Auftragsverarbeitungsvertrag

1. Definitionen

Zusätzlich zu den in der Vereinbarung definierten Begriffen gelten folgende Definitionen:

• "Anwendbares Datenschutzrecht" bezeichnet (i) die Verordnung (EU) 2016/679 (DSGVO), (ii) den UK Data Protection Act 2018 und das UK GDPR, (iii) das schweizerische Bundesgesetz über den Datenschutz sowie (iv) jedes weitere Datenschutz- oder Datensicherheitsgesetz, das auf die im Rahmen der Vereinbarung durchgeführte Verarbeitung anwendbar ist, jeweils in der jeweils geltenden Fassung.

• "Verantwortlicher", "Auftragsverarbeiter", "Unterauftragsverarbeiter", "Verarbeitung", "personenbezogene Daten", "betroffene Person", "besondere Kategorien personenbezogener Daten" und "Aufsichtsbehörde" haben die im Anwendbaren Datenschutzrecht festgelegte Bedeutung.

• "EU SCCs" bezeichnet die mit dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 angenommenen Standardvertragsklauseln, Modul Zwei (Verantwortlicher an Auftragsverarbeiter), in der jeweils gültigen Fassung.

• "UK Addendum" bezeichnet das International Data Transfer Addendum zu den EU SCCs der Europäischen Kommission, das vom UK Information Commissioner's Office (Version B.1.0) gemäß Abschnitt 119A des UK Data Protection Act 2018 erlassen wurde.

• "Verletzung des Schutzes personenbezogener Daten" hat die in Artikel 4 Nr. 12 DSGVO festgelegte Bedeutung.

• "Personenbezogene Daten des Kunden" bezeichnet personenbezogene Daten, die Tailride im Auftrag des Verantwortlichen im Rahmen der Vereinbarung verarbeitet, wie in Anhang 1 näher beschrieben.

2. Anwendungsbereich und Rollen

2.1 Rollen. In Bezug auf die personenbezogenen Daten des Kunden ist der Verantwortliche der "Verantwortliche" und Tailride der "Auftragsverarbeiter" im Sinne des Anwendbaren Datenschutzrechts. Für Daten, die Tailride eigenständig erhebt (z. B. die in unserer Datenschutzerklärung beschriebenen Konto- und Abrechnungsdaten), handelt Tailride als unabhängiger Verantwortlicher, und diese Verarbeitung unterliegt der Datenschutzerklärung, nicht diesem AVV.

2.2 Anwendungsbereich. Dieser AVV gilt für jede Verarbeitung personenbezogener Daten des Kunden, die von Tailride und seinen Unterauftragsverarbeitern im Rahmen der Vereinbarung durchgeführt wird.

2.3 Einhaltung. Jede Partei erfüllt ihre jeweiligen Pflichten nach dem Anwendbaren Datenschutzrecht. Der Verantwortliche ist für die Rechtmäßigkeit der Daten verantwortlich, die er an Tailride übermittelt, sowie dafür, über eine gültige Rechtsgrundlage zu verfügen, Tailride mit deren Verarbeitung zu beauftragen.

2.4 Keine besonderen Kategorien ohne vorherige Vereinbarung. Tailride erwartet nicht, besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder Daten zu strafrechtlichen Verurteilungen und Straftaten (Artikel 10 DSGVO) zu erhalten. Der Verantwortliche verpflichtet sich, solche Daten nicht hochzuladen, sofern dies nicht ausdrücklich vorher schriftlich vereinbart wurde.

3. Verarbeitungsanweisungen an Tailride

3.1 Dokumentierte Weisungen. Tailride verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich jeglicher vom Verantwortlichen vorgenommener Konfiguration des Dienstes. Die Vereinbarung (dieser AVV, die Datenschutzerklärung, die Bestellung/der Checkout und die Nutzung des Dienstes durch den Verantwortlichen) stellt die vollständigen und abschließenden Weisungen des Verantwortlichen an Tailride dar.

3.2 Zusätzliche Weisungen. Weisungen, die über den Leistungsumfang des Dienstes hinausgehen, können nach Aufwand abgerechnet werden, vorbehaltlich der vorherigen Zustimmung von Tailride.

