von Enigma Labs verarbeitet werden.

3.1 Dokumentierte Weisungen

Enigma Labs verarbeitet Kundendaten ausschließlich auf dokumentierte Weisungen des Kunden, einschließlich in Bezug auf Übermittlungen von Kundendaten an Drittländer oder internationale Organisationen, sofern Enigma Labs nicht nach anwendbarem Datenschutzrecht oder nach dem Recht der Niederlande zu einer Verarbeitung verpflichtet ist.

3.2 Als erteilt geltende Weisungen

Die Weisungen des Kunden an Enigma Labs zur Verarbeitung von Kundendaten gelten als erteilt durch:

(a) diesen AVV;

(b) die Hauptvereinbarung (Allgemeine Geschäftsbedingungen);

(c) die Nutzung der Dienste und Plattformfunktionen durch den Kunden in Übereinstimmung mit der Dokumentation;

(d) etwaige schriftliche Weisungen, die der Kunde Enigma Labs über autorisierte Kanäle erteilt.

3.3 Prüfung von Weisungen

Enigma Labs informiert den Kunden unverzüglich, wenn Enigma Labs der Ansicht ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt, es sei denn, Enigma Labs ist aus wichtigen Gründen des öffentlichen Interesses daran gehindert, den Kunden zu informieren.

3.4 Rechtmäßigkeit der Weisungen

Der Kunde sichert zu und gewährleistet, dass:

(a) er alle erforderlichen Einwilligungen eingeholt hat und/oder über eine andere gültige Rechtsgrundlage für die Verarbeitung von Kundendaten nach anwendbarem Datenschutzrecht verfügt;

(b) seine Weisungen an Enigma Labs zur Verarbeitung von Kundendaten mit anwendbarem Datenschutzrecht im Einklang stehen;

(c) er betroffene Personen gemäß anwendbarem Datenschutzrecht angemessen über die Verarbeitung ihrer personenbezogenen Daten informiert hat.

3.5 Zusätzliche Weisungen

Benötigt der Kunde, dass Enigma Labs Kundendaten in einer Weise verarbeitet, die außerhalb des Umfangs der als erteilt geltenden Weisungen nach Abschnitt 3.2 liegt, erteilt der Kunde solche zusätzlichen Weisungen schriftlich. Enigma Labs prüft, ob es diese zusätzlichen Weisungen erfüllen kann, und informiert den Kunden innerhalb einer angemessenen Frist über etwaige zusätzliche Kosten oder technische Anforderungen.

Enigma Labs verpflichtet sich zur Einhaltung der Pflichten nach Art. 28 Abs. 3 DSGVO und wird:

4.1 Verarbeitung nur auf dokumentierte Weisungen

Kundendaten nur auf dokumentierte Weisungen des Kunden verarbeiten, einschließlich in Bezug auf Übermittlungen an Drittländer oder internationale Organisationen, außer soweit Enigma Labs nach anwendbarem Datenschutzrecht dazu verpflichtet ist.

4.2 Vertraulichkeit des Personals sicherstellen

Angemessene Schritte unternehmen, um die Zuverlässigkeit von Personal sicherzustellen, das Zugriff auf Kundendaten hat, und gewährleisten, dass dieses Personal:

(a) zur Vertraulichkeit in Bezug auf Kundendaten verpflichtet ist;

(b) eine angemessene Schulung zu Datenschutz und Sicherheit erhalten hat;

(c) Zugriff auf Kundendaten nur nach dem Need-to-know-Prinzip hat.

4.3 Geeignete Sicherheitsmaßnahmen umsetzen

Geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in Anhang 2 (Technische und organisatorische Maßnahmen) näher beschrieben.

4.4 Bedingungen für Unterauftragsverarbeiter beachten

Keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Kunden beauftragen, gemäß Abschnitt 6 (Unterauftragsverarbeiter).

4.5 Unterstützung bei Rechten betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung den Kunden durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit möglich, damit der Kunde seinen Verpflichtungen zur Beantwortung von Anträgen zur Ausübung der Rechte betroffener Personen nach Kapitel III DSGVO nachkommen kann.

