Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Consilum, betrieben durch die MOMI Beteiligungs- und Beratungs GmbH, Gustav-Kirchhoff-Straße 13, 67098 Bad Dürkheim (im Folgenden „Auftragsverarbeiter“), im Auftrag des jeweiligen Kunden (im Folgenden „Auftraggeber“ oder „Verantwortlicher“).

Die Verarbeitung erfolgt für die Dauer des zugrundeliegenden Hauptvertrags. Mit Vertragsende endet auch dieser AVV, soweit nachstehend nichts Abweichendes geregelt ist.

Consilum verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Security Intelligence Services. Dies umfasst insbesondere:

• OSINT-Analyse: Automatisierte Erhebung und Auswertung öffentlich zugänglicher Informationen zu Domains, IP-Infrastrukturen, Mitarbeitern und digitalen Angriffsflächen des Auftraggebers.

• Report-Erstellung: Strukturierte Aufbereitung der Analyseergebnisse zu Sicherheitsberichten, Risikobewertungen und Handlungsempfehlungen.

• E-Mail-Versand: Zustellung fertiggestellter Reports und sicherheitsrelevanter Benachrichtigungen an autorisierte Kontaktpersonen des Auftraggebers.

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

Im Rahmen der Leistungserbringung können folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontaktdaten: Namen, E-Mail-Adressen, Telefonnummern, Berufsbezeichnungen von Mitarbeitern und Ansprechpartnern des Auftraggebers.

• Technische Identifikatoren: Domains, Subdomains, IP-Adressen und zugehörige Metadaten, die dem Auftraggeber oder seinen Mitarbeitern zuordenbar sind.

• Scan-Ergebnisse: Informationen aus der automatisierten Analyse öffentlich zugänglicher Systeme und Dienste (z. B. offene Ports, SSL-Zertifikate, E-Mail-Sicherheitskonfigurationen, geleakte Zugangsdaten in öffentlichen Datenbanken).

• Kommunikationsdaten: E-Mail-Adressen und Versandmetadaten für die Report-Zustellung.

Von der Verarbeitung können folgende Personengruppen betroffen sein:

• Mitarbeiter und Beschäftigte des Auftraggebers, insbesondere solche, deren Kontaktdaten oder digitale Spuren im Rahmen der OSINT-Analyse identifiziert werden.

• Autorisierte Kontaktpersonen und Ansprechpartner des Auftraggebers für die Beauftragung, Kommunikation und Entgegennahme der Reports.

• Personen, deren Daten in öffentlich zugänglichen Quellen (z. B. LinkedIn, WHOIS, Leak-Datenbanken, öffentliche Stellenausschreibungen) mit dem Auftraggeber in Verbindung stehen.

Consilum verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers hin zu verarbeiten.

Alle mit der Verarbeitung befassten Personen wurden zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.

Consilum ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherung der Daten (siehe Abschnitt 7).

Consilum unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) und bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, soweit dies im Rahmen der beauftragten Leistungen möglich ist.

Consilum informiert den Auftraggeber unverzüglich, sofern eine Weisung nach Auffassung von Consilum gegen datenschutzrechtliche Vorschriften verstößt.

Consilum unterstützt den Auftraggeber bei der Benachrichtigung von Datenschutzbehörden und Betroffenen im Falle einer Datenpanne (Art. 33, 34 DSGVO).

Consilum setzt folgende Unterauftragsverarbeiter ein, denen gegenüber vertraglich gleichwertige Datenschutzpflichten auferlegt wurden:

• Convex Inc., San Francisco, CA, USA — Betrieb der Datenbankinfrastruktur und des Backend-Systems (Datenbankdienste, API-Verarbeitung). Grundlage für internationale Übermittlungen: EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO; Convex Inc. ist zudem nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.

• Resend Inc., San Francisco, CA, USA — Transaktionaler E-Mail-Versand (Report-Zustellung, Benachrichtigungen). Grundlage für internationale Übermittlungen: EU-Standardvertragsklauseln (SCC); Resend Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.

• Vercel Inc., San Francisco, CA, USA — Hosting und Content-Delivery der Webanwendung. Grundlage für internationale Übermittlungen: EU-Standardvertragsklauseln (SCC); Vercel Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.

Änderungen der eingesetzten Unterauftragsverarbeiter werden dem Auftraggeber mindestens 14 Tage vor Inkrafttreten in Textform mitgeteilt. Der Auftraggeber kann Änderungen innerhalb von 14 Tagen nach Mitteilung schriftlich widersprechen, wenn er dafür einen wichtigen Grund darlegt.

Consilum hat folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert:

Vertraulichkeit: Zugriffskontrolle durch rollenbasierte Berechtigungen und starke Authentifizierung (MFA); Verschlüsselung personenbezogener Daten in der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256); Trennung von Produktions- und Entwicklungsumgebungen.

Integrität: Protokollierung von Datenzugriffen und -verarbeitungen (Audit-Logs); Maßnahmen zur Erkennung und Verhinderung unbefugter Datenveränderung.

Verfügbarkeit: Regelmäßige Datensicherungen; Notfallpläne und Wiederherstellungsprozesse; redundante Infrastruktur über die eingesetzten Cloud-Dienstleister.

Belastbarkeit: Monitoring der Systeme auf Anomalien; regelmäßige Überprüfung der Sicherheitsmaßnahmen.

Verhältnismäßigkeit: Prinzip der Datensparsamkeit — es werden nur die für die Leistungserbringung erforderlichen Daten verarbeitet.

Nach Beendigung des Hauptvertrags löscht Consilum alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format zur Verfügung gestellt.

Daten, die Consilum aufgrund gesetzlicher Pflichten aufbewahren muss, werden bis zum Ablauf der jeweiligen Aufbewahrungsfrist gesperrt und danach gelöscht.

Die erfolgte Löschung wird dem Auftraggeber auf Anfrage schriftlich bestätigt.

Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieses AVV durch Consilum zu überprüfen.

Kontrollen können durch Anforderung geeigneter Nachweise (z. B. Zertifizierungen, Auditberichte, Datenschutz-Dokumentationen) oder durch eigene Audits durchgeführt werden.

Eigene Audits sind mindestens 14 Tage im Voraus in Textform anzukündigen, auf das erforderliche Maß zu beschränken und während der üblichen Geschäftszeiten durchzuführen.

Kosten für Audits trägt der Auftraggeber, soweit nicht Consilum einen Anlass für das Audit gegeben hat.

Die Haftung der Parteien für Verletzungen dieses AVV richtet sich nach den Regelungen der DSGVO sowie den Haftungsbestimmungen des zugrundeliegenden Hauptvertrags.

Jede Partei haftet gegenüber der anderen für Schäden, die durch eine Verletzung der ihr nach diesem AVV obliegenden Pflichten entstehen, nach Maßgabe der gesetzlichen Vorschriften.

Im Verhältnis zu betroffenen Personen gelten die Regelungen von Art. 82 DSGVO über die gesamtschuldnerische Haftung von Verantwortlichem und Auftragsverarbeiter.

Für Fragen zu diesem AVV steht Consilum unter hello@consilum.de zur Verfügung.