1.1 Diese Vereinbarung zur Auftragsverarbeitung („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO. Sie ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der SaaS-Plattform NessyCloud (nachfolgend „Hauptvertrag"). Diese AVV wird regelmäßig im Rahmen des Online-Bestellprozesses per Klick-Akzeptanz gemäß § 13.4 angenommen.

1.2 Es gelten folgende Begriffsbestimmungen:

1.3 Diese AVV geht im Falle von Widersprüchen den Regelungen des Hauptvertrages vor, soweit datenschutzrechtliche Belange betroffen sind.

2.1 Der Auftragnehmer stellt dem Auftraggeber die cloudbasierte SaaS-Plattform „NessyCloud" zur Verfügung. NessyCloud wird technisch durch die Evelan GmbH, Hamburg, als Unterauftragsverarbeiter entwickelt und betrieben. Die Plattform ist eine Webanwendung für digitale Beratungsprozesse, die u. a. folgende Funktionen umfasst: Kundenverwaltung (CRM), Dokumentenmanagement und -archivierung, Online-Beratung und Videokonferenzen mit Screensharing, kollaborative Dokumentenbearbeitung, digitale Signatur und Markierungsfunktionen sowie Kommunikationsfunktionen. Die Einzelheiten ergeben sich aus Anhang 1. 2.2 Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt ausschließlich zum Zweck der Bereitstellung, des Betriebs und der Wartung der SaaS-Plattform NessyCloud einschließlich Support, Fehlerbehebung und technischer Weiterentwicklung. 2.3 Art und Kategorien der verarbeiteten personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich im Einzelnen aus Anhang 1 zu dieser AVV. 2.4 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Beendigung des Hauptvertrages gelten die Regelungen gemäß § 9 und § 9a dieser AVV.

3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 3.2 Die in dieser AVV und im Hauptvertrag enthaltenen Regelungen gelten als dokumentierte Erstweisungen des Auftraggebers. Darüber hinaus kann der Auftraggeber Einzelweisungen erteilen. Der Auftraggeber behält sich das Recht zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten vor. 3.3 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z. B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder elektronisch bestätigt. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren. 3.4 Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen. 3.5 Der Auftraggeber benennt auf Verlangen des Auftragnehmers eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind dem Auftragnehmer unverzüglich mitzuteilen. Die Kontaktdaten der weisungsberechtigten Personen können über das NessyCloud-Dashboard oder per E-Mail an den Auftragnehmer hinterlegt werden (vgl. Anhang 4). Bis zur Benennung gilt die bei der Registrierung hinterlegte E-Mail-Adresse als Kontaktadresse für datenschutzrechtliche Weisungen und Mitteilungen. 3.6 Besteht die Möglichkeit, dass der Auftragnehmer durch das Befolgen einer Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis ausgesetzt werden.

4.1 Der Auftragnehmer hat zu gewährleisten, dass sich die zur Verarbeitung der Auftraggeber-Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu Auftraggeber-Daten erhalten. 4.2 Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. 4.3 Der Auftragnehmer verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit aufnehmen. Diese Verpflichtung besteht auch über das Ende des Beschäftigungsverhältnisses hinaus. 4.4 Der Auftragnehmer gewährleistet, dass alle Personen, die Auftraggeber-Daten verarbeiten, entsprechend geschult und regelmäßig sensibilisiert werden, insbesondere im Hinblick auf den sicheren Umgang mit der SaaS-Plattform und die Verarbeitung personenbezogener Daten im Support- und Wartungskontext.

5.1 Der Auftragnehmer ergreift die gemäß Art. 32 DSGVO erforderlichen geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Dabei berücksichtigt der Auftragnehmer den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen. 5.2 Die zum Zeitpunkt des Vertragsschlusses getroffenen technischen und organisatorischen Maßnahmen sind in Anhang 2 zu dieser AVV spezifiziert. Der Auftragnehmer hat diese Maßnahmen vor Beginn der Verarbeitung zu ergreifen und während der gesamten Vertragslaufzeit aufrechtzuerhalten. 5.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Auftraggeber mitzuteilen und auf Anfrage zu dokumentieren. 5.4 Der Auftragnehmer wird die technischen und organisatorischen Maßnahmen mindestens jährlich sowie anlassbezogen überprüfen, evaluieren und bei Bedarf anpassen.