3.3 Gesetzliche Pflichten. Sofern ein Recht der Europäischen Union oder eines Mitgliedstaats (oder ein sonstiges anwendbares Recht) von Tailride verlangt, personenbezogene Daten des Kunden abweichend von den Weisungen zu verarbeiten, wird Tailride den Verantwortlichen vor der entsprechenden Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, das betreffende Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.

3.4 Unzulässige Weisungen. Ist Tailride der Auffassung, dass eine Weisung gegen das Anwendbare Datenschutzrecht verstößt, wird Tailride den Verantwortlichen unverzüglich darüber informieren und kann die betreffende Verarbeitung aussetzen, bis der Verantwortliche seine Weisung ändert.

4. Vertraulichkeit

Tailride stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten des Kunden befugt sind, angemessenen Vertraulichkeitsverpflichtungen (vertraglich oder gesetzlich) unterliegen und eine geeignete Datenschutzschulung erhalten. Der Zugriff auf personenbezogene Daten des Kunden ist auf Personen beschränkt, die einen solchen Zugriff für die Zwecke der Vereinbarung benötigen.

5. Sicherheitsmaßnahmen

5.1 Technische und organisatorische Maßnahmen. Tailride implementiert und unterhält die in Anhang 2 dargelegten technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten.

5.2 Unterstützung bei Sicherheitspflichten. Unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen unterstützt Tailride den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit nach vernünftigem Ermessen möglich, bei der Erfüllung seiner Pflichten nach Artikel 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation).

5.3 Aktualisierungen. Tailride kann seine TOM von Zeit zu Zeit aktualisieren, sofern eine solche Aktualisierung das Gesamtschutzniveau der personenbezogenen Daten des Kunden nicht wesentlich verringert.

6. Unterauftragsverarbeiter

6.1 Allgemeine Genehmigung. Der Verantwortliche erteilt Tailride eine allgemeine Genehmigung, Unterauftragsverarbeiter zur Verarbeitung der personenbezogenen Daten des Kunden für die in diesem AVV genannten Zwecke einzusetzen. Die aktuelle Liste der Unterauftragsverarbeiter ist in Anhang 3 dieses AVV aufgeführt.

6.2 Mitteilung über die AVV-Seite. Tailride hält Anhang 3 dieses AVV aktuell und veröffentlicht jede Ergänzung oder Ersetzung eines Unterauftragsverarbeiters auf dieser Seite. Mit der Annahme dieses AVV erklärt sich der Verantwortliche damit einverstanden, dass die Veröffentlichung eines aktualisierten Anhangs 3 unter https://tailride.so/dpa als Mitteilung von Änderungen im Sinne von Artikel 28 Absatz 2 DSGVO gilt. Verantwortliche, die E-Mail-Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern erhalten möchten, können sich dafür anmelden, indem sie eine E-Mail an mike@tailride.so senden.

6.3 Widerspruchsrecht. Der Verantwortliche kann einem neuen Unterauftragsverarbeiter aus berechtigten Datenschutzgründen innerhalb von dreißig (30) Tagen nach Veröffentlichung der Änderung auf dieser Seite schriftlich widersprechen. Die Parteien werden den Widerspruch in gutem Glauben erörtern. Können sich die Parteien nicht einigen, darf der Verantwortliche den betroffenen Teil des Dienstes zum Ende des dann laufenden Abrechnungszeitraums kündigen; Tailride ist nicht verpflichtet, bereits für diesen Abrechnungszeitraum fällige Entgelte zu erstatten.

6.4 Weitergabe der Pflichten. Tailride verpflichtet jeden Unterauftragsverarbeiter zu Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV (entweder durch eine gesondert unterzeichnete Vereinbarung oder durch Annahme des veröffentlichten Auftragsverarbeitungsvertrags des Unterauftragsverarbeiters), und bleibt gegenüber dem Verantwortlichen für die Einhaltung dieses AVV durch jeden Unterauftragsverarbeiter so verantwortlich, als wären dessen Handlungen oder Unterlassungen die eigenen von Tailride.

