Vereinbarung zur Auftragsverarbeitung
Stand: 29.06.2026
cloudbasierte KI-gestützte Plattform für Unternehmensautomatisierung und intelligente Workflows
Diese Auftragsverarbeitungsvereinbarung ("AVV") ist Bestandteil der BBE Nutzungsbedingungen oder einer sonstigen schriftlichen Vereinbarung zwischen der Best Brands Everywhere ("BBE", "Auftragsverarbeiter") und der als Kunde bezeichneten Stelle ("Kunde", "Verantwortlicher") (gemeinsam die "Parteien"), die die Nutzung der Best Brands Everywhere Plattform und Dienste durch den Kunden regelt (die "Vereinbarung").
Diese AVV gilt, soweit BBE personenbezogene Daten im Auftrag des Kunden im Rahmen der Erbringung des Dienstes verarbeitet.
1. BEGRIFFSBESTIMMUNGEN
1.1. "Anwendbares Datenschutzrecht" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen dieser AVV anwendbar sind, einschließlich, jedoch nicht beschränkt auf: (a) die EU-Datenschutz-Grundverordnung (EU) 2016/679 ("GDPR"); (b) die UK General Data Protection Regulation und den Data Protection Act 2018 ("UK GDPR"); (c) das Schweizerische Bundesgesetz über den Datenschutz ("FADP"); (d) den California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung ("CCPA/CPRA"); und (e) alle sonstigen anwendbaren Datenschutz- oder Privatsphäregesetze.
1.2. "Verantwortlicher" bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
1.3. "Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
1.4. "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine betroffene Person beziehen und von BBE im Auftrag des Kunden im Zusammenhang mit dem Dienst verarbeitet werden. Für die Zwecke des CCPA umfassen personenbezogene Daten auch "Personal Information" im Sinne des CCPA.
1.5. "Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
1.6. "Verarbeitung" (und "verarbeiten") bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
1.7. "Auftragsverarbeiter" bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1.8. "Standardvertragsklauseln" oder "SCCs" bezeichnet die von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission.
1.9. "Unterauftragsverarbeiter" bezeichnet jeden von BBE beauftragten Dritten, der personenbezogene Daten im Auftrag des Kunden verarbeitet.
2. ANWENDUNGSBEREICH UND ROLLEN
2.1. Rollen. Für die Zwecke dieser AVV ist der Kunde der Verantwortliche und BBE der Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung.
2.2. Umfang der Verarbeitung. BBE verarbeitet personenbezogene Daten nur, soweit dies für die Erbringung des Dienstes in Übereinstimmung mit der Vereinbarung und dieser AVV erforderlich ist. Die Einzelheiten der Verarbeitungstätigkeiten sind in Anhang I beschrieben.
2.3. Pflichten des Kunden. Der Kunde sichert zu und gewährleistet, dass: (a) seine Weisungen an BBE in Bezug auf die Verarbeitung personenbezogener Daten dem anwendbaren Datenschutzrecht entsprechen; (b) er alle erforderlichen Einwilligungen, Genehmigungen und Rechtsgrundlagen eingeholt hat, die für die Verarbeitung personenbezogener Daten durch BBE im Rahmen dieser AVV erforderlich sind; und (c) er alle erforderlichen Datenschutzhinweise gegenüber den betroffenen Personen bereitgestellt hat.
3. VERARBEITUNGSPFLICHTEN
3.1. Weisungen. BBE verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, BBE ist gesetzlich dazu verpflichtet. Die Vereinbarung, diese AVV sowie die Nutzung und Konfiguration des Dienstes durch den Kunden stellen die dokumentierten Weisungen des Kunden dar.
3.2. Vertraulichkeit. BBE stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3. Sicherheit. BBE trifft geeignete technische und organisatorische Maßnahmen, um ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten, gegebenenfalls einschließlich:
(a) der Pseudonymisierung und Verschlüsselung personenbezogener Daten;
(b) der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste auf Dauer sicherzustellen;
(c) der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
(d) eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die von BBE konkret umgesetzten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
3.4. Unterauftragsverarbeitung. BBE beauftragt keinen Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung des Kunden. Der Kunde erteilt eine allgemeine schriftliche Genehmigung für BBE, die unter https://bestbrandseverywhere.com/legal/subprocessors aufgeführten Unterauftragsverarbeiter zu beauftragen.
(a) BBE benachrichtigt den Kunden mindestens 30 Tage im Voraus über jede beabsichtigte Hinzunahme oder Ersetzung von Unterauftragsverarbeitern und gibt dem Kunden Gelegenheit zum Widerspruch.
