1 Geltung und Definitionen

1.1 Dieser Auftragsverarbeitungsvertrag ("AVV") ergänzt Oxolos Allgemeine Geschäftsbedingungen ("AGB") für die Nutzung der himala-Software und der Oxolo-Software. Dieser AVV gilt nicht für natürliche Personen, die himala und/oder Oxolo ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten im Sinne von Art. 2 Abs. 2 lit. c DSGVO nutzen.

1.2 Im Falle eines Widerspruchs zwischen diesem AVV und Oxolos AGB hat dieser AVV Vorrang.

1.3 Die in diesem AVV verwendeten Begriffe und ihre Abwandlungen entsprechen den in Oxolos AGB verwendeten Begriffen, soweit nachstehend nichts Abweichendes oder Ergänzendes geregelt ist. Abweichend oder ergänzend gelten die folgenden Begriffe:

• "Client": Bezeichnet den Nutzer im Sinne des Nutzungsvertrags. Dies ist die natürliche oder juristische Person, die die himala-Softwarelösung, die Oxolo-Softwarelösung und sonstige von Oxolo angebotene Services auf Grundlage des Nutzungsvertrags nutzt oder nutzen möchte. 

• "Contractor": Bezeichnet Oxolo im Sinne des Nutzungsvertrags, also die Oxolo GmbH, Bohnenstrasse 2, 20457 Hamburg.

• "User Agreement": Bezeichnet den zwischen dem Nutzer (bzw. Client) und Oxolo (bzw. Contractor) geschlossenen Vertrag über die Nutzung der himala-Software und/oder der Oxolo-Software. Der Inhalt des Nutzungsvertrags ergibt sich aus Oxolos AGB.

• "Parties": Gemeinsame Bezeichnung für den Client und den Contractor.

• "DPA": Bezeichnet diesen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einschließlich seiner Anlagen.

2 Gegenstand und Dauer des Auftrags

2.1 Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Datenverarbeitung ergeben, die der Contractor für den Client nach Maßgabe des Nutzungsvertrags durchführt. Gegenstand des Vertrags ist die Bereitstellung der himala-Softwarelösung und ihrer Funktionen, einschließlich der Integration und Verknüpfung von durch den Client autorisierten Drittservices und Datenquellen (z. B. Kalender, E-Mails, Dokumentenmanagementsysteme und Kommunikationsplattformen), der automatisierten Verarbeitung von Client Input zur Meeting-Vorbereitung und für Produktivitäts-Workflows sowie der Generierung von Ausgaben wie Zusammenfassungen, Entwürfen und Aufgabenvorschlägen, jeweils im Rahmen der dokumentierten Weisungen des Clients und der produktspezifischen Parameter von himala. Darüber hinaus ist Gegenstand des Vertrags die Bereitstellung der Oxolo-Softwarelösung und ihrer Funktionen für Baustellendokumentation und zugehörige Workflows, einschließlich der Erfassung, des Uploads, der Speicherung, Strukturierung, Weitergabe und Generierung von Aufnahmen, Transkripten, Projekt- und Baustelleninformationen, Nachweisdateien, Berichten, Aufgaben, Nachträgen, Verzögerungen, Teammitglieds- und Berechtigungsdaten, Kollaborationsfunktionen sowie optionaler sprachprofilgestützter Sprecheridentifikation, jeweils im Rahmen der dokumentierten Weisungen des Clients und der produktspezifischen Parameter von Oxolo.

2.2 Dieser AVV gilt zudem für alle Tätigkeiten, die mit den in Anlage 1 beschriebenen Tätigkeiten in Zusammenhang stehen und bei denen Beschäftigte des Contractors oder von ihm beauftragte Dritte mit personenbezogenen Daten des Clients in Berührung kommen können.

2.3 Dieser AVV wird zwischen den Parteien zusammen mit dem Nutzungsvertrag geschlossen. Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags. Die Pflichten aus diesem AVV gelten jedoch über die Beendigung des Nutzungsvertrags hinaus fort, solange der Contractor nicht sämtliche personenbezogenen Daten des Clients gemäß diesem AVV freigegeben, gelöscht oder anderweitig vernichtet hat.

2.4 Der Client bleibt allein verantwortlich für die Rechtmäßigkeit der dem Contractor bereitgestellten personenbezogenen Daten sowie dafür, dass Erhebung, Offenlegung und weitere Verarbeitung dieser Daten durch den Contractor gemäß den dokumentierten Weisungen des Clients mit dem anwendbaren Datenschutzrecht vereinbar sind. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder andere Daten mit erhöhten Schutzanforderungen nach anwendbarem Recht sind nicht zur Verarbeitung vorgesehen. Übermittelt der Client solche Daten dennoch an den Contractor, stellt der Client eine rechtmäßige Grundlage sicher und erteilt dokumentierte Weisungen sowie geeignete Schutzmaßnahmen; der Contractor darf die Verarbeitung aussetzen, soweit dies zur Einhaltung des anwendbaren Rechts erforderlich ist. Der Contractor ist nicht verpflichtet, die Rechtmäßigkeit der bereitgestellten Daten oder der vom Client erteilten Weisungen zu prüfen, wird den Client jedoch unverzüglich informieren, wenn eine Weisung nach seiner Auffassung gegen geltendes Datenschutzrecht verstößt.