7. Internationale Datenübermittlungen

7.1 Verarbeitung im EWR. Tailride verarbeitet personenbezogene Daten des Kunden vorrangig innerhalb des Europäischen Wirtschaftsraums (EWR), unter anderem in Deutschland (Frankfurt), Schweden (Stockholm) und Irland (Dublin).

7.2 Übermittlungen außerhalb des EWR / des Vereinigten Königreichs / der Schweiz. Soweit Tailride oder ein Unterauftragsverarbeiter personenbezogene Daten des Kunden in ein Drittland außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermittelt, das nicht von einem Angemessenheitsbeschluss erfasst ist, stellt Tailride sicher, dass ein geeigneter Übermittlungsmechanismus Anwendung findet, der Folgendes umfassen kann: (a) die EU SCCs (Modul Zwei), die durch Verweis in diesen AVV sowie in unsere Verträge mit Unterauftragsverarbeitern einbezogen sind; (b) für Übermittlungen, die dem UK GDPR unterliegen, das UK Addendum zu den EU SCCs; (c) für Übermittlungen aus der Schweiz die EU SCCs in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) angepassten Fassung; und/oder (d) jeden anderen rechtmäßigen Übermittlungsmechanismus, einschließlich des EU-US Data Privacy Framework (sowie dessen UK- und Schweiz-Erweiterungen), sofern der Datenimporteur selbstzertifiziert ist.

7.3 Anhänge zu den SCCs. Der Datenexporteur ist der Verantwortliche; der Datenimporteur ist Tailride S.à r.l. Die für Anhang I.A (Liste der Parteien), Anhang I.B (Beschreibung der Übermittlung) und Anhang II (Technische und organisatorische Maßnahmen) der EU SCCs erforderlichen Informationen sind in Anhang 1 und Anhang 2 dieses AVV dargelegt. Anhang III (Liste der Unterauftragsverarbeiter) entspricht Anhang 3.

7.4 Übermittlungsfolgenabschätzung. Tailride hat die rechtlichen Rahmenbedingungen der Bestimmungsländer seiner Unterauftragsverarbeiter bewertet und wird dies weiterhin tun und hat gegebenenfalls ergänzende Maßnahmen (Verschlüsselung, Zugriffskontrollen, vertragliche Schutzvorkehrungen, Transparenz über behördliche Anfragen) implementiert.

8. Anträge betroffener Personen

8.1 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Tailride den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Beantwortung von Anträgen betroffener Personen zur Ausübung ihrer Rechte nach Kapitel III DSGVO (Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsrecht).

8.2 Direkte Anträge. Erhält Tailride einen Antrag unmittelbar von einer betroffenen Person betreffend personenbezogene Daten des Kunden, wird Tailride den Antrag nicht inhaltlich beantworten, sofern der Verantwortliche dies nicht ausdrücklich genehmigt hat, und stattdessen den Verantwortlichen ohne unangemessene Verzögerung über den Antrag informieren.

8.3 Self-Service. Viele Anträge betroffener Personen können vom Verantwortlichen direkt über das Tailride-Produkt bearbeitet werden (z. B. Löschung einzelner Datensätze, Datenexport oder vollständige Kontolöschung in den Einstellungen).

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

9.1 Meldung. Tailride wird den Verantwortlichen ohne unangemessene Verzögerung nach Kenntniserlangung, in jedem Fall jedoch innerhalb von zweiundsiebzig (72) Stunden, über eine bestätigte Verletzung des Schutzes personenbezogener Daten benachrichtigen, die personenbezogene Daten des Kunden betrifft.

9.2 Informationen. Die Meldung beschreibt, soweit nach vernünftigem Ermessen verfügbar, (a) die Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze; (b) die voraussichtlichen Folgen der Verletzung; und (c) die zur Bewältigung der Verletzung und zur Minderung ihrer möglichen nachteiligen Auswirkungen ergriffenen oder vorgeschlagenen Maßnahmen. Tailride wird weitere Informationen bereitstellen, sobald diese verfügbar werden.

9.3 Zusammenarbeit. Tailride wird im angemessenen Umfang mit dem Verantwortlichen zusammenarbeiten und ihn bei seiner Kommunikation mit Aufsichtsbehörden und betroffenen Personen angemessen unterstützen.