6.1 Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverarbeiter/Subprozessoren) durch den Auftragnehmer. Die zum Zeitpunkt des Vertragsschlusses bereits eingesetzten Unterauftragsverarbeiter sind in Anhang 3 zu dieser AVV abschließend aufgeführt. Für die in Anhang 3 aufgezählten Unterauftragsverarbeiter gilt die Zustimmung mit Abschluss dieser AVV als erteilt. 6.2 Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter rechtzeitig – spätestens jedoch 14 (vierzehn) Kalendertage – vor deren Einsatz in schriftlicher oder elektronischer Form informieren. Die Information hat mindestens zu enthalten: Name und Anschrift des neuen Unterauftragsverarbeiters, Art der übertragenen Datenverarbeitung, Verarbeitungsort sowie Angaben zu einem etwaigen Drittlandtransfer einschließlich des vorgesehenen Transfermechanismus. Der Auftraggeber hat nach dieser Mitteilung 14 (vierzehn) Kalendertage Zeit, der Hinzuziehung des Unterauftragsverarbeiters zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung als genehmigt. 6.3 Widersprüche sind nur zulässig, wenn der Auftraggeber begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragsverarbeiters die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und/oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen. Die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen. Erhebt der Auftraggeber berechtigten Widerspruch, dürfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden. Die Parteien werden sich in diesem Fall unverzüglich um eine einvernehmliche Lösung bemühen. Kann innerhalb von 30 (dreißig) Kalendertagen nach Zugang des Widerspruchs keine Einigung erzielt werden, steht beiden Parteien ein außerordentliches Kündigungsrecht mit einer Frist von 30 (dreißig) Kalendertagen zu. Im Falle einer solchen Kündigung gelten die Regelungen zur Datenlöschung und -rückgabe gemäß § 9 und zur Datenportabilität gemäß § 9a entsprechend. 6.4 Der Auftragnehmer wird jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegen, die in dieser AVV festgelegt sind, insbesondere hinsichtlich der Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO. 6.5 Der Auftragnehmer wird vor jeder Beauftragung sowie regelmäßig während der Beauftragung überprüfen, dass die Unterauftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen haben und die Verarbeitung der Auftraggeber-Daten gemäß dieser AVV erfolgt. 6.6 Nebenleistungen, welche der Auftragnehmer zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebenleistungen in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen, Reinigungsleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen, welche die Vertraulichkeit und/oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. 6.7 Im Falle zugelassener Änderungen wird der Auftragnehmer die Liste der Unterauftragsverarbeiter in Anhang 3 unverzüglich aktualisieren und dem Auftraggeber die aktualisierte Fassung unverlangt in Textform zur Verfügung stellen. Die aktualisierte Fassung von Anhang 3 wird mit Übermittlung an den Auftraggeber Bestandteil dieser AVV. Der Auftragnehmer führt ein Protokoll aller Änderungen an der Unterauftragsverarbeiterliste, das dem Auftraggeber auf Anfrage zur Verfügung gestellt wird.

7.1 Der Auftragnehmer wird den Auftraggeber gemäß Art. 28 Abs. 3 lit. e DSGVO im Rahmen des Zumutbaren mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nach Kapitel III der DSGVO (Art. 12–22) nachzukommen. 7.2 Wendet sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer, wird der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiterleiten. In keinem Fall wird der Auftragnehmer dem Ersuchen der betroffenen Person ohne Weisung oder Zustimmung des Auftraggebers nachkommen. 7.3 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten zur Verfügung, die der Auftraggeber zur Beantwortung eines Antrags einer betroffenen Person benötigt. 7.4 Der Auftragnehmer stellt über die SaaS-Plattform NessyCloud geeignete Funktionen zur Verfügung, die dem Auftraggeber die Erfüllung der Betroffenenrechte erleichtern, insbesondere Funktionen zum Export und zur Löschung von Auftraggeber-Daten.