4.6 Unterstützung bei Sicherheit, Meldungen und DSFA

Unter Berücksichtigung der Art der Verarbeitung und der Enigma Labs verfügbaren Informationen:

(a) den Kunden bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO zu Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen unterstützen;

(b) dem Kunden alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen;

(c) Audits einschließlich Inspektionen ermöglichen und dazu beitragen, die der Kunde oder ein vom Kunden beauftragter Prüfer gemäß Abschnitt 11 (Auditrechte) durchführt.

4.7 Daten nach Ende der Dienste löschen oder zurückgeben

Nach Wahl des Kunden alle Kundendaten nach Ende der Erbringung der Dienste, die sich auf die Verarbeitung beziehen, löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, sofern nicht anwendbares Datenschutzrecht eine Speicherung personenbezogener Daten verlangt, gemäß Abschnitt 12 (Datenspeicherung und Löschung).

4.8 Verantwortlichen über Nichtkonformität informieren

Den Kunden unverzüglich informieren, wenn Enigma Labs der Ansicht ist, dass eine Weisung gegen anwendbares Datenschutzrecht oder andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten verstößt.

5.1 Allgemeine Sicherheitspflicht

Enigma Labs implementiert und unterhält geeignete technische und organisatorische Sicherheitsmaßnahmen, um Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung, Beschädigung, Diebstahl, Veränderung oder Offenlegung zu schützen.

5.2 Technische und organisatorische Maßnahmen

Die konkreten technischen und organisatorischen Maßnahmen von Enigma Labs sind in Anhang 2 (Technische und organisatorische Maßnahmen) detailliert beschrieben. Diese Maßnahmen umfassen u. a.:

(a) Zugriffskontrollen und Authentifizierungsmechanismen; (b) Verschlüsselung von Daten bei Übertragung und Speicherung; (c) Netzwerksicherheit und Monitoring; (d) Anwendungssicherheitspraktiken; (e) Datenschutz und Datenminimierung; (f) Sicherheitsereignisprotokollierung und -überwachung; (g) Physische Sicherheitskontrollen; (h) Geschäftskontinuitäts- und Notfallwiederherstellungsmaßnahmen.

5.3 Regelmäßige Tests und Evaluierung

Enigma Labs testet, bewertet und evaluiert regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

5.4 Personalsicherheit

Enigma Labs stellt sicher, dass sämtliches Personal mit Zugriff auf Kundendaten:

(a) Hintergrundüberprüfungen durchläuft, soweit nach Recht zulässig; (b) regelmäßig Schulungen zur Sicherheitssensibilisierung und zum Datenschutz erhält; (c) Vertraulichkeitsverpflichtungen unterliegt.

5.5 Sicherheitsdokumentation

Enigma Labs führt Dokumentation zu seinen Sicherheitsmaßnahmen und stellt diese dem Kunden auf Anfrage zur Verfügung.

5.6 Sicherheitszertifizierungen

| Zertifizierung | Status | Zielzeitplan | |----------------|--------|--------------| | ISO 27001 (Informationssicherheits-Management) | In Bearbeitung | 2026 | | ISO 27017 (Cloud-Sicherheitskontrollen) | In Bearbeitung | 2026 | | ISO 27018 (Cloud-Datenschutz) | In Bearbeitung | 2026 |

6.1 Allgemeine Genehmigung

Der Kunde erteilt Enigma Labs eine allgemeine Genehmigung, Unterauftragsverarbeiter zur Verarbeitung von Kundendaten im Auftrag des Kunden einzusetzen.

6.2 Anforderungen an Unterauftragsverarbeiter

Enigma Labs stellt sicher, dass jeder Unterauftragsverarbeiter:

(a) durch einen schriftlichen Vertrag gebunden ist, der dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt wie Enigma Labs nach diesem AVV; (b) Kundendaten nur in dem Umfang verarbeitet, der zur Erbringung der an ihn untervergebenen Leistungen erforderlich ist; (c) geeignete technische und organisatorische Sicherheitsmaßnahmen implementiert; (d) anwendbares Datenschutzrecht einhält.