3 Konkretisierung des Auftragsinhalts

3.1 Art und Zweck der Verarbeitung personenbezogener Daten durch den Contractor für den Client sind in Anlage 1 konkret beschrieben.

3.2 Der Contractor stellt die Einhaltung sämtlicher gesetzlichen Datenschutzvorschriften in seinem Verantwortungsbereich sicher.

3.3 Der Contractor verarbeitet die personenbezogenen Daten des Clients primär in einem Mitgliedstaat der Europäischen Union oder einem Staat des Europäischen Wirtschaftsraums. Verarbeitungen und/oder Übermittlungen in Drittländer können erfolgen, soweit dies zur Erbringung der Services erforderlich ist, insbesondere bei Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter. Jede Drittlandübermittlung erfolgt nur, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind und ein geeigneter Übermittlungsmechanismus Anwendung findet (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien); der Contractor setzt erforderlichenfalls ergänzende Maßnahmen um.

3.4 Der Client stimmt hiermit der Verlagerung einzelner Verarbeitungsvorgänge in die in Anlage 2 genannten Drittländer zu. Für einen Überblick, wie in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet wird, wird auf Anlage 2 verwiesen. Übermittlungen in Drittländer erfolgen auf Grundlage eines anwendbaren Übermittlungsmechanismus nach Kapitel V DSGVO, einschließlich – soweit einschlägig – eines Angemessenheitsbeschlusses und/oder der Standardvertragsklauseln der EU-Kommission (2021/914/EU) sowie etwaiger gesetzlich erforderlicher Zusätze.

3.5 Gegenstand dieser Datenverarbeitung sind insbesondere die folgenden Arten personenbezogener Daten:

Client Input. Der Input des Clients umfasst alle Inhalte und Daten, die der Client oder seine Nutzer (i) in himala und/oder Oxolo eingeben, (ii) hochladen, (iii) mithilfe von himala und/oder Oxolo erzeugen oder erfassen, (iv) durch Verbindung und Autorisierung externer Datenquellen bereitstellen oder (v) anderweitig zur Verarbeitung innerhalb der jeweiligen Services an himala und/oder Oxolo übermitteln ("Client Input"). Client Input kann Inhalte in einer Vielzahl von Dateiformaten und Medien (z. B. Text, Bild, Audio, Video) umfassen. Die Kategorien personenbezogener Daten im Client Input werden vom Client festgelegt und hängen von dessen Konfiguration, den ausgewählten Funktionen und den vom Client verbundenen externen Datenquellen ab. Oxolo bestimmt diese Kategorien nicht.

Verbundene Datenquellen (als Teil des Client Input) – himala. Abhängig von der Auswahl des Clients und den aktivierten Integrationen kann der über himala verarbeitete Client Input personenbezogene Daten enthalten, die aus verbundenen Drittservices abgerufen oder mit diesen synchronisiert werden, insbesondere:

(a) E-Mail-Daten: Metadaten und Inhalte von E-Mails einschließlich Nachrichtentexten, Betreffzeilen, Absender-/Empfängerinformationen, Anhängen und extrahiertem Text sowie signatur- und entwurfsbezogene Daten;

(b) Kalender- und Meeting-Daten: Metadaten von Kalendereinträgen wie Titel, Beschreibungen, Zeiten, Orte, Teilnehmerlisten, Meeting-Links und planungsbezogene Daten;

(c) Kontakt-/Personendaten: Kontaktkennungen und Profile wie Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Rolle/Titel, Profilbilder, Beziehungshistorie und Interaktionskontext;

(d) Dateien und Dokumente: Dokumentmetadaten und – soweit aktiviert – extrahierter Text/Inhalt aus Dateien in verbundenen Speichersystemen;

(e) Chats/Nachrichten – soweit aktiviert – Nachrichteninhalte und Metadaten aus verbundenen Kommunikationstools;

(f) Meeting-Notetaker/Transkripte – soweit aktiviert – Meeting-Metadaten, Teilnehmerlisten, Transkripte einschließlich Rohtranskripttext, Zusammenfassungen, Notizen und Action Items;

(g) Scheduling-Buchungen – soweit aktiviert – Angaben aus Buchungsformularen und zugehörige Terminplanungsinformationen wie Name und Kontaktdaten des Gastes.

himala Client Output / abgeleitete Daten. himala kann auf Basis des Client Input Ausgaben ("Client Output") generieren, darunter Zusammenfassungen, Materialien zur Meeting-Vorbereitung, Agenden, vorgeschlagene Fragen, E-Mail-Entwürfe, Aufgabenvorschläge, Kontakt-Insights, Beziehungsmetriken und sonstige KI-gestützte Inhalte. Client Output kann personenbezogene Daten enthalten, soweit diese im Client Input vorhanden sind oder daraus bzw. aus den vom Client konfigurierten verbundenen Datenquellen abgeleitet werden.

Oxolo-spezifischer Client Input. Soweit der Client Oxolo nutzt, kann Client Input zusätzlich umfassen: (i) Projekt- und Standortmetadaten einschließlich Projektnamen, Adressen, Statusinformationen und GPS-/Standortdaten, (ii) Audioaufnahmen und zugehörige Metadaten, (iii) Transkriptzeilen, (iv) Sprecherlabels, (v) Nachweisdateien wie Fotos und Videos, (vi) Unterschriften, (vii) Aufgaben, (viii) Nachträge, (ix) Verzögerungen, (x) Teammitglieds- und (xi) Berechtigungsdaten, (xii) Berichtsinhalte, (xiii) Audit-Trail-Daten und (xiv) Kommunikation im Zusammenhang mit Einladungen, Freigaben oder Berichtszustellung.

