1. Parteien
-
The Digital PO Box - Eingetragene Marke von The Bizz Hub LLC-FZ, Büro im The Meydan Grandstand, 6. Etage, Meydan Road, Nad Al Sheba, Dubai, VAE, registriert unter der Nummer 2536783.01. Im Folgenden bezeichnet als: "Auftragsverarbeiter".
- Verantwortlicher - Die natürliche oder juristische Person, die einen Vertrag mit dem Auftragsverarbeiter (unter anderem) über die Postbearbeitung schließt und zu diesem Zweck den Scanservice nutzt. Im Folgenden bezeichnet als: "Verantwortlicher".
- Der Verantwortliche und der Auftragsverarbeiter werden im Folgenden gemeinsam als die "Parteien" bezeichnet.
Dieser Vertrag gilt unabhängig davon, ob der Kunde (Verantwortlicher) in persönlicher oder geschäftlicher Eigenschaft handelt.
Dieser Auftragsverarbeitungsvertrag gilt ausschließlich für das Scannen und die Digitalisierung von Postsendungen, die personenbezogene Daten enthalten. Für alle anderen Kategorien personenbezogener Daten, die von TBH verarbeitet werden (einschließlich Kontodaten, Abrechnungsdaten und Kommunikationsdaten), handelt TBH als unabhängiger Verantwortlicher, wie in seiner Datenschutzerklärung beschrieben.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter garantiert die folgenden Pflichten gemäß Artikel 28 DSGVO:
5.1 Vertraulichkeit
- Der Auftragsverarbeiter und seine angeschlossenen Mitarbeiter (und etwaige Unterauftragsverarbeiter) behandeln die personenbezogenen Daten, von denen sie Kenntnis erlangen, vertraulich.
- Diese Vertraulichkeitspflicht gilt auch nach Beendigung dieses Auftragsverarbeitungsvertrags fort.
5.2 Geeignete Sicherheitsmaßnahmen
- Der Auftragsverarbeiter trifft geeignete technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, Zerstörung oder Beschädigung zu schützen.
- Zu den technischen Maßnahmen gehören z. B. Firewalls, Virenscanner, starke Passwörter und (wo relevant) Verschlüsselung gemäß den Normen ISO 27001 und ISO 27701. Zu den organisatorischen Maßnahmen gehören Zugangsbeschränkungen, Überprüfung des Personals und Verschluss von Bereichen, in denen Daten verarbeitet werden.
- Die Sicherheitsmaßnahmen entsprechen mindestens den Anforderungen von Artikel 32 der DSGVO und sind der Art der verarbeiteten Daten angemessen (dies kann je nach Postsendung variieren).
5.3 Verarbeitung innerhalb der EU/EWR
- Der Auftragsverarbeiter wird die Verarbeitung personenbezogener Daten nicht außerhalb des Europäischen Wirtschaftsraums (EWR) zulassen, es sei denn, eine solche Übermittlung ist durch geeignete Garantien abgedeckt, einschließlich der EU-Standardvertragsklauseln (SCCs) oder gleichwertiger Mechanismen, die ein angemessenes Schutzniveau gewährleisten, oder wenn dies gesetzlich vorgeschrieben ist.
- Für Übermittlungen in das Vereinigte Königreich oder die Vereinigten Arabischen Emirate wendet der Auftragsverarbeiter dieselben vertraglichen, technischen und organisatorischen Garantien an, wie sie in der Datenschutzerklärung von TDPB beschrieben sind.
5.4 Keine Weiterverarbeitung
- Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen. Eine Nutzung für andere Zwecke (z. B. eigenes Marketing) ist nicht gestattet.
5.5 Unterstützung bei der Erfüllung von Pflichten
- Soweit vernünftigerweise möglich, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung von Verpflichtungen gemäß der DSGVO, wie z. B. bei der Bearbeitung von Anträgen betroffener Personen oder der Durchführung von Datenschutz-Folgenabschätzungen (DSFA).
5.6 Bereitstellung von Informationen und Audit
- Bereitstellung von Informationen
Der Auftragsverarbeiter stellt dem Verantwortlichen auf erste Anforderung und soweit vernünftigerweise erforderlich alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der Verpflichtungen aus diesem Auftragsverarbeitungsvertrag und der DSGVO nachzuweisen.