6.3 Überwachung von Unterauftragsverarbeitern

Enigma Labs führt regelmäßige Sicherheitsbewertungen von Unterauftragsverarbeitern durch.

6.4 Änderungen bei Unterauftragsverarbeitern

(a) Vorankündigung: Enigma Labs informiert den Kunden mindestens sieben (7) Tage im Voraus schriftlich. (b) Mitteilungsweg: Per E-Mail und Aktualisierung der Liste unter https://enigmalabs.nl/legal/sub-processors. (c) Widerspruchsrecht: Der Kunde kann innerhalb von sieben (7) Tagen widersprechen. (d) Einigungsprozess: Bei Widerspruch beraten die Parteien nach Treu und Glauben.

6.5 Haftung für Unterauftragsverarbeiter

Enigma Labs bleibt dem Kunden gegenüber vollständig für die Erfüllung der Pflichten eines Unterauftragsverarbeiters nach diesem AVV verantwortlich.

7.1 Unterstützung bei Betroffenenanfragen

Enigma Labs unterstützt den Kunden bei Anträgen betroffener Personen nach Kapitel III DSGVO, einschließlich:

(a) Auskunftsrecht (Art. 15); (b) Recht auf Berichtigung (Art. 16); (c) Recht auf Löschung (Art. 17); (d) Recht auf Einschränkung der Verarbeitung (Art. 18); (e) Recht auf Datenübertragbarkeit (Art. 20); (f) Widerspruchsrecht (Art. 21); (g) Rechte im Zusammenhang mit automatisierten Entscheidungen (Art. 22).

7.2 Mitteilung bei direkten Anfragen

Erhält Enigma Labs eine Anfrage direkt von einer betroffenen Person, wird Enigma Labs:

(a) ohne vorherige schriftliche Genehmigung des Kunden nicht auf die Anfrage antworten; (b) die Anfrage unverzüglich (innerhalb von 48 Stunden) an den Kunden weiterleiten; (c) dem Kunden angemessene Kooperation und Unterstützung leisten.

7.3 Technische Maßnahmen

Enigma Labs implementiert geeignete technische Maßnahmen zur Unterstützung bei Betroffenenrechten.

7.4 Fristen und Kosten

(a) Antwortfrist: Innerhalb von fünf (5) Werktagen. (b) Kosten: Angemessene Unterstützung ohne zusätzliche Kosten (bis zu 10 Anfragen pro Monat).

8.1 Definition eines Sicherheitsvorfalls

Ein „Sicherheitsvorfall" ist jede tatsächliche oder begründeterweise vermutete unbefugte Zugriffsnahme, Erwerb, Nutzung, Offenlegung oder Vernichtung von Kundendaten.

8.2 Benachrichtigung über Sicherheitsvorfälle

(a) Frist: Innerhalb von achtundvierzig (48) Stunden nach Kenntniserlangung. (b) Mitteilungsweg: Per E-Mail an den vom Kunden benannten Sicherheitskontakt. (c) Inhalt der Benachrichtigung: Art des Vorfalls, voraussichtliche Folgen, ergriffene Maßnahmen, Kontaktdaten. (d) Laufende Updates: Mindestens alle 24 Stunden während aktiver Vorfallreaktion.

8.3 Kooperation und Abhilfe

Enigma Labs kooperiert mit dem Kunden bei der Untersuchung, Minderung und Behebung jedes Sicherheitsvorfalls.

8.4 Dokumentation und Aufzeichnungen

Enigma Labs führt Aufzeichnungen über alle Sicherheitsvorfälle.

9.1 Unterstützung bei DSFA

Enigma Labs unterstützt den Kunden bei jeder Datenschutz-Folgenabschätzung („DSFA") nach Art. 35 DSGVO.

9.2 Vorherige Konsultation

Bei erforderlicher Konsultation einer Aufsichtsbehörde nach Art. 36 DSGVO leistet Enigma Labs angemessene Unterstützung.

9.3 Bereitstellung von Informationen

Antwortfrist: Innerhalb von fünfzehn (15) Werktagen.