Oxolo Client Output / abgeleitete Daten. Oxolo kann auf Basis des Inputs des Clients Ausgaben erzeugen, darunter Transkripte, Zusammenfassungen, Titel, Labels, Aufgabenlisten, Analysen zu Nachträgen und Verzögerungen, übersetzte Inhalte, gebrandete Reports, Share-Ansichten und sonstige im Auftrag des Clients erzeugte oder strukturierte Projektdokumentation.

Technische Kennungen, die zur Erbringung der Services auf Weisung des Clients erforderlich sind. Soweit erforderlich, um Client Input gemäß den dokumentierten Weisungen des Clients und den produktspezifischen Parametern von himala und/oder Oxolo zu verarbeiten, kann die Verarbeitung auch technische Kennungen und sicherheitsbezogene Daten umfassen, die mit der Konfiguration des Clients, der Kontoeinrichtung und Integrationen verknüpft sind (z. B. verschlüsselte OAuth-Tokens/Refresh-Tokens, Integrationskennungen, erteilte Scopes, Geräte- und Zugriffslogs, Berechtigungseinstellungen, Audit-Logs und zugehörige Sicherheitsmetadaten).

Optionales Voiceprint- und Sprecheridentifikationsdatum. Wenn vom Client aktiviert, kann Oxolo Audioproben, Transkriptauszüge, Sprecherlabels und Voiceprint-bezogene Daten zur Sprecheridentifikation verarbeiten. Soweit solche Daten nach anwendbarem Recht biometrische Daten oder eine andere besondere Kategorie personenbezogener Daten darstellen, stellt der Client vor Aktivierung oder Nutzung dieser Funktion eine geeignete Rechtsgrundlage, dokumentierte Weisungen und angemessene Schutzmaßnahmen sicher.

Besondere Kategorien personenbezogener Daten. Die Services sind nicht zur Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO bestimmt. Der Client darf solche Daten nicht als Client Input bereitstellen, sofern dies nicht ausdrücklich schriftlich vereinbart und durch geeignete dokumentierte Weisungen und Schutzmaßnahmen abgesichert wurde. Stellt der Client solche Daten dennoch ohne eine solche Vereinbarung bereit, bleibt er allein verantwortlich für die Schaffung einer rechtmäßigen Grundlage und die Umsetzung geeigneter Schutzmaßnahmen; Oxolo darf die Verarbeitung in dem Umfang aussetzen, der zur Einhaltung des anwendbaren Rechts erforderlich ist.

3.6 Kategorien betroffener Personen: Personen, die im Input des Clients identifizierbar sind, einschließlich – soweit einschlägig – Mitarbeiter und Vertreter des Clients, Kunden, Lieferanten, Geschäftspartner, sonstige Kontakte und Meeting-Teilnehmer, deren personenbezogene Daten in Meeting-Metadaten, Transkripten, Notizen, Zusammenfassungen oder damit zusammenhängenden Outputs enthalten sind; sowie bei Oxolo zusätzlich Personen, die in Baustellen- und Projekt-Workflows dokumentiert werden, darunter Projektbeteiligte, Auftragnehmer, Subunternehmer, Architekten, Ingenieure, Bauleiter, Besucher, in Nachweisdateien oder Unterschriften erscheinende Personen sowie Empfänger freigegebener Reports oder Aufnahmen.

4 Technische und organisatorische Maßnahmen

4.1 Der Contractor gestaltet die interne Organisation in seinem Verantwortungsbereich so, dass sie den Anforderungen des Datenschutzrechts genügt. Hierzu hat er die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c, 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, 2 DSGVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Datensicherheitsmaßnahmen und Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Zu berücksichtigen sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung und die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO. Die vom Contractor konkret getroffenen Maßnahmen sind in Anlage 3 (Technische und organisatorische Maßnahmen) dargestellt.

4.2 Zum Nachweis der getroffenen Maßnahmen kann der Contractor auch aktuelle Zertifikate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragte, IT-Sicherheits- oder Datenschutzaudits) vorlegen. Insbesondere die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO ist geeignet, die Einhaltung der hier genannten Anforderungen nachzuweisen. Ergibt eine Prüfung des Clients Anpassungsbedarf, ist dieser im gegenseitigen Einvernehmen umzusetzen.

4.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Contractor ist insoweit berechtigt, alternative angemessene Maßnahmen umzusetzen. Das Sicherheitsniveau der festgelegten Maßnahmen darf dabei nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

5 Weisungsbefugnisse des Clients

5.1 Der Contractor verarbeitet personenbezogene Daten im Auftrag des Clients entsprechend den Regelungen des Nutzungsvertrags und der Anlage 1. Der Contractor und jede Person, die seiner Autorität untersteht und Zugang zu personenbezogenen Daten hat, dürfen die im Auftrag des Clients verarbeiteten Daten nur entsprechend den dokumentierten Weisungen des Clients – einschließlich der in diesem AVV eingeräumten Befugnisse – erheben, verarbeiten und nutzen, sofern sie nicht gesetzlich zu einer Verarbeitung verpflichtet sind (Art. 29 DSGVO).