- Unterstützung bei der Einhaltung
Wenn der Verantwortliche begründete Gründe hierfür hat (z. B. regelmäßige Überprüfung oder Verdacht auf Unregelmäßigkeiten), wird der Auftragsverarbeiter bei Audits oder Inspektionen mitwirken, einschließlich (gegebenenfalls) der Bereitstellung technischer Dokumentationen oder Berichte.
- Audit-Bedingungen
Der Verantwortliche kündigt ein beabsichtigtes Audit oder eine Inspektion schriftlich mindestens 30 Werktage im Voraus an, mit einer klaren Beschreibung des Umfangs und des Zwecks, damit sich der Auftragsverarbeiter vorbereiten kann und die Kontinuität des Dienstes nicht unnötig beeinträchtigt wird.
- Audits dürfen die Vertraulichkeit anderer Verantwortlicher oder die Sicherheit von Systemen, die auch Daten Dritter enthalten, nicht beeinträchtigen. Der Verantwortliche stimmt zu, dass das Audit durch einen unabhängigen Dritten unter Wahrung der Vertraulichkeit durchgeführt werden kann, um die Privatsphäre anderer Verantwortlicher zu schützen.
- Die Kosten eines Audits, einschließlich der Arbeitsstunden des Auftragsverarbeiters, werden vom Verantwortlichen getragen, es sei denn, es wird festgestellt, dass der Auftragsverarbeiter gegen diesen Auftragsverarbeitungsvertrag oder die DSGVO verstößt; in diesem Fall trägt der Auftragsverarbeiter die angemessenen Auditkosten.
- Ergebnisse und Verbesserungen
Der Auftragsverarbeiter informiert den Verantwortlichen über relevante Ergebnisse eines Audits oder einer Inspektion und schlägt gegebenenfalls Verbesserungsmaßnahmen vor oder setzt diese um, um weiterhin die Einhaltung dieses Auftragsverarbeitungsvertrags und der DSGVO zu gewährleisten.
5.7 Verarbeitung durch KI-Systeme
- Umfang der KI-Nutzung: Der Auftragsverarbeiter darf KI-Systeme (einschließlich OpenAI) ausschließlich zur Unterstützung der Kundenkommunikation und zur internen Serviceverbesserung nutzen. KI-Tools werden nicht bei der Verarbeitung von Postsendungen oder vom Verantwortlichen bereitgestellten personenbezogenen Daten eingesetzt.
- Keine Verarbeitung von Daten des Verantwortlichen: KI-Systeme empfangen oder verarbeiten keine personenbezogenen Daten, die aus Postsendungen, Scans, Weiterleitungsanweisungen des Verantwortlichen oder anderen unter diesem Vertrag verarbeiteten Daten stammen.
- Anonymisierung: Nur anonymisierte oder pseudonymisierte Gesprächsdaten – ohne Bezug zu identifizierten oder identifizierbaren natürlichen Personen – dürfen mithilfe von KI-Systemen verarbeitet werden. Solche Daten können weder dem Verantwortlichen noch betroffenen Personen zugeordnet werden.
- Pflichten des Unterauftragsverarbeiters: OpenAI fungiert als technischer Unterauftragsverarbeiter. Der Auftragsverarbeiter stellt sicher, dass OpenAI vertraglich zur Vertraulichkeit, zu Datensicherheitsanforderungen und zu den in diesem Vertrag festgelegten Einschränkungen verpflichtet ist.
- Keine automatisierte Entscheidungsfindung: KI-Systeme werden nicht verwendet, um Entscheidungen zu treffen, die rechtliche Wirkung entfalten oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigen, im Sinne von Artikel 22 DSGVO, UK-GDPR oder UAE PDPL.
- Technische Schutzmaßnahmen: Der Auftragsverarbeiter unterhält Maßnahmen, die verhindern, dass identifizierbare personenbezogene Daten an KI-Systeme übermittelt werden, und stellt sicher, dass jegliche KI-Verarbeitung strikt von den Daten des Verantwortlichen getrennt bleibt.
Dieser Artikel gilt für alle KI-gestützten Vorgänge, die vom Auftragsverarbeiter durchgeführt werden, und ist Teil der gemäß Artikel 28 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.
Geeignete Garantien, einschließlich, aber nicht beschränkt auf die EU-Standardvertragsklauseln und gleichwertige Übermittlungsmechanismen des Vereinigten Königreichs und der VAE, gelten für jede von OpenAI durchgeführte Verarbeitung.