(b) Widerspricht der Kunde einem neuen Unterauftragsverarbeiter aus berechtigten, den Datenschutz betreffenden Gründen, erörtern die Parteien die Angelegenheit nach Treu und Glauben. Wird keine Lösung erzielt, kann der Kunde den betroffenen Dienst durch schriftliche Mitteilung innerhalb von 14 Tagen nach Erhalt der Benachrichtigung kündigen.
(c) BBE erlegt jedem Unterauftragsverarbeiter im Wege eines schriftlichen Vertrags Datenschutzpflichten auf, die nicht weniger schützend sind als die in dieser AVV festgelegten.
(d) BBE bleibt dem Kunden gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters voll verantwortlich.
3.5. Rechte der betroffenen Personen. BBE unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht des Kunden, Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach dem anwendbaren Datenschutzrecht nachzukommen.
3.6. Unterstützung. BBE unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der BBE zur Verfügung stehenden Informationen bei der Gewährleistung der Einhaltung der in den Artikeln 32 bis 36 der GDPR (oder entsprechender Bestimmungen anderen anwendbaren Datenschutzrechts) festgelegten Pflichten.
4. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
4.1. BBE benachrichtigt den Kunden unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden, nachdem BBE von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die die personenbezogenen Daten des Kunden betrifft.
4.2. Eine solche Benachrichtigung umfasst, soweit verfügbar:
(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien und ungefähren Anzahl der betroffenen Personen sowie der betroffenen Datensätze personenbezogener Daten;
(b) den Namen und die Kontaktdaten des Datenschutzbeauftragten von BBE oder einer sonstigen Anlaufstelle;
(c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(d) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
4.3. BBE arbeitet mit dem Kunden zusammen und ergreift angemessene Schritte zur Unterstützung bei der Untersuchung, Abmilderung und Behebung jeder Verletzung des Schutzes personenbezogener Daten.
5. DATENÜBERMITTLUNGEN
5.1. BBE übermittelt personenbezogene Daten nicht in ein Land oder Gebiet außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz, es sei denn, es bestehen geeignete Garantien in Übereinstimmung mit dem anwendbaren Datenschutzrecht.
5.2. Soweit die Verarbeitung personenbezogener Daten eine Übermittlung in ein Drittland umfasst, vereinbaren die Parteien, dass die Standardvertragsklauseln wie folgt gelten:
(a) EWR-Übermittlungen: Es gelten die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission genehmigten SCCs, wobei der Kunde der "Datenexporteur" und BBE der "Datenimporteur" ist. Es gilt Modul Zwei (Verantwortlicher an Auftragsverarbeiter).
(b) UK-Übermittlungen: Es gilt das UK International Data Transfer Addendum zu den EU-SCCs.
(c) Schweizer Übermittlungen: Es gelten die SCCs mit den nach dem FADP erforderlichen Änderungen.
5.3. BBE verarbeitet personenbezogene Daten in Übereinstimmung mit der GDPR und hält die Einhaltung der anwendbaren Datenschutzstandards aufrecht.
6. PRÜFUNGEN
6.1. BBE stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser AVV erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Drittprüfer durchgeführt werden, und trägt zu diesen bei.
6.2. Der Kunde teilt jede Prüfung mindestens 30 Tage im Voraus schriftlich mit. Prüfungen werden während der normalen Geschäftszeiten, höchstens einmal pro Jahr (sofern nicht nach anwendbarem Datenschutzrecht oder durch eine Aufsichtsbehörde gefordert) und vorbehaltlich angemessener Vertraulichkeitspflichten durchgeführt.
6.3. BBE kann Prüfpflichten erfüllen, indem es dem Kunden Folgendes bereitstellt: (a) einschlägige Zertifizierungen von Dritten (z. B. SOC 2 Type II, ISO 27001); (b) zusammenfassende Ergebnisse von Penetrationstests; oder (c) sonstige Nachweise der Einhaltung dieser AVV, vorbehaltlich angemessener Vertraulichkeitsschutzmaßnahmen.
7. DATENAUFBEWAHRUNG UND -LÖSCHUNG
7.1. Nach Beendigung oder Ablauf der Vereinbarung löscht oder retourniert BBE nach Wahl des Kunden alle personenbezogenen Daten innerhalb von 30 Tagen an den Kunden und löscht alle vorhandenen Kopien, sofern die Aufbewahrung nicht nach anwendbarem Datenschutzrecht erforderlich ist.