10. DSFA und vorherige Konsultationen

Unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen unterstützt Tailride den Verantwortlichen in angemessenem Umfang bei der Durchführung von Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO sowie bei einer vorherigen Konsultation einer Aufsichtsbehörde nach Artikel 36 DSGVO, soweit dies nach dem Anwendbaren Datenschutzrecht erforderlich ist. Tailride wird diese Pflicht in der Regel dadurch erfüllen, dass diesen AVV, die aktuelle Liste der Unterauftragsverarbeiter (Anhang 3), die technischen und organisatorischen Maßnahmen (Anhang 2) sowie die Standard-Sicherheitsdokumentation bereitgestellt werden. Über diesen Umfang hinausgehende, individuelle Unterstützung — z. B. das Ausfüllen eines verantwortlichenspezifischen DSFA-Fragebogens oder die Teilnahme an Konsultationen mit einer Aufsichtsbehörde — kann nach Aufwand und im Ermessen von Tailride erbracht werden.

11. Informationen und Audits

11.1 Informationen. Auf angemessenen schriftlichen Antrag stellt Tailride dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV und des Artikel 28 DSGVO nachzuweisen, einschließlich gegebenenfalls Zusammenfassungen unabhängiger Sicherheitszertifizierungen, Auditberichte, Penetrationstestergebnisse und Antworten auf Fragebögen, vorbehaltlich angemessener Vertraulichkeitsverpflichtungen.

11.2 Audits. Unbeschadet Ziffer 11.1 kann der Verantwortliche (oder ein von ihm beauftragter unabhängiger Auditor, vorbehaltlich der Vertraulichkeit und sofern der Auditor kein Wettbewerber von Tailride ist) Vor-Ort-Audits der Verarbeitungseinrichtungen von Tailride höchstens einmal pro Kalenderjahr durchführen (es sei denn, eine Aufsichtsbehörde verlangt es anderweitig), nach einer schriftlichen Vorankündigung von mindestens dreißig (30) Tagen, während der regulären Geschäftszeiten und ohne den Betrieb von Tailride unangemessen zu stören. Der Verantwortliche trägt seine eigenen Kosten für etwaige Audits; Tailride trägt die Kosten für eine angemessene Unterstützung von bis zu einem (1) Arbeitstag pro Kalenderjahr und Verantwortlichem und kann darüber hinaus nach Aufwand abrechnen.

11.3 Zusammenarbeit mit der Aufsichtsbehörde. Tailride wird mit jedem Audit oder jeder Untersuchung einer zuständigen Aufsichtsbehörde kooperieren.

12. Rückgabe oder Löschung personenbezogener Daten

12.1 Aufbewahrung bei aktivem Konto. Solange das Konto des Verantwortlichen aktiv ist — auch bei einem pausierten Abonnement, einem kostenlosen Tarif oder einem anderweitig ruhenden Zustand — bewahrt Tailride die personenbezogenen Daten des Kunden auf, damit der Verantwortliche weiterhin auf den Dienst zugreifen und ihn nutzen kann. Der Verantwortliche kann die Löschung jederzeit über Einstellungen → Konto löschen im Tailride-Produkt auslösen.

12.2 Rückgabe oder Löschung bei Schließung oder Beendigung. Bei Schließung des Kontos des Verantwortlichen oder bei Beendigung oder Ablauf der Vereinbarung (jeweils das "Beendigungsdatum") wird Tailride nach Wahl des Verantwortlichen die personenbezogenen Daten des Kunden, die im Auftrag des Verantwortlichen gehalten werden, innerhalb von neunzig (90) Tagen nach dem Beendigungsdatum zurückgeben oder löschen. Standardmäßig erfolgt die Löschung. Klarstellend gilt: Das Pausieren eines Abonnements, das Herabstufen eines Tarifs oder der Wechsel zu einem kostenlosen Tarif stellt kein Beendigungsdatum dar.

12.3 Self-Service-Export. Vor der Löschung kann der Verantwortliche seine Daten über die verfügbaren Produktfunktionen exportieren. Der Verantwortliche hat ab dem Beendigungsdatum mindestens dreißig (30) Tage Zeit, einen Self-Service-Export durchzuführen.

