Auftragsverarbeitungsvertrag

Zwischen den Parteien

[Kunde] — Firma, Sitz und Vertretungsberechtigung gemäß den im Flonk-Dashboard hinterlegten Registrierungsdaten

– nachfolgend „Verantwortlicher" oder „Kunde" –

und

MedConnect GmbH
Bayernstraße 10
30855 Langenhagen, Deutschland
vertreten durch den Geschäftsführer oec. Michael Mansholt
Handelsregister: Amtsgericht Hannover, HRB 226358

– nachfolgend „Auftragsverarbeiter" oder „Flonk" –

– gemeinsam „Parteien", einzeln „Partei" –

Präambel

Der Verantwortliche nutzt die durch den Auftragsverarbeiter unter der Marke „Flonk" über die Domain https://flonk.id bereitgestellte Software-as-a-Service-Plattform zur digitalen Identitätsverifizierung (nachfolgend „Flonk-Plattform" oder „Dienst"). Im Rahmen der Bereitstellung des Dienstes verarbeitet der Auftragsverarbeiter personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8, Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO").

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsverarbeitung im Sinne des Art. 28 DSGVO ergeben. Er findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag (Allgemeine Geschäftsbedingungen, Enterprise-Vertrag oder sonstige Vereinbarung über die Nutzung der Flonk-Plattform – „Hauptvertrag") im Zusammenhang stehen und bei denen Mitarbeitende des Auftragsverarbeiters oder von ihm beauftragte Unter-Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand. Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten von Endnutzern des Verantwortlichen (insbesondere Personen, die sich über die Flonk-Plattform identifizieren – nachfolgend „Endnutzer" bzw. „betroffene Personen") durch den Auftragsverarbeiter zum Zwecke der Erbringung der im Hauptvertrag beschriebenen Leistungen, insbesondere:

• a) Auslesen und Echtheitsprüfung amtlicher Ausweisdokumente;
• b) biometrischer 1:1-Abgleich (Selfie ↔ Ausweisbild);
• c) Liveness-Detection;
• d) Bereitstellung von API, SDKs, Webhooks und Dashboard;
• e) Dokumentation und Reporting der Verifikationsergebnisse.

(2) Dauer. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Verpflichtungen, die ihrer Natur nach über die Vertragslaufzeit hinaus fortbestehen sollen (insbesondere Geheimhaltung, Rückgabe/Löschung von Daten, Mitwirkungspflichten bei behördlichen Verfahren), gelten auch nach Beendigung fort.

(3) Vorrang. Dieser AVV geht in Datenschutzfragen den Regelungen des Hauptvertrags vor. Im Übrigen gelten die Bestimmungen des Hauptvertrags ergänzend.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung. Die Verarbeitung umfasst insbesondere: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränken, Löschen oder Vernichten (Art. 4 Nr. 2 DSGVO).

(2) Zweck der Verarbeitung. Die Verarbeitung erfolgt ausschließlich zum Zweck der digitalen Identitätsverifizierung der Endnutzer des Verantwortlichen sowie zur Bereitstellung, dem Betrieb und der Weiterentwicklung der hierzu erforderlichen technischen Infrastruktur, einschließlich Sicherheits-, Betrugspräventions- und Auditzwecken.

(3) Keine eigene Zweckverfolgung. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt; ausgenommen sind anonymisierte statistische Auswertungen sowie die Verbesserung der Modelle und Algorithmen auf Basis vollständig anonymisierter Daten, soweit hierdurch keine Rückschlüsse auf einzelne Personen möglich sind.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Kategorien betroffener Personen. Endnutzer des Verantwortlichen, die sich über die Flonk-Plattform verifizieren lassen; ggf. Beschäftigte/Bevollmächtigte des Verantwortlichen, die das Dashboard nutzen.

(2) Datenkategorien:

• a) Identifikations- und Stammdaten: Vor-/Nachname, Geburtsname, Geburtsdatum, Geburtsort, Geburtsland, Staatsangehörigkeit, Geschlecht, Anschrift, Unterschrift.
• b) Ausweisdokumentendaten: Dokumententyp, Dokumentennummer, ausstellende Behörde, Ausstellungs- und Ablaufdatum, MRZ-Daten, NFC-Chip-Daten, Sicherheitsmerkmale.
• c) Biometrische Daten (Art. 9 Abs. 1 DSGVO): Lichtbild aus dem Ausweis, Live-Selfie(s), Video-/3D-Tiefendaten für Liveness, biometrische Templates.
• d) Verifikations-/Ergebnisdaten: Session-ID, Zeitstempel, Ergebnis (erfolgreich/abgelehnt/manuelle Prüfung), Konfidenz- und Risiko-Scores.
• e) Technische Metadaten: IP-Adresse, Gerätetyp, Betriebssystem, Browser, Geräte-Fingerprint, Sprache, ungefährer Standort.
• f) Kommunikations-/Zuordnungsdaten: vom Verantwortlichen übermittelte Referenz-IDs, E-Mail-Adressen, sonstige Client-Metadaten.
• g) Dashboard-Nutzerdaten: Name, geschäftliche E-Mail, Rolle, Login-Daten, Zugriffsprotokolle.

(3) Besondere Kategorien. Da biometrische Daten zur eindeutigen Identifizierung verarbeitet werden, liegen besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO vor. Der Verantwortliche stellt sicher, dass eine wirksame Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO besteht (in der Regel ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO).

§ 4 Verantwortlichkeit und Weisungsrecht

(1) Verantwortlichkeit. Datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Kunde. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Weisungen. Weisungen werden grundsätzlich in Textform durch hierzu autorisierte Personen erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Standardweisungen ergeben sich aus den im Hauptvertrag, der Dokumentation und in der API-Konfiguration (z. B. Workflow-Einstellungen im Dashboard) festgelegten Parametern.

(3) Hinweis auf Rechtswidrigkeit. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Ausführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

(4) Ansprechpartner. Die Parteien benennen jeweils kompetente Ansprechpartner für datenschutzrechtliche Fragestellungen. Beim Auftragsverarbeiter ist dies der bestellte Datenschutzbeauftragte.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:

(1) Verarbeitung gemäß DSGVO. Verarbeitung ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen und gemäß Art. 28, 29 und 32 DSGVO.

(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO). Verpflichtung aller mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, sowie zur Einhaltung des Datengeheimnisses.

(3) Technisch-organisatorische Maßnahmen (Art. 32 DSGVO). Ergreifung und Aufrechterhaltung der in Anlage 1 definierten technischen und organisatorischen Maßnahmen (TOMs). Die Maßnahmen können entsprechend dem Stand der Technik weiterentwickelt werden, dürfen jedoch nicht hinter das vereinbarte Schutzniveau zurückfallen.

(4) Unterstützung des Verantwortlichen (Art. 28 Abs. 3 lit. e und f DSGVO). Unterstützung bei der Erfüllung der Pflichten nach Art. 12–22 DSGVO (Betroffenenrechte) sowie nach Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung, vorherige Konsultation). Der Auftragsverarbeiter ist berechtigt, einen angemessenen Mehraufwand für Unterstützungsleistungen, die über den vertraglich vereinbarten Standardumfang hinausgehen, gesondert in Rechnung zu stellen.

(5) Meldepflichten bei Datenschutzverletzungen (Art. 33 DSGVO). Information des Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden, nach Kenntnis von einer Verletzung des Schutzes personenbezogener Daten. Die Meldung erfolgt an den vom Verantwortlichen benannten Kontakt und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit verfügbar.

(6) Datenschutzbeauftragter. Der Auftragsverarbeiter hat einen Datenschutzbeauftragten gemäß Art. 37 DSGVO bestellt.

(7) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO). Der Auftragsverarbeiter führt ein Verzeichnis aller Verarbeitungstätigkeiten und legt es auf Anforderung der Aufsichtsbehörde oder des Verantwortlichen vor.

(8) Datenminimierung und Speicherbegrenzung. Daten werden nur in dem Umfang verarbeitet und nur so lange gespeichert, wie es zur Erfüllung der vertraglichen Pflichten und zur Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich ist.

(9) Rückgabe und Löschung (Art. 28 Abs. 3 lit. g DSGVO). Nach Abschluss der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben; bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt. Einzelheiten regelt § 11.

§ 6 Pflichten des Verantwortlichen

(1) Rechtmäßigkeit. Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen, insbesondere für das Bestehen einer wirksamen Rechtsgrundlage (einschließlich Einwilligungen nach Art. 9 Abs. 2 lit. a DSGVO).

(2) Information und Einwilligung. Der Verantwortliche stellt sicher, dass die betroffenen Personen ordnungsgemäß über die Datenverarbeitung informiert werden (Art. 13, 14 DSGVO) und – sofern erforderlich – wirksame Einwilligungen vorliegen, die jederzeit dokumentiert nachgewiesen werden können.