5.2 Der Client erteilt bereits jetzt die Weisung, die personenbezogenen Daten des Clients (a) für den Betrieb von himala und/oder Oxolo und die Erbringung der Services gemäß dem Nutzungsvertrag, (b) wie durch die vertragliche Nutzung von himala und/oder Oxolo durch den Client näher bestimmt und (c) wie im Nutzungsvertrag dokumentiert zu verarbeiten. Im Rahmen der bestehenden Vertragsbeziehung kann der Client außerdem jederzeit im Einzelfall Weisungen ("Einzelweisungen") für die automatisierte Verarbeitung personenbezogener Daten erteilen. Soweit der Client Einzelweisungen erteilt, die über die gesetzlichen Anforderungen oder die produktspezifischen Parameter von himala und/oder Oxolo hinausgehen, trägt der Client die daraus resultierenden Kosten.

5.3 Der Contractor darf die Daten zu keinem anderen Zweck als zur Erbringung der Services nach dem Nutzungsvertrag und diesem AVV verwenden und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben, mit Ausnahme von Unterauftragsverarbeitern gemäß Ziffer 8 und Anlage 2. Kopien und Duplikate der Daten werden ohne Wissen des Clients nicht erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten notwendig sind. Soweit der Nutzungsvertrag eine ausdrückliche Opt-in-Einstellung vorsieht, die eine Verarbeitung von Client-Inhalten zur Produktverbesserung ermöglicht, erfolgt eine solche Verarbeitung nur, wenn sie vom Client aktiviert wurde, und nur in dem im Nutzungsvertrag beschriebenen Umfang. Klarstellend wird festgehalten, dass der Contractor den Input, verarbeiteten Input und/oder Output des Clients nicht zum Training der in himalas KI-Systemen eingesetzten Large Language Models verarbeitet – unabhängig von etwaigen Einstellungen zur Produktverbesserung.

5.4 Mündliche Weisungen bestätigt der Client unverzüglich, mindestens in Textform.

5.5 Der Contractor hat den Client unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Contractor ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis sie durch den Client bestätigt oder geändert wird. Bestätigt der Client die Weisung und weist den Contractor trotz dessen Bedenken im Hinblick auf eine mögliche Rechtswidrigkeit zur Durchführung dieser Weisung an, stellt der Client den Contractor von allen Schäden und Kosten frei, die dem Contractor durch die Ausführung dieser Weisung entstehen, falls sich die Weisung tatsächlich als rechtswidrig erweist und deshalb Ansprüche gegen den Contractor geltend gemacht oder Bußgelder gegen ihn verhängt werden.

6 Pflichten des Contractors

Zusätzlich zur Einhaltung der in diesem Auftrag festgelegten Regeln beachtet der Contractor die gesetzlichen Anforderungen gemäß Art. 28 bis 33 DSGVO; dementsprechend gewährleistet der Contractor insbesondere die Einhaltung der folgenden Anforderungen:

6.1 Der Contractor wahrt die Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b, 32 Abs. 4 DSGVO. Hierzu setzt der Contractor zur Leistungserbringung nach dem Nutzungsvertrag nur solche Beschäftigten ein, die auf Vertraulichkeit verpflichtet wurden und zuvor mit den für ihre Tätigkeit relevanten Datenschutzbestimmungen vertraut gemacht worden sind. Die Vertraulichkeitsverpflichtung gilt auch nach Beendigung der Tätigkeit fort.

6.2 Client und Contractor arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

6.3 Der Contractor informiert den Client unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie diesen Auftrag betreffen. Dies gilt auch, soweit eine zuständige Behörde im Zusammenhang mit Ordnungswidrigkeits- oder Strafverfahren wegen der Verarbeitung personenbezogener Daten durch den Contractor ermittelt.

6.4 Ist der Client einer Kontrolle durch die Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, Haftungsansprüchen einer betroffenen Person oder eines Dritten oder sonstigen Ansprüchen im Zusammenhang mit der vom Contractor durchgeführten Auftragsverarbeitung ausgesetzt, unterstützt der Contractor den Client nach bestem Vermögen in angemessenem Umfang.

7 Berichtigung, Einschränkung und Löschung von Daten; Rechte betroffener Personen

7.1 Der Contractor darf Daten, die im Auftrag des Clients verarbeitet werden, nicht eigenmächtig berichtigen, löschen oder in ihrer Verarbeitung einschränken, sondern nur auf dokumentierte Weisung des Clients.

7.2 Wendet sich eine betroffene Person unmittelbar an den Contractor, um die in Absatz 1 genannten Rechte oder sonstige Betroffenenrechte auszuüben, leitet der Contractor dieses Ersuchen unverzüglich an den Client weiter. Der Contractor unterstützt den Client in angemessenem Umfang durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten nach Art. 12–23 DSGVO. Der Contractor antwortet der betroffenen Person nicht unmittelbar, es sei denn, er ist gesetzlich hierzu verpflichtet.

8 Unterauftragsverhältnisse

8.1 Unterauftragsverhältnisse im Sinne dieses AVV sind solche Leistungen, die sich unmittelbar auf die Erbringung der Hauptleistung unter diesem AVV beziehen. Nicht hierzu zählen Nebenleistungen, von denen der Contractor profitiert, wie Telekommunikationsleistungen, Post-/Transportleistungen, Wartungs- und Benutzersupport oder die Entsorgung von Datenträgern, sowie sonstige Maßnahmen zur Sicherstellung von Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der Contractor ist jedoch verpflichtet, auch bei ausgelagerten Nebenleistungen geeignete und rechtlich verbindliche vertragliche Regelungen zu treffen und angemessene Kontrollmaßnahmen zu ergreifen, um Datenschutz und Datensicherheit der Daten des Clients sicherzustellen.