10.1 Hosting in der EU

Enigma Labs hostet Kundendaten innerhalb der Europäischen Union auf Scaleway-Cloud-Infrastruktur in Paris (Frankreich) und Amsterdam (Niederlande).

10.2 Übermittlungen außerhalb des EWR

Übermittlungen erfolgen nur auf Grundlage von:

(a) Angemessenheitsbeschluss nach Art. 45 DSGVO; (b) EU-Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO; (c) Verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 2 lit. b DSGVO; (d) Anderen gültigen Übermittlungsmechanismen.

10.3 Standardvertragsklauseln

Die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) werden durch Verweis einbezogen (siehe Anhang 4).

10.4 Folgenabschätzungen für Übermittlungen

Enigma Labs führt Folgenabschätzungen für Übermittlungen (Transfer Impact Assessments, TIAs) durch.

10.5 Ergänzende Maßnahmen

Soweit erforderlich, implementiert Enigma Labs geeignete ergänzende Maßnahmen.

10.6 Vorrangregel

Im Falle eines Widerspruchs haben die SCCs Vorrang.

11.1 Dokumentation und Nachweise

Enigma Labs stellt alle Informationen zur Verfügung, um die Einhaltung nach Art. 28 DSGVO nachzuweisen.

11.2 Primäre Auditmethode: Drittberichte

Enigma Labs stellt zur Verfügung:

(a) Kopien von ISO 27001-, ISO 27017- und ISO 27018-Zertifikaten (sobald erlangt); (b) Kopien von SOC 2 Type II-Berichten (sobald erlangt); (c) Antworten auf angemessene Sicherheitsfragebögen (bis zu 100 Fragen jährlich).

11.3 Vor-Ort-Audits

Vor-Ort-Audits nur zulässig, wenn:

(a) Drittberichte nicht ausreichen; (b) nach einem bestätigten Sicherheitsvorfall; (c) nach anwendbarem Datenschutzrecht erforderlich.

11.4 Bedingungen für Vor-Ort-Audits

(a) Vorankündigung: Mindestens dreißig (30) Tage. (b) Zeitpunkt: Während normaler Geschäftszeiten. (c) Vertraulichkeit: Prüfer sind zur Vertraulichkeit verpflichtet. (d) Kosten: Kunde trägt alle Kosten. (e) Häufigkeit: Höchstens ein (1) Audit pro Kalenderjahr.

12.1 Dauer der Verarbeitung

Für die Dauer der Hauptvereinbarung.

12.2 Datenexportfrist

Dreißig (30) Tage nach Beendigung.

12.3 Datenlöschung

(a) Frist: Innerhalb von neunzig (90) Tagen nach Ablauf der Exportfrist. (b) Methode: Branchenübliche sichere Löschverfahren.

12.4 Löschbestätigung

Auf Anfrage innerhalb von sechzig (60) Tagen nach dem Löschdatum.

12.5 Rückgabe von Daten

Auf schriftliche Anfrage vor Beendigung in strukturiertem, gängigem und maschinenlesbarem Format.

13.1 Haftungsobergrenze

Die Haftungsobergrenze entspricht der Hauptvereinbarung: zwölf (12) Monate der gezahlten Gebühren.

13.2 Ausnahmen von der Haftungsobergrenze

(a) Grobe Fahrlässigkeit oder Vorsatz; (b) Verletzung von Vertraulichkeitsverpflichtungen; (c) Freistellungsverpflichtungen; (d) Verstöße, die nach DSGVO nicht beschränkt werden dürfen; (e) Tod oder Körperverletzung; (f) Betrug oder arglistige Täuschung.

13.3 Zuweisung behördlicher Bußgelder

Jede Partei ist für eigene Verstöße verantwortlich.

13.4 Freistellung bei Ansprüchen betroffener Personen

Gegenseitige Freistellungspflichten.

13.5 Keine Freistellung für behördliche Sanktionen

Keine Partei stellt die andere von behördlichen Bußgeldern frei.

14.1 Wirksamkeitsdatum

Zum früheren Zeitpunkt: Abschluss der Hauptvereinbarung oder erstmalige Nutzung der Dienste.

