1. Gegenstand, Dauer sowie Art und Zweck der Verarbeitung
SimpleAct verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden, um die vertraglich vereinbarte SaaS-Plattform für AI-Governance, Dokumentation, Governance-Workflows, Audit-Playbooks, Incident Management und Runtime-Monitoring bereitzustellen. Die Verarbeitung beginnt mit Einrichtung des Kundenkontos bzw. der produktiven Nutzung und endet mit Beendigung des Hauptvertrags sowie Abschluss vereinbarter Rückgabe- und Löschprozesse.
- Gegenstand: Bereitstellung, Betrieb, Support und Absicherung der SimpleAct SaaS-Plattform.
- Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Strukturieren, Auslesen, Übermitteln, Abgleichen, Einschränken und Löschen personenbezogener Daten im Rahmen der Plattformnutzung.
- Zweck: Vertragsdurchführung, Mandantenbetrieb, Benutzerverwaltung, Nachweisführung, Support, Sicherheit, Logging und Abrechnung.
- Dauer: Für die Laufzeit des Hauptvertrags; danach nach Weisung des Kunden, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
2. Kategorien betroffener Personen und personenbezogener Daten
Der konkrete Umfang der Daten bestimmt sich durch die Nutzung der Plattform durch den Kunden. Typischerweise betrifft die Verarbeitung folgende Kategorien:
- Betroffene Personen: Nutzer des Kunden, Ansprechpartner, Beschäftigte, Lieferantenkontakte, Bewerber oder sonstige Personen, die in Governance-, Compliance- oder Dokumentationsprozessen erfasst werden.
- Stammdaten: Name, geschäftliche E-Mail-Adresse, Rolle, Organisation, Zuständigkeiten.
- Account- und Authentifizierungsdaten: Login-Metadaten, Sitzungsdaten, 2FA-Status, Magic-Link- oder Token-Metadaten.
- Inhaltsdaten: Angaben zu KI-Systemen, Governance-Nachweisen, Maßnahmen, Reviews, Tickets, Dokumentations- und Auditinhalten, soweit durch den Kunden eingestellt.
- Technische Metadaten: IP-Adresse, Request-Metadaten, Audit-Logs, System-Logs, Sicherheits- und Betriebsereignisse.
- Abrechnungs- und Vertragsdaten: Plan, Rechnungsanschrift, Ansprechpartner, Zahlungsstatus und abrechnungsbezogene Metadaten.
3. Weisungsrecht des Kunden
SimpleAct verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.
- Weisungen erfolgen in Textform, insbesondere per Vertragsdokument, E-Mail an die benannten Ansprechpartner, Support-Ticket oder dokumentierte Freigabe im laufenden Betriebsprozess.
- Weisungsberechtigt sind die vom Kunden benannten Admin- oder Vertragsansprechpartner.
- Hält SimpleAct eine Weisung für datenschutzrechtlich unzulässig, informiert SimpleAct den Kunden unverzüglich, bevor die Weisung ausgeführt wird.
4. Technische und organisatorische Maßnahmen (TOMs)
SimpleAct setzt technische und organisatorische Maßnahmen gem. Art. 25, 32 DSGVO ein, die sich am Risiko der Verarbeitung orientieren:
- Zutrittskontrolle: Serverinfrastruktur ausschließlich in Rechenzentren von Hetzner Online GmbH (ISO-27001-zertifiziert, Deutschland); kein direkter physischer Zugang durch SimpleAct-Mitarbeitende.
- Zugangskontrolle: Zwei-Faktor-Authentifizierung (2FA) für alle Admin- und Produktionszugänge, SSH-Key-Verfahren für Serveradministration, starke Passwortrichtlinien.
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), Mandantentrennung auf Datenbankebene (Row Level Security), Least-Privilege-Prinzip für alle System- und Supportzugänge.
- Weitergabekontrolle: TLS 1.2+-Verschlüsselung für alle Datenübertragungen (intern und extern); HTTPS für alle Endpunkte, verschlüsselte Datenbankverbindungen.
- Eingabe- und Protokollierungskontrolle: Audit-Logs für sicherheits- und governance-relevante Ereignisse; Nachvollziehbarkeit von Datenzugriffen, Änderungen und Administrationsaktionen.
- Verfügbarkeits- und Integritätskontrolle: Automatisierte Datenbankbackups (Supabase Point-in-Time Recovery), dokumentierte Wiederherstellungsverfahren, Mandantentrennung auf Applikations- und Datenbankebene.