8.2 Der Contractor darf die in Anlage 2 genannten Unterauftragsverarbeiter zur Leistungserbringung einsetzen. Darüber hinaus erteilt der Client dem Contractor eine allgemeine Genehmigung für den künftigen Einsatz neuer Unterauftragsverarbeiter und/oder für künftige Änderungen bestehender Unterauftragsverarbeiter.

8.3 Der Contractor informiert den Client über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder des Austauschs eines Unterauftragsverarbeiters mindestens vier (4) Wochen, bevor dieser Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Clients beginnt ("Mitteilungsfrist"). Der Client kann der Bestellung des neuen Unterauftragsverarbeiters innerhalb der Mitteilungsfrist schriftlich widersprechen, sofern sich dieser Widerspruch auf objektive Gründe stützt (z. B. im Zusammenhang mit dem Datenschutz). In diesem Fall werden die Parteien diese Bedenken nach Treu und Glauben erörtern, um eine Lösung zu finden. Kann der Widerspruch nicht innerhalb eines angemessenen Zeitraums gelöst werden, kann der Client den betroffenen Teil der Services aus Kulanz mit Wirkung zu dem Zeitpunkt kündigen, zu dem der neue oder ersetzende Unterauftragsverarbeiter mit der Verarbeitung beginnen würde.

8.4 Die Übermittlung personenbezogener Daten des Clients an den Unterauftragsverarbeiter und dessen erstmalige Tätigkeit sind erst zulässig, wenn sämtliche Anforderungen an ein Unterauftragsverhältnis erfüllt sind, insbesondere eine vertragliche Vereinbarung gemäß Art. 28 Abs. 4 DSGVO vorliegt.

8.5 Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, sorgt der Contractor durch geeignete Maßnahmen dafür, dass die Leistung datenschutzrechtlich zulässig ist. Dies gilt entsprechend, wenn Dienstleister im Sinne von Absatz 1 Satz 2 eingesetzt werden.

8.6 Der Contractor haftet dem Client für die Datenverarbeitung durch die von ihm eingesetzten Unterauftragsverarbeiter in gleicher Weise wie für eigene Leistungen nach diesem AVV.

9 Kontrollbefugnisse des Clients

9.1 Der Client hat das Recht, im Benehmen mit dem Contractor Prüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, sofern diese Prüfer nicht Wettbewerber des Contractors sind. Der Client darf eine Prüfung pro Kalenderjahr mit einer schriftlichen Vorankündigung von mindestens dreißig (30) Tagen während der üblichen Betriebs- und Geschäftszeiten in einer Weise durchführen, die den Geschäftsbetrieb nicht unangemessen stört. Anlassbezogene Prüfungen sind bei Vorliegen vernünftiger Gründe mit vorheriger Ankündigung, soweit möglich, zulässig. Der Umfang der Prüfungen ist auf die Informationen beschränkt, die zur Überprüfung der Einhaltung dieses AVV erforderlich sind.

9.2 Der Contractor stellt sicher, dass der Client die Einhaltung der Pflichten des Contractors gemäß Art. 28 DSGVO überprüfen kann. Auf Anfrage verpflichtet sich der Contractor, dem Client die zur Durchführung einer Prüfung erforderlichen Auskünfte zu erteilen und insbesondere Nachweise über die Umsetzung der technischen und organisatorischen Maßnahmen vorzulegen.

9.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erbracht werden durch:

• Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO;

• Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;

• aktuelle Zertifikate, Berichte oder Reportings unabhängiger Stellen (z. B. Wirtschaftsprüfer, interne Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

• der eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

10 Unterstützungspflichten des Contractors

10.1 Der Contractor unterstützt den Client bei der Einhaltung seiner Pflichten hinsichtlich der Sicherheit der Verarbeitung personenbezogener Daten, der Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten, der Durchführung von Datenschutz-Folgenabschätzungen sowie vorherigen Konsultationen (Art. 32 bis 36 DSGVO). Die Unterstützung des Contractors umfasst insbesondere:

a) die Gewährleistung eines angemessenen Schutzniveaus durch Umsetzung technischer und organisatorischer Maßnahmen, die den Kontext und die Zwecke der Verarbeitung sowie die voraussichtliche Wahrscheinlichkeit und Schwere einer möglichen Verletzung infolge von Sicherheitslücken berücksichtigen und die eine unverzügliche Feststellung relevanter Verstöße ermöglichen (§ 3 dieses AVV);

b) die Pflicht, den Client unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu informieren, die personenbezogene Daten betrifft, die unter diesem AVV verarbeitet werden. Der Contractor stellt die ihm verfügbaren Informationen bereit, die vernünftigerweise erforderlich sind, damit der Client seinen Meldepflichten nach Art. 33 und gegebenenfalls Art. 34 DSGVO nachkommen kann, und liefert Aktualisierungen, sobald weitere Informationen verfügbar werden. Ferner informiert der Contractor den Client unverzüglich über schwerwiegende Störungen von Betriebsabläufen, Verdachtsfälle von Datenschutzverstößen und sonstige wesentliche Unregelmäßigkeiten in Bezug auf die Daten des Clients im Zusammenhang mit der Verarbeitung nach diesem AVV. Der Contractor trifft erforderliche und angemessene Maßnahmen zur Sicherung relevanter Daten und zur Minderung nachteiliger Auswirkungen;