14.2 Dauer

Für die Dauer der Hauptvereinbarung.

14.3 Fortgeltende Bestimmungen

Abschnitt 12, 13 und 15 gelten fort.

14.4 Auswirkungen auf die Hauptvereinbarung

Die Beendigung dieses AVV berührt die Hauptvereinbarung nicht.

15.1 Gesamte Vereinbarung

Dieser AVV zusammen mit der Hauptvereinbarung bildet die gesamte Vereinbarung.

15.2 Änderungen

Schriftlich und von beiden Parteien unterzeichnet. Wesentliche Änderungen werden 30 Tage vorher mitgeteilt.

15.3 Salvatorische Klausel

Unwirksame Bestimmungen werden angepasst oder abgetrennt.

15.4 Keine Drittbegünstigten

Keine Rechte zugunsten Dritter.

15.5 Rangfolge

Dieser AVV hat Vorrang in Datenschutzfragen; SCCs haben Vorrang vor diesem AVV.

15.6 Anwendbares Recht

Recht der Niederlande.

15.7 Streitbeilegung

NAI-Schiedsverfahren in Amsterdam.

15.8 Verzicht

Nur schriftlich wirksam.

15.9 Abtretung

Enigma Labs darf an verbundene Unternehmen abtreten.

15.10 Mitteilungen

Schriftlich an die in Abschnitt 16 genannten Adressen.

16.1 Anfragen zum AVV

| Kontaktmethode | Details | |----------------|---------| | E-Mail | legal@enigmalabs.nl | | Post | Enigma Labs BV, z. Hd.: Legal Department, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Niederlande |

16.2 Datenschutzbeauftragter

| Kontaktmethode | Details | |----------------|---------| | E-Mail | dpo@enigmalabs.nl | | Post | Enigma Labs BV, z. Hd.: Datenschutzbeauftragter, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Niederlande |

16.3 Vom Kunden benannter Kontakt

Der Kunde benennt einen primären Ansprechpartner für AVV-Themen.

16.4 Alternative Kontakte

| Zweck | Kontakt | |-------|---------| | Sicherheitsvorfälle | security@enigmalabs.nl | | Allgemeiner Support | support@enigmalabs.nl | | Datenschutzanfragen | privacy@enigmalabs.nl |

17.1 Verbindliche Vereinbarung

Dieser AVV wird rechtlich verbindlich durch:

(a) elektronische Annahme über die Dienste; (b) Unterzeichnung der Hauptvereinbarung; (c) erstmalige Nutzung der Dienste.

17.2 Keine handschriftliche Unterschrift erforderlich

Elektronische Annahme, einschließlich Klicken auf „Ich akzeptiere", stellt eine wirksame Annahme dar.

17.3 Ausfertigungen

Jede Ausfertigung gilt als Original.

17.4 Befugnis

Jede Partei sichert rechtliche Befugnis zu.

A1.1 Gegenstand

Bereitstellung der Cybersicherheits-SaaS-Plattformdienste von Enigma Labs.

A1.2 Dauer

Laufzeit der Hauptvereinbarung zuzüglich Aufbewahrungsfrist.

A1.3 Art und Zweck der Verarbeitung

| Element | Details | |---------|---------| | Art der Verarbeitung | Erhebung, Speicherung, Analyse, Alarmierung, Reporting und Löschung sicherheitsbezogener Daten. | | Zweck der Verarbeitung | Erbringung von Cybersicherheitsdiensten: Bedrohungserkennung, Netzwerküberwachung, Schwachstellenbewertung, Identitäts- und Zugriffsmanagement, Compliance-Reporting, SOC-Automatisierung. |

A1.4 Arten personenbezogener Daten

| Kategorie | Beispiele | |-----------|-----------| | Mitarbeiter-Identifikatoren | Namen, Benutzernamen, Mitarbeiter-IDs, E-Mail-Adressen, Stellenbezeichnungen | | Netzwerk-Identifikatoren | IP-Adressen, Geräte-IDs, MAC-Adressen, Hostnamen | | Authentifizierungsdaten | Anmeldezeitstempel, Abmeldezeitstempel, Sitzungsinformationen, MFA-Status | | Sicherheitsereignisdaten | Zugriffsprotokolle, Bedrohungswarnungen, Anomalieerkennungsdaten, Audit-Trails | | IAM-Daten | Nutzerrollen, Berechtigungen, Gruppenmitgliedschaften, Zugriffsrechte |