7.2. BBE bestätigt auf Verlangen des Kunden schriftlich die Löschung der personenbezogenen Daten.
8. CCPA/CPRA-SPEZIFISCHE BESTIMMUNGEN
8.1. Soweit BBE personenbezogene Daten verarbeitet, die dem CCPA/CPRA unterliegen, wird BBE:
(a) solche personenbezogenen Daten nur für die in der Vereinbarung und dieser AVV festgelegten konkreten Geschäftszwecke verarbeiten;
(b) personenbezogene Daten nicht verkaufen oder weitergeben (im Sinne des CCPA/CPRA);
(c) personenbezogene Daten nicht zu anderen Zwecken als den in der Vereinbarung festgelegten Geschäftszwecken aufbewahren, nutzen oder offenlegen, einschließlich zu anderen kommerziellen Zwecken als der Erbringung des Dienstes;
(d) von dem Kunden erhaltene personenbezogene Daten nicht mit personenbezogenen Daten aus anderen Quellen kombinieren, außer soweit dies nach dem CCPA/CPRA zulässig ist;
(e) die anwendbaren Pflichten nach dem CCPA/CPRA einhalten und das gleiche Datenschutzniveau bieten, das danach gefordert wird.
8.2. Der Kunde hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass BBE personenbezogene Daten in einer Weise nutzt, die mit den Pflichten des Kunden nach dem CCPA/CPRA im Einklang steht.
8.3. BBE benachrichtigt den Kunden, wenn BBE feststellt, dass es seine Pflichten nach dem CCPA/CPRA nicht mehr erfüllen kann.
9. ALLGEMEINES
9.1. Vorrang. Im Falle eines Widerspruchs zwischen dieser AVV und der Vereinbarung hat diese AVV in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.
9.2. Haftung. Die Haftung jeder Partei nach dieser AVV unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen, außer soweit dies nach anwendbarem Datenschutzrecht untersagt ist.
9.3. Laufzeit. Diese AVV bleibt für die Dauer der Vereinbarung in Kraft und endet automatisch mit Beendigung oder Ablauf der Vereinbarung, vorbehaltlich Abschnitt 7.
ANHANG I — EINZELHEITEN DER VERARBEITUNG
Kategorien betroffener Personen:
Mitarbeiter, Auftragnehmer, Endnutzer und sonstige Personen des Kunden, deren personenbezogene Daten vom Kunden an den Dienst übermittelt werden.
Kategorien personenbezogener Daten:
Name, E-Mail-Adresse, IP-Adresse, Nutzungsdaten und alle sonstigen vom Kunden über den Dienst übermittelten personenbezogenen Daten.
Sensible Daten (falls zutreffend):
Standardmäßig keine. Übermittelt der Kunde sensible Daten/besondere Kategorien von Daten, ist der Kunde für die Gewährleistung der rechtmäßigen Verarbeitung verantwortlich.
Häufigkeit der Übermittlung:
Fortlaufend, für die Dauer der Vereinbarung.
Art und Zweck der Verarbeitung:
Erbringung und Aufrechterhaltung des Dienstes wie in der Vereinbarung beschrieben, einschließlich der Verarbeitung von Eingabedaten durch KI-Funktionen.
Dauer der Verarbeitung:
Für die Dauer der Vereinbarung zuzüglich des Zeitraums für die Rückgabe/Löschung der Daten.
ANHANG II — TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN
BBE setzt die folgenden technischen und organisatorischen Sicherheitsmaßnahmen um:
1. Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung, Prinzip der geringsten Rechte, regelmäßige Zugriffsüberprüfungen.
2. Verschlüsselung
- AES-256-Verschlüsselung im Ruhezustand; TLS 1.2+ bei der Übertragung; Schlüsselverwaltung mit regelmäßiger Rotation.
3. Netzwerksicherheit
- Firewalls, Systeme zur Erkennung/Verhinderung von Eindringversuchen, DDoS-Abwehr, Netzwerksegmentierung.
4. Incident-Management
- Dokumentierter Incident-Response-Plan, 24/7-Sicherheitsüberwachung, Benachrichtigung über Datenschutzverletzungen innerhalb von 72 Stunden.
5. Geschäftskontinuität
- Multi-AZ-Bereitstellung, automatisierte Backups, jährlich getesteter Notfallwiederherstellungsplan.
6. Mitarbeitersicherheit
- Hintergrundprüfungen, Schulungen zum Sicherheitsbewusstsein, Vertraulichkeitsvereinbarungen, Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses.
7. Lieferantenmanagement
- Risikobewertungen von Lieferanten, vertragliche Sicherheitsanforderungen, regelmäßige Überprüfungen.
8. Zertifizierungen
- GDPR-Konformität, ISO 27001 (geplant), SOC 2 Type II (geplant)
BBE Data Processing Addendum v1.0