c) die Pflicht, den Client bei seiner Benachrichtigungspflicht gegenüber der Aufsichtsbehörde und gegebenenfalls den betroffenen Personen zu unterstützen und dem Client in diesem Zusammenhang unverzüglich alle relevanten Informationen zur Verfügung zu stellen;

d) die Unterstützung des Clients im Rahmen etwaiger Datenschutz-Folgenabschätzungen;

e) die Unterstützung des Clients im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde;

f) die Pflicht, auf Anfrage der zuständigen Aufsichtsbehörde mit dem Client bei der Beantwortung dieser Anfrage zusammenzuarbeiten und dem Client angemessene Unterstützung zu leisten.

10.2 Der Contractor kann eine Vergütung für Unterstützungsleistungen verlangen, die nicht in den Leistungsbeschreibungen der Anlage 1 enthalten sind oder nicht auf ein Fehlverhalten des Contractors zurückzuführen sind.

11 Löschung und Rückgabe personenbezogener Daten oder Vernichtung

11.1 Nach Abschluss der vertraglich geschuldeten Arbeiten oder früher auf Verlangen des Clients – spätestens bei Beendigung der Leistungen nach dem Nutzungsvertrag – stellt der Contractor personenbezogene Daten des Clients im Rahmen der im Nutzungsvertrag definierten Exportfunktionalität und Exportfrist (einschließlich einer etwaigen Mindest-Exportfrist) zum Export bereit. Nach Ablauf der Exportfrist löscht oder gibt der Contractor die unter diesem AVV verarbeiteten personenbezogenen Daten auf Weisung des Clients und vorbehaltlich Art. 17 Abs. 3 DSGVO sowie gesetzlicher Aufbewahrungspflichten in datenschutzkonformer Weise zurück. Gleiches gilt für sämtliche verbundenen Test-, Abfall-, redundanten und ausgesonderten Materialien. Der Contractor erteilt auf Anfrage eine angemessene Bestätigung der Löschung, soweit dies technisch möglich ist.

11.2 Der Client bestimmt die erforderlichen Maßnahmen zur Löschung der gespeicherten Daten nach Beendigung des Auftrags. Export- und Löschfunktionen, die in den Standard-Services enthalten sind, werden ohne zusätzliche Vergütung bereitgestellt. Verlangt der Client nicht standardisierte Unterstützung (z. B. besondere Formate, zusätzliche Datenextraktion oder umfangreiche Professional Services), die über die Standard-Services und Anlage 1 hinausgeht, darf der Contractor eine angemessene Vergütung verlangen. Der Contractor löscht die Daten unverzüglich nach Ablauf anwendbarer gesetzlicher Aufbewahrungsfristen, vorbehaltlich des in Ziffer 11.1 beschriebenen Löschansatzes.

11.3 Dokumentationen, die dem Nachweis einer ordnungsgemäßen Datenverarbeitung entsprechend dem Auftrag dienen, werden vom Contractor entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus gespeichert. Er kann diese Dokumentation zum Ende der Vertragslaufzeit an den Client herausgeben, um sich von dieser vertraglichen Verpflichtung zu entlasten.

12 Haftung der Parteien

12.1 Der Contractor haftet für die Erfüllung seiner Pflichten aus diesem AVV entsprechend den Bestimmungen des Nutzungsvertrags.

12.2 Der Client bleibt gegenüber der betroffenen Person als Verantwortlicher im Sinne der DSGVO (Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO) für den Ersatz von Schäden verantwortlich, die einer betroffenen Person durch eine nach der DSGVO oder anderen Datenschutzvorschriften unzulässige oder unrichtige Datenverarbeitung durch den Contractor entstehen. Soweit der Client zum Schadensersatz gegenüber der betroffenen Person verpflichtet ist, behält er sich das Recht vor, nach Maßgabe von Art. 82 Abs. 2 Satz 2 DSGVO Rückgriff gegen den Contractor zu nehmen; im Übrigen gelten Art. 82 Abs. 3 bis 6 DSGVO.

13 Sonstiges

13.1 Ein Zurückbehaltungsrecht des Contractors an den nach diesem Vertrag verarbeiteten Daten gemäß § 273 BGB ist ausgeschlossen.

13.2 Sollten die Daten des Clients beim Contractor durch Pfändung oder Beschlagnahme, ein Insolvenz- oder Vergleichsverfahren oder sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Contractor den Client unverzüglich. Der Contractor wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass allein der Client als Verantwortlicher im Sinne der DSGVO die Hoheit und das Eigentum an diesen Daten innehat.

13.3 Die folgenden Anlagen sind wesentlicher Bestandteil dieses AVV:

Anlage 1 – Leistungsbeschreibungen himala und Oxolo

Beschreibung der Leistung

himala ist ein fortschrittlicher digitaler KI-Assistent, der Nutzer dabei unterstützt, persönliche und berufliche Aufgaben effizient zu organisieren, zu priorisieren und zu automatisieren. Als Plattform für intelligente Unterstützung integriert himala Daten aus verschiedenen Quellen wie Kalendern, E-Mails, Dokumentenmanagementsystemen und Kommunikationsplattformen, um relevante Informationen nahtlos zusammenzuführen.