A1.5 Kategorien betroffener Personen

| Kategorie | Beschreibung | |-----------|--------------| | Mitarbeiter des Kunden | Mitarbeiter, die überwachte Systeme nutzen | | Auftragnehmer und Berater des Kunden | Externe mit Zugriff auf Kundensysteme | | Endnutzer des Kunden | Endnutzer von Produkten/Diensten des Kunden | | Netzwerknutzer | Personen, deren Daten das Netzwerk durchlaufen |

A1.6 Pflichten des Verantwortlichen

Der Kunde muss gültige Rechtsgrundlage sicherstellen, betroffene Personen informieren und anwendbares Datenschutzrecht einhalten.

A1.7 Pflichten des Auftragsverarbeiters

Enigma Labs muss Kundendaten nur auf Weisung verarbeiten, Sicherheitsmaßnahmen implementieren, Unterauftragsverarbeiter gemäß AVV einsetzen und Audits ermöglichen.

A2.1 Organisatorische Maßnahmen

| Maßnahme | Umsetzung | |----------|-----------| | Informationssicherheitsrichtlinien | Umfassende Richtlinien nach ISO-27001-Standards | | Sicherheitsrollen | Klare Verantwortlichkeiten inkl. Informationssicherheitsbeauftragter | | Hintergrundprüfungen | Soweit rechtlich zulässig | | Schulungen zur Sicherheitssensibilisierung | Regelmäßige Schulungen für alle Mitarbeiter | | Vertraulichkeitsvereinbarungen | Vertragliche oder gesetzliche Bindung | | Vorfallreaktionsverfahren | Dokumentierte Verfahren mit regelmäßigen Tests | | Geschäftskontinuitätsplanung | Pläne für Geschäftskontinuität und Notfallwiederherstellung | | Lieferanten-Risikomanagement | Bewertung und Überwachung von Drittanbietern | | Regelmäßige Sicherheitsbewertungen | Schwachstellenscans und Penetrationstests |

A2.2 Technische Maßnahmen

Zugriffskontrolle

| Kontrolle | Umsetzung | |-----------|-----------| | Rollenbasierte Zugriffskontrolle (RBAC) | Nach dem Prinzip der geringsten Privilegien | | Multi-Faktor-Authentifizierung (MFA) | Verpflichtend für administrativen Zugriff | | Eindeutige Nutzer-IDs | Für alle Systeme und Anwendungen | | Zugriffsreviews | Regelmäßige Überprüfungen | | Privilegiertes Zugriffsmanagement | Erweiterte Kontrollen für privilegierte Konten |

Verschlüsselung

| Kontrolle | Umsetzung | |-----------|-----------| | Daten bei Übertragung | TLS 1.2 oder höher | | Daten bei Speicherung | AES-256 | | Schlüsselmanagement | Nach Industriestandards |

Netzwerksicherheit

| Kontrolle | Umsetzung | |-----------|-----------| | Firewalls | Netzwerk-Firewalls | | Intrusion Detection/Prevention | IDS/IPS-Systeme | | Netzwerksegmentierung | Isolation kritischer Systeme | | DDoS-Schutz | Verfügbarkeitsmaßnahmen | | VPN | Für administrativen Zugriff |

Anwendungssicherheit

| Kontrolle | Umsetzung | |-----------|-----------| | Sicherer Softwareentwicklungslebenszyklus | Sicherheit in allen Entwicklungsphasen | | Code-Reviews | Identifikation von Sicherheitslücken | | Schwachstellen-Scanning | Regelmäßige Scans | | Penetrationstests | Periodische Tests | | Web Application Firewall (WAF) | Schutz vor gängigen Angriffen |