(3) Weisungserteilung. Der Verantwortliche benennt eine oder mehrere weisungsbefugte Personen und teilt dem Auftragsverarbeiter Änderungen unverzüglich mit.

(4) Mitwirkungspflichten. Der Verantwortliche unterstützt den Auftragsverarbeiter bei der Erfüllung seiner gesetzlichen Pflichten, insbesondere durch zeitnahe Beantwortung von Anfragen.

(5) Information bei Pannen. Der Verantwortliche meldet Datenschutzverletzungen, die ihm zur Kenntnis gelangen und die mit der Verarbeitung durch den Auftragsverarbeiter im Zusammenhang stehen können, unverzüglich an info@medconnect.gmbh mit dem Betreff „DRINGEND! DATENSCHUTZPANNE!".

(6) Anforderungen an Endnutzer. Der Verantwortliche bindet die Flonk-Plattform so in seine Prozesse ein, dass den Endnutzern vor Beginn der Verifikation die Datenschutzhinweise und die Einwilligungserklärung in transparenter Form angezeigt werden.

§ 7 Unter-Auftragsverarbeiter

(1) Genehmigung. Der Verantwortliche erteilt dem Auftragsverarbeiter mit Abschluss dieses AVV die allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO zur Einschaltung von Unter-Auftragsverarbeitern. Eine aktuelle Liste der bei Vertragsschluss eingesetzten Unter-Auftragsverarbeiter ist in Anlage 2 beigefügt.

(2) Vertragliche Verpflichtung. Der Auftragsverarbeiter verpflichtet jeden Unter-Auftragsverarbeiter im Wege eines Vertrags auf datenschutzrechtliche Pflichten, die denen dieses AVV im Wesentlichen entsprechen, insbesondere im Hinblick auf hinreichende technische und organisatorische Maßnahmen.

(3) Änderung von Unter-Auftragsverarbeitern. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen (Hinzunahme oder Ersetzung von Unter-Auftragsverarbeitern) mindestens 30 Kalendertage vor Wirksamwerden in Textform (z. B. per E-Mail an die im Dashboard hinterlegte Datenschutzkontaktadresse) oder durch Aktualisierung der unter https://flonk.id/subprocessors veröffentlichten Liste mit Hinweis auf das Aktualisierungsdatum informieren.

(4) Widerspruchsrecht. Der Verantwortliche kann der Änderung innerhalb von 14 Kalendertagen nach Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Falle eines berechtigten Widerspruchs werden sich die Parteien nach Treu und Glauben um eine einvernehmliche Lösung bemühen. Lässt sich keine Einigung erzielen, ist der Verantwortliche zur außerordentlichen Kündigung des Hauptvertrags und dieses AVV berechtigt.

(5) Konzerninterne Dienstleister. Keine Unter-Auftragsverarbeitung im Sinne dieses Vertrags liegt vor bei Tätigkeiten, die der Auftragsverarbeiter von Dritten als reine Nebenleistung in Anspruch nimmt (z. B. Telekommunikations-, Reinigungs- oder Bewachungsdienste), sofern hierbei kein regelhafter Zugang zu personenbezogenen Daten besteht.

§ 8 Drittlandtransfer

(1) Grundsatz. Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR), schwerpunktmäßig in Rechenzentren in Amsterdam (Niederlande).

(2) Drittlandtransfer. Eine Übermittlung in Drittländer findet nur statt, sofern die Voraussetzungen von Art. 44 ff. DSGVO erfüllt sind, insbesondere durch:

• a) Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO), z. B. EU-US Data Privacy Framework hinsichtlich der zertifizierten Unter-Auftragsverarbeiter (insbesondere Railway Corp., San Francisco/USA);
• b) EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in der jeweils gültigen Fassung, ggf. ergänzt um zusätzliche technische und organisatorische Schutzmaßnahmen (Transfer Impact Assessment).

(3) Verbot des Transfers biometrischer Rohdaten. Eine Übermittlung biometrischer Rohdaten (Selfies, Liveness-Videos, biometrische Templates) in Drittländer findet ohne ausdrückliche schriftliche Vereinbarung mit dem Verantwortlichen nicht statt.

§ 9 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung, Recht auf Eingreifen einer Person bei automatisierter Entscheidung).

(2) Direkter Kontakt durch betroffene Personen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter gibt selbstständig keine inhaltlichen Auskünfte, es sei denn, der Verantwortliche hat dies ausdrücklich gestattet.