Abhängig von der Konfiguration des Clients, den von den Nutzern des Clients erteilten Berechtigungen, den aktivierten Funktionen und den angebundenen Drittservices kann himala insbesondere Informationen aus Kalender- und E-Mail-Systemen (z. B. Google Workspace und Microsoft 365), Kommunikationstools (z. B. Slack und Teams), Meeting-Tools (z. B. Zoom), Wissens-/Dokumententools (z. B. Notion und Dropbox) sowie Messaging-Integrationen (z. B. WhatsApp) integrieren, abrufen, analysieren und darstellen, um KI-gestützte Produktivitätsfunktionen bereitzustellen.

Soweit vertraglich vereinbart, ist Oxolo eine Mobile-first-Softwarelösung für digitale Baustellendokumentation. Abhängig von der Konfiguration des Clients, den von den Nutzern des Clients erteilten Berechtigungen, den aktivierten Funktionen und den Projekt-Workflows kann Oxolo Informationen im Zusammenhang mit Baustellen- und Projektdokumentations-Workflows erfassen, aufnehmen, hochladen, strukturieren, analysieren, übersetzen, teilen und darstellen.

Insbesondere können die Services – soweit aktiviert und abhängig vom verwendeten Produkt – die folgenden Funktionen bereitstellen:

Für himala:

• KI-gestützte Meeting-Vorbereitung, einschließlich Kontextaggregation aus verbundenen Datenquellen sowie Generierung von vorgeschlagenen Agenden, Fragen, Zusammenfassungen und Follow-up-Punkten;

• Automatisierte Generierung von E-Mail-Entwürfen (einschließlich stiladaptierter Entwürfe), wobei Entwürfe – soweit unterstützt – im Entwurfsordner des Nutzers gespeichert werden;

• Eine Meeting-Notetaker-Funktion, die Meetings beitreten und Transkripte, Notizen, Zusammenfassungen und Action Items erstellen kann;

• Kontaktanreicherung und Relationship Insights auf Basis verbundener Datenquellen und – soweit einschlägig – öffentlich zugänglicher Informationen zur Erstellung von Kontaktprofilen und Interaktionshistorien;

• Scheduling-Links und Buchungsfunktionalität (ähnlich Calendly), einschließlich automatisierter Verarbeitung von Buchungsangaben;

• Extraktion und Aggregation von Aufgaben und Action Items aus E-Mails, verbundenen Tools und Meeting-Outputs sowie Darstellung von Task-Status-Signalen; und

• Plattformübergreifende Verfügbarkeit (z. B. Webanwendung, Desktop-Anwendungen, Browser-Erweiterungen), soweit unterstützt.

himala arbeitet proaktiv und identifiziert automatisch Aufgaben, Prioritäten und Optimierungsmöglichkeiten, ohne dass der Nutzer ständig eingreifen muss. Abhängig von den erteilten Berechtigungen und den aktivierten Funktionen kann himala Entwürfe vorschlagen und (vorbehaltlich einer Bestätigung des Nutzers in der Benutzeroberfläche, sofern nicht eine ausdrückliche Automatisierungsfunktion aktiviert ist) erstellen sowie Kalendereinträge und Planungselemente vorschlagen oder anlegen/ändern.

Für Oxolo:

• Audioaufzeichnung von Gesprächen vor Ort und Erfassung zugehöriger Metadaten, einschließlich Zeitstempeln, Gerätekontext und – soweit aktiviert – Standort-/GPS-Informationen;

• Automatisierte Transkription, einschließlich Sprecherzuordnung und optionaler sprachprofilgestützter Sprecheridentifikation;

• KI-gestützte Analyse von Transkripten und Projektdaten, einschließlich Zusammenfassungen, Labels, Aufgaben, Nachträgen, Verzögerungen und zugehörigen Projektsignalen;

• Erstellung von Berichten und Projektdokumentation, einschließlich PDF-, XLSX- und DOCX-Ausgaben sowie – soweit einschlägig – eingebetteten Nachweisdateien;

• Erfassung und Speicherung von Nachweisen, einschließlich Fotos, Videos, Unterschriften und zugehöriger Metadaten;

• Teamkollaboration, rollenbasierter Projektzugriff, Einladungen und Aktivitätsprotokollierung;

• Teilungs- und externe Zugriffs-Workflows für ausgewählte Aufnahmen, Berichte oder sonstige Projekt-Outputs über tokenisierte Links oder E-Mail-Benachrichtigungen; und

• Übersetzung und mehrsprachige Darstellung von Projektinhalten.

Oxolo soll die Baustellendokumentations-Workflows des Clients unterstützen und vom Client bereitgestellte Informationen für Projektverfolgung, Reporting, Zusammenarbeit und Nachverfolgung strukturieren. Die dem Client tatsächlich zur Verfügung stehenden Funktionen hängen vom gebuchten Tarif, den aktivierten Funktionen, den Nutzerberechtigungen sowie der eigenen Konfiguration und den Weisungen des Clients ab.

Die Services zielen darauf ab, ein personalisiertes, effizientes und sicheres Nutzererlebnis bereitzustellen, das durch strenge Sicherheits- und Datenschutzstandards abgesichert ist. Ziel ist es, Kunden dabei zu helfen, wiederkehrende und zeitintensive Aufgaben zu automatisieren und arbeitsrelevante Informationen in eine nutzbare Form zu bringen.