12.4 Backups und gesetzliche Aufbewahrung. Tailride kann personenbezogene Daten des Kunden (a) in verschlüsselten Backups, die isoliert von Produktivsystemen aufbewahrt und ausschließlich für Disaster-Recovery-Zwecke verwendet werden, für einen begrenzten Zeitraum aufbewahren, bis das Backup im Rahmen des üblichen rollierenden Backup-Aufbewahrungszyklus überschrieben wird (derzeit bis zu zwölf (12) Monate); und (b) soweit dies zur Einhaltung anwendbarer Gesetze erforderlich ist (z. B. Buchhaltungs-, Steuer- oder Betrugsbekämpfungspflichten). Stellt Tailride aus einem Backup Daten wieder her, die personenbezogene Daten des Kunden enthalten, die zuvor gemäß dieser Ziffer 12 gelöscht worden waren, wird Tailride die betreffende Löschung ohne unangemessene Verzögerung nach der Wiederherstellung erneut auf die wiederhergestellten Daten anwenden. Alle aufbewahrten Daten unterliegen weiterhin diesem AVV.

13. Haftung

Die Gesamthaftung jeder Partei aus oder im Zusammenhang mit diesem AVV unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüssen. Nichts in diesem AVV beschränkt Rechte oder Rechtsbehelfe, die betroffene Personen unmittelbar gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter nach dem Anwendbaren Datenschutzrecht geltend machen können.

14. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht des Großherzogtums Luxemburg, unbeschadet zwingender Verbraucherschutzvorschriften des Wohnsitzlandes des Verantwortlichen. Ausschließlich zuständig sind die Gerichte der Stadt Luxemburg, sofern das Anwendbare Datenschutzrecht nichts anderes bestimmt (insbesondere für Rechte betroffener Personen, für die auch die Gerichte am gewöhnlichen Aufenthaltsort der betroffenen Person zuständig sein können). Für Übermittlungen, die den EU SCCs oder dem UK Addendum unterliegen, gelten das in diesen Klauseln festgelegte anwendbare Recht und der Gerichtsstand vorrangig für alle in deren Anwendungsbereich fallenden Angelegenheiten.

15. Änderungen dieses AVV

Tailride kann diesen AVV von Zeit zu Zeit aktualisieren, um Änderungen des Anwendbaren Datenschutzrechts, Änderungen unserer Dienste oder Änderungen unserer Liste von Unterauftragsverarbeitern Rechnung zu tragen. Wesentliche Aktualisierungen werden auf dieser Seite mit einem neuen "Zuletzt aktualisiert"-Datum angekündigt; jede Änderung, die das Schutzniveau der personenbezogenen Daten des Kunden wesentlich verringert, wird für einen bestehenden Verantwortlichen frühestens dreißig (30) Tage nach Mitteilung wirksam (es sei denn, das Anwendbare Datenschutzrecht verlangt ein früheres Inkrafttreten).

Anhang 1 — Einzelheiten der Verarbeitung (Anhang I.B der EU SCCs)

Datenexporteur (Verantwortlicher). Der Kunde von Tailride, identifiziert durch die Kontodaten, die Abrechnungsinformationen und die bei Tailride eingereichte Bestellung/den Checkout. Rolle: Verantwortlicher.

Datenimporteur (Auftragsverarbeiter). Tailride S.à r.l., 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, VAT LU37209474. Datenschutzkontakt: mike@tailride.so. Rolle: Auftragsverarbeiter.

Gegenstand. Die Bereitstellung des Tailride-Dienstes wie in der Vereinbarung beschrieben: Erfassung, OCR, KI-gestützte strukturierte Extraktion, Organisation, Speicherung, Suche, Freigabe und Weiterleitung/Export von Rechnungen, Belegen und damit verbundenen Geschäftsdokumenten sowie damit verbundener Kundensupport.

Dauer. Die Laufzeit der Vereinbarung zuzüglich etwaiger Aufbewahrungsfristen, die für die Backup-Rotation oder gesetzliche Pflichten erforderlich sind (siehe Ziffer 12).