8.1 Meldung von Datenschutzverletzungen (Data Breach) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten (Art. 33 DSGVO), insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu Auftraggeber-Daten führen.

eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung. Kann der Auftragnehmer nicht alle Informationen zum Zeitpunkt der Erstmeldung bereitstellen, stellt er diese unverzüglich schrittweise zur Verfügung. 8.2 Unterstützung bei Meldepflichten Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffene nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage bei der Einhaltung dieser Pflichten unterstützen. 8.3 Datenschutz-Folgenabschätzung (DPIA) Der Auftragnehmer wird den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO im Rahmen des Zumutbaren bei Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen. 8.4 Behördenkontakte Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Auftraggeber-Daten betroffen sein könnten. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die Auftraggeber-Daten gefährdet werden könnten.

9.1 Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages alle Auftraggeber-Daten entweder:

sofern nicht gesetzlich eine Verpflichtung zur weiteren Speicherung besteht.

9.2 Der Auftraggeber hat das Wahlrecht zwischen Löschung und Rückgabe innerhalb von 30 (dreißig) Kalendertagen nach Vertragsende auszuüben. Erteilt der Auftraggeber innerhalb dieser Frist keine Weisung, ist der Auftragnehmer berechtigt, die Auftraggeber-Daten nach Ablauf einer zusätzlichen Frist von 30 (dreißig) Kalendertagen vollständig und unwiderruflich zu löschen. 9.3 Die Löschung oder Rückgabe erstreckt sich auch auf bei Unterauftragsverarbeitern gespeicherte Auftraggeber-Daten. Der Auftragnehmer hat die vollständige Löschung oder Rückgabe dem Auftraggeber schriftlich zu bestätigen. 9.4 Soweit gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen, informiert der Auftragnehmer den Auftraggeber über die betroffenen Daten und die Rechtsgrundlage. Die betroffenen Daten werden für die Dauer der Aufbewahrungspflicht gesperrt und nach Wegfall unverzüglich gelöscht.

9a.1 Ergänzend zu den Regelungen in § 9 stellt der Auftragnehmer die Einhaltung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung („Data Act") sicher, soweit deren Bestimmungen auf die vertragsgegenständliche SaaS-Plattform NessyCloud Anwendung finden.

9a.2 Der Auftraggeber hat gemäß Art. 25 Data Act das Recht, sämtliche Auftraggeber-Daten, die er in NessyCloud eingegeben, erzeugt oder hochgeladen hat, einschließlich aller Metadaten und Konfigurationen, in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV, XML oder über eine API-Schnittstelle) zu exportieren. Der Export muss innerhalb von 30 (dreißig) Kalendertagen nach Anforderung durch den Auftraggeber abgeschlossen sein.

9a.3 Der Auftragnehmer unterstützt den Auftraggeber bei einem Wechsel zu einem anderen Anbieter (Anbieterwechsel) gemäß Art. 25–29 Data Act. Hierzu gewährt der Auftragnehmer:

9a.4 Der Auftragnehmer erhebt für den Datenexport gemäß Absatz 2 und die Transferhilfe gemäß Absatz 3 keine zusätzlichen Entgelte, die über die im Hauptvertrag vereinbarten Leistungen hinausgehen, soweit der Data Act eine unentgeltliche Bereitstellung vorschreibt. Für darüber hinausgehende technische Unterstützung (z. B. individuelle Migrationsskripte, Datenkonvertierung in nicht standardmäßige Formate) kann der Auftragnehmer angemessene Kosten auf Basis des tatsächlichen Aufwands in Rechnung stellen; diese sind vorab transparent zu kommunizieren.

9a.5 Der Auftragnehmer verpflichtet sich, keine technischen, vertraglichen oder wirtschaftlichen Barrieren zu errichten, die den Auftraggeber an einem Anbieterwechsel hindern oder diesen unangemessen erschweren könnten (Verbot von Lock-in-Effekten gemäß Art. 25 Abs. 2 Data Act).

9a.6 Die Pflichten aus diesem § 9a bestehen neben und unabhängig von den Rechten des Auftraggebers aus § 9 (DSGVO-Datenlöschung und -rückgabe). Im Falle von Widersprüchen zwischen den Anforderungen des Data Act und der DSGVO gilt das jeweils strengere Schutzniveau zugunsten des Auftraggebers.