5. Liste der Subprozessoren, Verarbeitungsort und Drittstaaten
SimpleAct setzt folgende Subprozessoren ein. Alle Subprozessoren sind gem. Art. 28 DSGVO vertraglich eingebunden:
- Hetzner Online GmbH, Gunzenhausen, Deutschland – Hosting und Serverbetrieb; Verarbeitungsort: Deutschland (EU); kein Drittlandtransfer.
- Supabase Inc., San Francisco, USA – Datenbankbetrieb und Authentifizierung; Verarbeitungsort: EU-Region Frankfurt (AWS eu-central-1); Schutzgrundlage: Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO.
- Stripe Payments Europe, Ltd., Dublin, Irland – Zahlungsabwicklung und Rechnungsstellung; Verarbeitungsort: EU; kein gesonderter Drittlandtransfer erforderlich.
- Änderungen im Subprozessoren-Einsatz werden Kunden vorab mitgeteilt; ein Widerspruchsrecht aus datenschutzrechtlichem Grund bleibt gewährleistet.
6. Unterstützung bei Betroffenenrechten und Compliance-Pflichten
SimpleAct unterstützt den Kunden nach Maßgabe des Art. 28 DSGVO bei der Erfüllung seiner datenschutzrechtlichen Pflichten, soweit dies angesichts der Art der Verarbeitung möglich und angemessen ist.
- Unterstützung bei Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungsersuchen.
- Unterstützung bei Datenportabilität und der Bereitstellung relevanter Datenexporte.
- Unterstützung bei der Beantwortung von Anfragen von Aufsichtsbehörden, soweit die Verarbeitung bei SimpleAct betroffen ist.
- Unterstützung bei Sicherheitsbewertungen, Datenschutz-Folgenabschätzungen und erforderlichen Konsultationen, soweit die Auftragsverarbeitung betroffen ist.
- Bereitstellung vorhandener Informationen zu TOMs, Subprozessoren und Betriebsprozessen, soweit diese für die Pflichterfüllung des Kunden erforderlich sind.
7. Meldung von Datenschutzvorfällen
SimpleAct informiert den Kunden unverzüglich über bestätigte Verletzungen des Schutzes personenbezogener Daten, soweit Daten des Kunden betroffen sind.
- Die Information erfolgt ohne unangemessene Verzögerung nach bestätigter Kenntnis des Vorfalls.
- Die Meldung enthält, soweit verfügbar, Art des Vorfalls, betroffene Systeme oder Datenkategorien, bekannte Auswirkungen sowie bereits eingeleitete Gegenmaßnahmen.
- SimpleAct unterstützt den Kunden bei der Aufklärung, Eindämmung und Dokumentation des Vorfalls, soweit dies die bei SimpleAct verarbeiteten Daten betrifft.
- Eigene Meldungen an Behörden oder Betroffene obliegen grundsätzlich dem Kunden als Verantwortlichem, soweit gesetzlich nichts anderes vorgegeben ist.
8. Kontroll- und Auditrechte
SimpleAct ermöglicht dem Kunden, die Einhaltung der Pflichten aus dieser AVV in angemessenem Umfang zu überprüfen.
- Bereitstellung geeigneter Nachweise, etwa Whitepaper, TOM-Beschreibungen, Audit-Informationen, Sicherheitsdokumente oder Fragebogenantworten.
- Remote-Audits und Dokumentenprüfungen haben Vorrang vor Vor-Ort-Prüfungen, soweit sie zur Verifikation ausreichen.
- Vor-Ort-Audits sind nach angemessener Vorankündigung, unter Wahrung von Vertraulichkeit und Betriebsabläufen sowie ohne Beeinträchtigung anderer Kunden möglich.
- Der Kunde trägt die Kosten gesonderter Audits, soweit nicht ein vom Anbieter zu vertretender erheblicher Verstoß nachgewiesen wird.
9. Rückgabe, Löschung und Vertraulichkeit nach Vertragsende
Nach Beendigung des Hauptvertrags löscht oder gibt SimpleAct personenbezogene Daten des Kunden nach dessen Weisung zurück, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.
- Kundeninhalte und Nachweise können vor Vertragsende exportiert werden, soweit entsprechende Produktfunktionen oder Supportprozesse vorgesehen sind.
- Gesetzlich aufzubewahrende abrechnungs- oder handelsrechtliche Unterlagen bleiben von einer sofortigen Löschung ausgenommen.
- Mitarbeitende und beauftragte Personen von SimpleAct sind auf Vertraulichkeit verpflichtet.
- Im Übrigen gelten die Haftungs- und Vertragsregelungen des Hauptvertrags; diese AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien.