Datenschutz

| Kontrolle | Umsetzung | |-----------|-----------| | Datenklassifizierung | Identifikation und Schutz sensibler Daten | | Datenminimierung | Nur erforderliche Daten | | Pseudonymisierung | Wo geeignet | | Sichere Löschung | Unwiderrufliche Löschung |

Monitoring und Logging

| Kontrolle | Umsetzung | |-----------|-----------| | Sicherheitsereignisprotokollierung | Umfassende Protokollierung | | Schutz der Log-Integrität | Vor Manipulation geschützt | | Anomalieerkennung | Identifikation verdächtiger Aktivitäten | | 24/7-Monitoring | Rund um die Uhr |

Physische Sicherheit

| Kontrolle | Umsetzung | |-----------|-----------| | Zutrittskontrollen im Rechenzentrum | MFA, Sicherheitspersonal, Videoüberwachung (über Scaleway) | | Umweltkontrollen | Schutz vor Feuer, Wasser | | Gerätesicherheit | Sichere Entsorgung |

Verfügbarkeit

| Kontrolle | Umsetzung | |-----------|-----------| | Redundante Infrastruktur | Gewährleistet Verfügbarkeit | | Automatisierte Backups | Regelmäßige Backups | | Notfallwiederherstellung | Getestete Verfahren | | Failover-Fähigkeiten | Minimiert Unterbrechungen |

A3.1 Liste genehmigter Unterauftragsverarbeiter

| Unterauftragsverarbeiter | Rechtsträger | Adresse | Verarbeitungstätigkeiten | Datenstandort | |--------------------------|--------------|---------|--------------------------|---------------| | Scaleway | Scaleway SAS | 8 rue de la Ville l'Evêque, 75008 Paris, Frankreich | Cloud-Infrastruktur, Datenhosting | EU (Paris, Amsterdam) | | Microsoft | Microsoft Ireland Operations Limited | One Microsoft Place, Dublin 18, Irland | Geschäfts-E-Mail, Produktivitätstools | EU | | Intercom | Intercom R&D Unlimited Company | 18-21 St. Stephen's Green, Dublin 2, Irland | Kundensupport-Plattform | EU | | Highlight.io | Highlight Run, Inc. | 2261 Market Street, San Francisco, CA, USA | Anwendungsüberwachung, Fehlererfassung | EU |

A3.2 Details zu Unterauftragsverarbeitern

Scaleway

• Zweck: Primärer Cloud-Infrastruktur-Provider
• Datenstandort: EU (Paris, Amsterdam)
• Sitzland: Frankreich
• Hinweis: Sämtliche Kundendaten werden innerhalb der EU gehostet.

Microsoft

• Zweck: Geschäfts-E-Mail und Produktivitätstools
• Datenstandort: EU (EU Data Boundary)
• Sitzland: Irland
• Übermittlungsmechanismus: EU Data Boundary-Zusage; SCCs soweit anwendbar

Intercom

• Zweck: Kundensupport-Plattform
• Datenstandort: EU
• Sitzland: Irland
• Übermittlungsmechanismus: N/A (EU-Datenhosting)

Highlight.io

• Zweck: Anwendungsüberwachung und Fehlerprotokollierung
• Datenstandort: EU
• Sitzland: USA (EU-Datenhosting)
• Übermittlungsmechanismus: SCCs; Daten werden in der EU gespeichert

A3.3 Ausgeschlossene Dienste

| Dienst | Zweck | Grund für Ausschluss | |--------|-------|----------------------| | Vercel | Website-Hosting | Keine Kundendaten | | Plausible Analytics | Website-Analysen | Selbst gehostet; keine personenbezogenen Daten |

A3.4 Aktuelle Unterauftragsverarbeiterliste

Verfügbar unter: https://enigmalabs.nl/legal/sub-processors

A3.5 Änderungen

Sieben (7) Tage Vorankündigung gemäß Abschnitt 6.4.

A4.1 Einbeziehung durch Verweis

Die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) werden durch Verweis einbezogen.