10.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten im Einklang mit dieser AVV und den Weisungen des Auftraggebers steht.

10.2 Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen Anfrage vorlegen (Art. 28 Abs. 3 lit. h DSGVO). Als Nachweise gelten insbesondere:

10.3 Der Auftraggeber ist berechtigt, den Auftragnehmer vor Beginn der Verarbeitung und regelmäßig während der Laufzeit hinsichtlich der Einhaltung dieser AVV zu überprüfen, selbst oder durch einen zur Vertraulichkeit verpflichteten Prüfer, einschließlich durch Inspektionen vor Ort oder Remote-Prüfungen.

10.4 Vor-Ort-Prüfungen sind mit mindestens 14 Kalendertagen Vorlaufzeit anzukündigen und verhältnismäßig durchzuführen.

10.5 Soweit dem Auftragnehmer durch Audits über das übliche Maß hinausgehende Kosten entstehen, kann er diese dem Auftraggeber in Rechnung stellen. Dies gilt nicht bei begründetem Verstoßverdacht.

11.1 Die Verarbeitung von Auftraggeber-Daten findet grundsätzlich ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem EU-Mitgliedstaat oder einem EWR-Vertragsstaat statt.

11.2 Jede Verlagerung in ein Drittland bedarf der vorherigen dokumentierten Weisung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind. Dies umfasst insbesondere:

11.3 Die Beauftragung von Unterauftragsverarbeitern in Drittstaaten ist nur mit Zustimmung des Auftraggebers und bei Erfüllung der Art. 44 ff. DSGVO zulässig. Die Transfermechanismen sind in Anhang 3 zu dokumentieren.

11.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn sich Änderungen der Rechtslage in einem Drittland ergeben, die den Schutz der Auftraggeber-Daten beeinträchtigen könnten.

12.1 Der Auftragnehmer haftet gegenüber dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung infolge einer Weisung des Auftraggebers durchgeführt wurde. Gleiches gilt für abgestimmte Maßnahmen (z. B. TOMs nach Art. 32 DSGVO). 12.2 Der Auftraggeber hat dafür zu sorgen, dass die originäre Erhebung der verarbeiteten Daten rechtmäßig erfolgt. Sofern der Auftragnehmer im Außenverhältnis wegen eines Verstoßes hiergegen in Anspruch genommen wird, stellt der Auftraggeber den Auftragnehmer im Innenverhältnis frei. 12.3 Im Übrigen bleiben die gesetzlichen Haftungsregelungen, insbesondere Art. 82 DSGVO, unberührt.

13.1 Diese AVV wird auf die Dauer des Hauptvertrages geschlossen. Eine ordentliche Kündigung unabhängig vom Hauptvertrag ist ausgeschlossen. Das Recht zur außerordentlichen Kündigung bleibt unberührt. 13.2 Der Auftragnehmer ist unbefristet und über das Vertragsende hinaus zur vertraulichen Behandlung der erlangten personenbezogenen Daten verpflichtet. 13.3 Änderungen und Ergänzungen dieser AVV bedürfen der Schrift- oder elektronischen Form. 13.4 Diese AVV kann durch den Auftraggeber auch in elektronischer Form durch Bestätigung im Rahmen des Online-Bestellprozesses (Click-Wrap / Klick-Akzeptanz) wirksam angenommen werden. Die Bestätigung erfolgt durch Aktivierung einer Checkbox mit dem Wortlaut „Ich habe die AVV v1.1 gelesen und akzeptiere diese" (oder einer inhaltlich gleichwertigen Formulierung) während des Registrierungs- oder Zahlungsvorgangs. Mit Aktivierung der Checkbox und Abschluss des Bestellvorgangs kommt diese AVV ohne weitere Unterschrift rechtswirksam zustande (vgl. §§ 126a, 126b, 305 Abs. 2 BGB i. V. m. Art. 28 Abs. 9 DSGVO). Der Auftragnehmer stellt sicher, dass dem Auftraggeber vor Akzeptanz der vollständige Text dieser AVV einschließlich aller Anhänge zum Download (PDF) bereitgestellt wird. 13.5 Der Zeitpunkt der elektronischen Akzeptanz (Timestamp), die IP-Adresse des akzeptierenden Endgeräts, die Version der akzeptierten AVV sowie die Identität des Auftraggebers (E-Mail-Adresse, Firmenname) werden vom Auftragnehmer revisionssicher protokolliert und für die Dauer der Vertragsbeziehung zuzüglich der gesetzlichen Aufbewahrungsfristen gespeichert. Der Auftraggeber kann den Nachweis seiner Akzeptanz jederzeit über das NessyCloud-Dashboard oder per Anfrage an den Auftragnehmer abrufen. 13.6 Die in Anhang 4 vorgesehenen Angaben zu Ansprechpartnern und Datenschutzbeauftragten des Auftraggebers können vom Auftraggeber auch nachträglich über sein NessyCloud-Benutzerkonto oder per E-Mail an den Auftragnehmer ergänzt werden. Die AVV ist auch ohne vollständige Angaben in Anhang 4 wirksam. Bis zur Benennung eines eigenen Ansprechpartners durch den Auftraggeber gilt die bei der Registrierung hinterlegte E-Mail-Adresse als Kontaktadresse für datenschutzrechtliche Weisungen und Mitteilungen. 13.7 Sollte sich die DSGVO oder sonstige in Bezug genommene gesetzliche Regelungen ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen. 13.8 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. 13.9 Gerichtsstand für alle Streitigkeiten aus dieser AVV ist, soweit zulässig, der Sitz des Auftragnehmers. 13.10 Sämtliche Anhänge zu dieser AVV sind Vertragsbestandteil.