(3) Behörden und Gerichte. Werden personenbezogene Daten beim Auftragsverarbeiter durch staatliche Stellen angefordert, wird er den Verantwortlichen unverzüglich darüber informieren, soweit dies gesetzlich zulässig ist, und – soweit zumutbar und rechtlich möglich – auf eine vorherige Anhörung des Verantwortlichen hinwirken.

§ 10 Kontrollrechte und Audits

(1) Nachweispflicht. Der Auftragsverarbeiter weist die Einhaltung der vereinbarten Pflichten auf Anforderung in geeigneter Weise nach, insbesondere durch:

• a) Vorlage gültiger Zertifikate (z. B. ISO/IEC 27001, SOC 2 Typ II);
• b) Bereitstellung der jeweils aktuellen TOM-Dokumentation;
• c) Vorlage von Audit-Berichten unabhängiger Prüfer;
• d) Beantwortung schriftlicher Fragenkataloge.

(2) Vor-Ort-Audit. Soweit die in Absatz 1 genannten Nachweise im Einzelfall nicht ausreichen, ist der Verantwortliche berechtigt, ein Audit der Verarbeitungsanlagen des Auftragsverarbeiters in geschäftsüblichen Zeiten und nach angemessener Vorankündigung (mindestens 30 Kalendertage) durchzuführen oder durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer durchführen zu lassen. Der Prüfer darf weder Wettbewerber des Auftragsverarbeiters sein noch in einem sonstigen Interessenkonflikt stehen.

(3) Häufigkeit. Solche Audits finden in der Regel höchstens einmal jährlich statt; bei begründetem Verdacht auf Datenschutzverstöße sowie auf Verlangen einer Aufsichtsbehörde sind anlassbezogene Audits zulässig.

(4) Kosten. Die Kosten eines Audits trägt der Verantwortliche; der Auftragsverarbeiter ist berechtigt, seinen Mitwirkungsaufwand nach den jeweils gültigen Sätzen in Rechnung zu stellen, es sei denn, das Audit fördert wesentliche Verstöße des Auftragsverarbeiters zutage.

(5) Geheimhaltung und Sicherheit. Audits dürfen die Betriebsabläufe nicht unverhältnismäßig beeinträchtigen und nicht zur Offenlegung von Geschäftsgeheimnissen Dritter oder anderer Kunden führen. Alle im Rahmen des Audits erlangten Informationen sind streng vertraulich zu behandeln.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück.

(2) Aufbewahrungspflichten. Eine Aufbewahrung erfolgt nur, soweit gesetzliche Pflichten dies erfordern (insbesondere § 8 Abs. 4 GwG: 5 bis 10 Jahre; § 257 HGB, § 147 AO: 6 bis 10 Jahre). Während der Aufbewahrung bleiben die in diesem AVV geregelten Schutzmaßnahmen unverändert in Kraft.

(3) Vorzeitige Anonymisierung. Der Verantwortliche kann jederzeit die irreversible Anonymisierung einzelner oder aller Datensätze veranlassen, soweit keine gesetzlichen Pflichten entgegenstehen.

(4) Nachweis. Auf Anforderung weist der Auftragsverarbeiter die ordnungsgemäße Löschung in geeigneter Form nach.

§ 12 Haftung und Vertragsstrafen

(1) Haftung im Außenverhältnis. Im Verhältnis zur betroffenen Person haftet jede Partei nach Maßgabe der Art. 82 DSGVO.

(2) Innenverhältnis. Im Innenverhältnis richtet sich die Haftung zwischen den Parteien nach den Regelungen des Hauptvertrags. Soweit der Hauptvertrag keine Regelung enthält, gelten die gesetzlichen Bestimmungen.

(3) Bußgelder. Bußgelder nach Art. 83 DSGVO trägt diejenige Partei, deren Pflichtverletzung ursächlich für die Verhängung war. Bei beiderseitigem Verschulden erfolgt eine Aufteilung entsprechend dem Verantwortungsbeitrag.

§ 13 Schlussbestimmungen

(1) Schriftform. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Textformklausel.

(2) Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame und durchführbare Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Rechtswahl und Gerichtsstand. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten ist – soweit gesetzlich zulässig – Hannover, Deutschland.

(4) Anlagen. Folgende Anlagen sind Bestandteil dieses AVV:

• Anlage 1: Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
• Anlage 2: Liste der Unter-Auftragsverarbeiter