Art und Zweck der Verarbeitung. Hosting, OCR und KI-gestützte Extraktion, Indexierung, Suche, Deduplizierung, Freigabe, Export und Integration von Finanzdokumenten nach Weisung des Verantwortlichen; Bereitstellung des damit verbundenen Kundensupports und der Konto-/Abrechnungsabläufe.

Kategorien betroffener Personen.
• die autorisierten Nutzer des Verantwortlichen (Administratoren, Buchhalter, Teammitglieder);
• die Kunden, Lieferanten und Vertragspartner des Verantwortlichen, deren Namen auf Rechnungen, Belegen und damit verbundenen Dokumenten erscheinen;
• alle sonstigen natürlichen Personen, deren personenbezogene Daten in Dokumenten enthalten sind, die der Verantwortliche hochlädt oder anbindet.

Kategorien personenbezogener Daten.
• Identifikationsdaten: vollständiger Name, geschäftliche E-Mail-Adresse, Postanschrift, USt-IdNr./Steuernummern, Telefonnummern, soweit in Dokumenten vorhanden.
• Kontodaten: Name, E-Mail-Adresse, gehashte Authentifizierungsdaten, Sprachpräferenz, Rolle.
• Transaktionsdaten: Rechnungsnummern, Daten, Positionen, Beträge, Währungen, Zahlungsstatus.
• Verbindungsdaten: OAuth-Tokens für verbundene Postfächer, Cloud-Speicheranbieter und Buchhaltungssysteme (verschlüsselt im Ruhezustand gespeichert).
• Technische Daten: IP-Adresse, Browser-/Gerätekennungen, Zeitstempel, Anwendungsprotokolle.
• Inhaltsdaten: Text und Bilder, die in hochgeladenen oder abgerufenen Dokumenten enthalten sind.

Besondere Kategorien personenbezogener Daten. Nicht erwartet. Der Verantwortliche verpflichtet sich, besondere Kategorien personenbezogener Daten nicht hochzuladen, sofern dies nicht vorher schriftlich vereinbart wurde.

Häufigkeit der Übermittlung. Fortlaufend für die Dauer der Vereinbarung.

Zuständige Aufsichtsbehörde. Die Commission nationale pour la protection des données (CNPD), Luxemburg, für Übermittlungen, die den EU SCCs unterliegen und bei denen Tailride der Datenimporteur ist.

Anhang 2 — Technische und organisatorische Maßnahmen (Anhang II der EU SCCs)

Tailride setzt die folgenden technischen und organisatorischen Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen können von Zeit zu Zeit aktualisiert werden, sofern das Gesamtschutzniveau nicht verringert wird.

A. Organisatorische Maßnahmen
• Dokumentierte Informationssicherheitsrichtlinien zu akzeptabler Nutzung, Zugriffsmanagement, Vorfallreaktion, Änderungsmanagement und Lieferantenmanagement.
• Jährliche Überprüfung der Sicherheitsrichtlinien und -rollen.
• Mitarbeitende unterliegen schriftlichen Vertraulichkeitsverpflichtungen.
• Zugriff auf Produktionssysteme wird nach dem Need-to-know- und Least-Privilege-Prinzip gewährt und mindestens jährlich überprüft.
• Dokumentierter Plan zur Vorfallreaktion einschließlich Rollen, Kommunikationswegen und Post-Mortem-Anforderungen.

B. Zugriffskontrolle
• Single Sign-On für interne Systeme, soweit möglich.
• Mehr-Faktor-Authentifizierung erforderlich für Produktionszugriff und für privilegierte Entwicklerkonten.
• Personenbezogene Konten für Produktionszugriff; keine gemeinsam genutzten Zugangsdaten.
• Zeitlich begrenzte Zugriffstoken; Widerruf bei Rollenwechsel oder Austritt.

C. Verschlüsselung
• TLS 1.2 oder höher für Daten bei der Übertragung zwischen Client und Tailride sowie zwischen Tailride und seinen Unterauftragsverarbeitern.
• Verschlüsselung im Ruhezustand für die Produktionsdatenbank und den Objektspeicher (AES-256 oder gleichwertig).
• Verschlüsselung im Ruhezustand von OAuth-Tokens für verbundene Drittanbieter-Konten.