1. Gegenstand und Zweck Der Auftragnehmer stellt dem Auftraggeber die cloudbasierte SaaS-Plattform „NessyCloud" zur Verfügung. NessyCloud ist eine virtuelle Infrastruktur zur digitalen Abwicklung von Beratungsprozessen, Archivierung von Kundendaten sowie Durchführung von Online-Beratungen.

5. Art der Verarbeitung Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten. 6. Zugriff auf die Daten Die Daten werden via TLS-Verschlüsselung sicher an die NessyCloud-Server übertragen. Die technische Entwicklung und der Betrieb der NessyCloud-Plattform erfolgt durch die Evelan GmbH, Hamburg, als Unterauftragsverarbeiter der DFK Invest AG. Die Daten werden auf Servern von Amazon Web Services (AWS) in Frankfurt (DE) gespeichert. Die übermittelten Dokumente werden von dem von Evelan betriebenen Bilderkennungsdienst verarbeitet und nach der Verarbeitung gelöscht. Zugriff auf Auftraggeber-Daten durch Mitarbeiter des Auftragnehmers oder seiner Unterauftragsverarbeiter erfolgt ausschließlich im Rahmen von Support, Wartung und Fehlerbehebung auf dokumentierte Weisung.

Stand: 13.03.2026 – gemäß Art. 32 DSGVO

Hinweis: Die TOMs unterliegen dem technischen Fortschritt. Alternative adäquate Maßnahmen sind zulässig, sofern das Sicherheitsniveau nicht unterschritten wird.

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter zu, jedoch nur unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO. Primärer Unterauftragsverarbeiter ist die Evelan GmbH, Hamburg, die als technischer Entwickler und Betreiber der NessyCloud-Plattform fungiert. Die von Evelan eingesetzten weiteren Unterauftragsverarbeiter (Sub-Subprozessoren) sind ebenfalls nachfolgend aufgeführt.

Stand: 13.03.2026

Drittlandtransfers: Für Unterauftragsverarbeiter in Drittländern sind die Transfermechanismen (Angemessenheitsbeschluss, SCC + TIA, EU-US DPF etc.) dokumentiert.

Hinweis für Auftraggeber (Kunden): Die nachfolgenden Angaben können vom Auftraggeber jederzeit nachträglich ergänzt werden – entweder über das NessyCloud-Dashboard (Profil → Datenschutz-Einstellungen) oder per E-Mail an hello@nessycloud.de. Die AVV ist gemäß § 13.4 auch ohne vollständige Angaben in diesem Anhang wirksam. Bis zur Benennung eines eigenen Ansprechpartners gilt die bei der Registrierung hinterlegte E-Mail-Adresse.