Verfügbar unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

A4.2 Anwendbare Module

| Übermittlungsszenario | Anwendbares Modul | |-----------------------|-------------------| | Verantwortlicher → Auftragsverarbeiter | Modul Zwei | | Auftragsverarbeiter → Auftragsverarbeiter | Modul Drei |

A4.3 SCC-Anhänge

Anhang I.A: Parteienliste

Datenexporteur (Verantwortlicher): Kunde

Datenimporteur (Auftragsverarbeiter): Enigma Labs BV, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Niederlande

Anhang I.B: Beschreibung der Übermittlung

Siehe Anhang 1 dieses AVV.

Anhang I.C: Zuständige Aufsichtsbehörde

Autoriteit Persoonsgegevens Bezuidenhoutseweg 30, 2594 AV Den Haag, Niederlande https://autoriteitpersoonsgegevens.nl

Anhang II: Technische und organisatorische Maßnahmen

Siehe Anhang 2 dieses AVV.

Anhang III: Liste der Unterauftragsverarbeiter

Siehe Anhang 3 dieses AVV.

A4.4 Wahlen zu SCC-Klauseln

| Klausel | Wahl | |---------|------| | Klausel 7 (Beitrittsklausel) | Aufgenommen | | Klausel 9(a) (Allgemeine Genehmigung) | Allgemeine Genehmigung | | Klausel 9(b) (Mitteilungsfrist) | 7 Tage | | Klausel 11(a) (Rechtsbehelf) | Aufgenommen | | Klausel 17 (Anwendbares Recht) | Niederlande | | Klausel 18 (Gerichtsstand) | Amsterdam, Niederlande |

A4.5 Vorrangregel

SCCs haben Vorrang bei Widersprüchen.

| Feld | Details | |------|---------| | Dokumenttitel | Auftragsverarbeitungsvertrag | | Unternehmen | Enigma Labs BV | | Rechtsträger | Besloten Vennootschap (niederländische GmbH) | | Eingetragene Adresse | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Niederlande | | KvK-Nummer | 99568322 | | Website | https://enigmalabs.nl | | AVV-URL | https://enigmalabs.nl/dpa | | URL Unterauftragsverarbeiterliste | https://enigmalabs.nl/legal/sub-processors | | URL Datenschutzrichtlinie | https://enigmalabs.nl/privacy | | URL Allgemeine Geschäftsbedingungen | https://enigmalabs.nl/terms | | Kontakt E-Mail (AVV) | legal@enigmalabs.nl | | E-Mail DSB | dpo@enigmalabs.nl | | Kontakt E-Mail (Sicherheit) | security@enigmalabs.nl | | Datenhosting | Europäische Union (Scaleway, Paris/Amsterdam) | | Wirksamkeitsdatum | 22. Januar 2026 | | Zuletzt aktualisiert | 28. Januar 2026 | | Version | 1.1 |

Versionsverlauf

| Version | Datum | Änderungen | |---------|-------|------------| | 1.0 | 15. Januar 2026 | Erstveröffentlichung | | 1.1 | 22. Januar 2026 | Klarstellungen zu Unterauftragsverarbeitern und Sicherheitsmaßnahmen |

Zugehörige Dokumente

| Dokument | URL | Beschreibung | |----------|-----|--------------| | Datenschutzrichtlinie | https://enigmalabs.nl/privacy | Wie Enigma Labs personenbezogene Daten als Verantwortlicher verarbeitet | | Allgemeine Geschäftsbedingungen | https://enigmalabs.nl/terms | Allgemeine Bedingungen zur Nutzung der Dienste | | Cookie-Richtlinie | https://enigmalabs.nl/cookies | Wie Enigma Labs Cookies auf der Website verwendet | | Liste der Unterauftragsverarbeiter | https://enigmalabs.nl/legal/sub-processors | Aktuelle Liste genehmigter Unterauftragsverarbeiter |

Dieser Auftragsverarbeitungsvertrag dient der Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) und anderer anwendbarer Datenschutzgesetze. Bei Fragen oder Anliegen kontaktieren Sie uns bitte unter legal@enigmalabs.nl oder dpo@enigmalabs.nl.

© 2026 Enigma Labs BV. Alle Rechte vorbehalten.