D. Netzwerk und Hosting
• Produktion gehostet bei Vercel (EU-Compute-Region: Frankfurt) und bei verwalteten Cloud-Diensten (AWS EU-Regionen, MongoDB Atlas EU-Region, Upstash EU-Region).
• Logische Trennung von Kundendaten über Mandanten-Identifikatoren.
• Schutzmaßnahmen auf WAF/CDN-Ebene am Edge.
• Bei kritischer Infrastruktur werden bevorzugt Unterauftragsverarbeiter mit branchenüblichen Zertifizierungen (ISO 27001, SOC 2 Type II) eingesetzt.

E. Betrieb
• Zentralisierte Protokollierung sicherheitsrelevanter Ereignisse; Protokolle werden mindestens 30 Tage aufbewahrt.
• Schwachstellenmanagementprogramm (Dependency Scanning, automatisierte Patch-Roll-outs).
• Tägliche verschlüsselte Backups der Produktionsdatenbank mit Point-in-Time-Recovery in einem rollierenden Zeitfenster von 7 bis 35 Tagen sowie vollständiger Snapshot-Aufbewahrung von bis zu zwölf (12) Monaten; Backups werden isoliert von Produktivsystemen aufbewahrt und ausschließlich für Disaster-Recovery-Zwecke verwendet.
• Periodische Wiederherstellungstests.

F. Softwareentwicklung
• Quellcode in privaten Repositories mit obligatorischem Code-Review für Produktions-Branches.
• Trennung von Entwicklungs-, Staging- und Produktionsumgebungen.
• Geheimnisse werden in einem verwalteten Secret-Store gespeichert; keine Geheimnisse im Quellcode.
• Automatisierte Tests als Teil der CI-Pipeline.

G. Lieferantenmanagement
• Unterauftragsverarbeiter werden anhand von Sicherheit, Compliance und Geschäftskritikalität ausgewählt.
• Auftragsverarbeitungsvereinbarungen mit allen Unterauftragsverarbeitern, die personenbezogene Daten des Kunden verarbeiten.
• Übermittlungsmechanismen (EU SCCs / UK Addendum / DPF) sind, wo erforderlich, implementiert.

H. Unterstützung betroffener Personen
• Integrierte Self-Service-Löschung von Konten und einzelnen Datensätzen.
• Dokumentierter Prozess zur Bearbeitung von Anträgen betroffener Personen, die mittelbar über den Verantwortlichen eingehen.

Anhang 3 — Liste der Unterauftragsverarbeiter (Anhang III der EU SCCs)

Tailride setzt die folgenden Unterauftragsverarbeiter zur Erbringung des Dienstes ein. Diese Seite ist die maßgebliche Liste der Unterauftragsverarbeiter und wird aktuell gehalten; jede Ergänzung oder Ersetzung wird hier gemäß Ziffer 6 veröffentlicht. Als nutzeraktiviert gekennzeichnete Einträge werden nur verwendet, wenn der Verantwortliche die jeweilige Integration aktiviert. Als "Geplant" gekennzeichnete Einträge sind noch nicht aktiv und werden aus Transparenzgründen aufgeführt; sie beginnen erst mit der Verarbeitung personenbezogener Daten des Kunden, wenn die jeweilige Funktion aktiviert wird.