Zweck der Verarbeitung

Personenbezogene Daten werden ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Services verarbeitet. Abhängig vom verwendeten Produkt umfasst dies insbesondere die folgenden Zwecke:

Für himala:

• Integration und Verknüpfung von Datenquellen des Clients zur Optimierung von Aufgabenmanagement und Automatisierung;

• Bereitstellung personalisierter Empfehlungen auf Basis der bereitgestellten und synchronisierten Datenquellen;

• Automatisierung routinemäßiger Aufgaben wie Terminmanagement, Dokumentenmanagement und Kommunikation; und

• Proaktive Unterstützung durch Analyse und Priorisierung von Daten.

Für Oxolo:

• Aufzeichnung, Transkription und Strukturierung von Baustellengesprächen und Projektereignissen;

• Erstellung, Speicherung, Übersetzung und Weitergabe von Projektdokumentation und Berichten;

• Extraktion, Organisation und Darstellung von Aufgaben, Verzögerungen, Nachträgen, Action Items und zugehörigen Projekt-Insights;

• Verwaltung von Projektkollaboration, Berechtigungen, Einladungen, geteiltem Zugriff und Audit Trails;

• Verwaltung von Kundenkonten, Abonnements, Support und Servicebetrieb, soweit diese im Auftrag des Clients verarbeitet werden; und

• Optionale Sprecheridentifikation durch sprachprofilbezogene Verarbeitung, soweit vom Client aktiviert und rechtmäßig genutzt.

Zu diesen Zwecken dürfen personenbezogene Daten auf Weisung des Clients durch den Contractor erhoben, kategorisiert, umgewandelt, abgefragt, organisiert, sortiert, aufgezeichnet, hochgeladen, gespeichert, übersetzt, analysiert (z. B. Mustererkennung), zusammengefasst, an den Client und autorisierte Unterauftragsverarbeiter für die jeweilige Funktionalität übermittelt, aktualisiert, verarbeitet und gelöscht oder vernichtet werden.

Anlage 2 – Unterauftragsverarbeiter

Anlage 3 – Technische und organisatorische Maßnahmen

1. Zutrittskontrolle (physischer Zugang)

• Zugangsrechte: Der physische Zugang wird durch Videoüberwachung, Alarm- und Zutrittskontrollsysteme geregelt.

• Zugangsbeschränkungen: Serverräume und Hosting-Umgebungen sind gegen unbefugten Zugang geschützt, insbesondere außerhalb der Geschäftszeiten. Der Contractor nutzt die in Anlage 2 genannten Hosting- und Infrastrukturprovider; die physischen Zutrittskontrollen werden von den jeweiligen Infrastrukturprovidern umgesetzt und durch organisatorische Maßnahmen des Contractors ergänzt.

• Überwachung externer Personen: Besucher werden begleitet und in Besucherlisten dokumentiert.

2. Zugangskontrolle (logischer Zugriff)

• Authentifizierung: Zugriffe basieren auf individuellen Benutzerkonten. Multi-Faktor-Authentifizierung (MFA/2FA) ist für administrative Zugriffe und für Systeme vorgeschrieben, soweit dies technisch unterstützt wird.

• Zugriffsrechte folgen dem Need-to-know-Prinzip und werden in regelmäßigen Abständen überprüft.

• Rollen und Berechtigungen: Berechtigungen werden von Systemverantwortlichen und C-Level-Führungskräften vergeben.

3. Speicherkontrolle

• Verschlüsselung: Daten auf mobilen IT-Systemen werden vollständig verschlüsselt.

• Passwortschutz: Alle Nutzer verwenden komplexe Passwörter, die regelmäßig geändert werden.

• Bildschirmsperre: Passwortgeschützter Bildschirmschoner bei Arbeitsunterbrechungen.

4. Übertragungskontrolle

• Sichere Übertragungswege: Daten werden über verschlüsselte Verbindungen übertragen (z. B. HTTPS, VPN).

• Keine physischen Datenträger: Es werden keine physischen Datenträger verwendet.

5. Wiederherstellung

• Zugriffsrechte folgen dem Need-to-know-Prinzip und werden in regelmäßigen Abständen überprüft.

• Notfallpläne: Maßnahmen des Notfall- und Krisenmanagements bestehen und werden periodisch überprüft und aktualisiert.

6. Trennungsgebot

• Datentrennung: Kundendaten werden durch Zugriffsbeschränkungen und getrennte Datenbanken voneinander getrennt.

• Test- und Produktivdaten: Diese werden voneinander getrennt verarbeitet.

7. Kommunikationskontrolle

• Vertraulichkeitsvereinbarungen: Externe Dienstleister sind vertraglich zur Einhaltung des Datenschutzes verpflichtet.

• Fernzugriff: Wartungsarbeiten werden nur nach Freigabe durchgeführt und dokumentiert.

8. Integritäts- und Verfügbarkeitskontrolle

• Schutzmaßnahmen: Malware-Schutz und regelmäßige Sicherheitsupdates für alle Systeme.

• Brandschutz: Serverräume sind mit Brandschutztüren und Löschanlagen ausgestattet.

9. Einsatz externer Dienstleister

• Datenverarbeitung: Mit allen Unterauftragsverarbeitern, einschließlich AWS, bestehen schriftliche Verträge zur Auftragsverarbeitung (DPA).