Diese Liste umfasst Unterauftragsverarbeiter, die personenbezogene Daten des Kunden im Auftrag von Tailride im Sinne von Artikel 28 DSGVO verarbeiten. Die folgenden Kategorien von Dritten sind bewusst nicht in dieser Liste enthalten, weil Tailride sie nicht als Unterauftragsverarbeiter nach Artikel 28 einsetzt: (i) Zahlungspartner (zum Beispiel Stripe und, soweit zutreffend, Paddle als geplanter künftiger Merchant of Record): Diese Anbieter handeln als eigenständige Verantwortliche für Zahlungsdaten, die sie aufgrund ihrer eigenen rechtlichen und regulatorischen Pflichten verarbeiten (PCI-DSS, Geldwäschebekämpfung, Betrugsprävention). Sie werden in der Datenschutzerklärung beschrieben. (ii) Web- und Produktanalysepartner (zum Beispiel Google Tag Manager, Google Analytics 4, DataFast): Tailride bestimmt, was auf seiner öffentlichen Website und im Produkt gemessen wird, sodass Tailride als Verantwortlicher handelt (und mit dem Analyseanbieter in einer gemeinsamen oder eigenständigen Verantwortlichen-Konstellation). Diese Tools werden vorbehaltlich der Cookie-Einwilligung geladen und in der Datenschutzerklärung beschrieben. (iii) Werbepartner (zum Beispiel Meta Pixel und Conversions API sowie Google Ads als geplante künftige Ergänzung): Tailride und die Werbeplattform handeln als gemeinsame oder eigenständige Verantwortliche für Werbemessungs- und Conversion-Daten. Sie werden vorbehaltlich der Cookie-Einwilligung geladen und in der Datenschutzerklärung beschrieben. (iv) Affiliate-Marketing-Partner (zum Beispiel Affonso): Tailride nutzt Affiliate-Attributionsereignisse für eigenes Marketing; der Affiliate-Anbieter handelt als eigenständiger Verantwortlicher für die Daten, die er erhält. In der Datenschutzerklärung beschrieben. (v) Betrugspräventions- und Kontoerstellungsprüfungen (zum Beispiel UserCheck-Prüfung auf Wegwerf-E-Mail-Domains): Tailride führt diese Prüfungen im eigenen berechtigten Interesse an Betrugsprävention durch; der Prüfanbieter handelt als Verantwortlicher für die E-Mail-Domain-Daten, die er erhält. In der Datenschutzerklärung beschrieben. (vi) Hilfsanbieter, die keine Kundendaten verarbeiten (zum Beispiel Währungskurs-APIs und Anbieter zur Logo-Suche wie Brandfetch, die nur einen Anbieterdomainnamen erhalten). (vii) Vom Nutzer aktivierte Integrationen, Kommunikationskanäle und Zielsysteme. Wenn der Verantwortliche Google Drive / Gmail / Sheets, Microsoft 365 / OneDrive / Outlook, QuickBooks Online, Xero, Microsoft Dynamics 365 Business Central, Odoo, IMAP/SMTP-Server, WhatsApp Cloud API, Telegram Bot API oder benutzerdefinierte Webhooks verbindet oder nutzt, oder wenn Dokumente über Browser-Upload oder eine vom Verantwortlichen bzw. der betroffenen Person gewählte E-Mail eingehen, übermittelt oder empfängt Tailride personenbezogene Daten des Kunden über diesen Kanal nur auf Weisung des Verantwortlichen oder durch eine Handlung der betroffenen Person. Das Drittanbieterkonto, der Browser, der E-Mail-Dienst, der Messaging-Kanal oder das Zielsystem wird vom Verantwortlichen oder der betroffenen Person ausgewählt, konfiguriert oder genutzt und unterliegt der gesonderten Beziehung dieser Partei mit dem jeweiligen Anbieter. Diese Kanäle und Zielsysteme sind keine Unterauftragsverarbeiter von Tailride nach Artikel 28.

Wie dieser AVV verbindlich wird

Dieser AVV ist Bestandteil der Tailride-Nutzungsbedingungen. Mit der Annahme der Nutzungsbedingungen (z. B. bei der Registrierung für den Dienst oder durch Aufrechterhaltung eines aktiven Abonnements) erklärt sich der Verantwortliche an diesen AVV gebunden und bezieht durch Verweis die EU SCCs (Modul Zwei, Verantwortlicher an Auftragsverarbeiter) sowie, soweit anwendbar, das UK Addendum ein, wobei Tailride S.à r.l. der Datenimporteur und der Verantwortliche der Datenexporteur ist.

Kunden, die eine gegengezeichnete Kopie dieses AVV auf Tailride-Briefpapier benötigen — z. B. für Beschaffungsunterlagen — können diese unter mike@tailride.so anfordern. Tailride kann einen vom Verantwortlichen vorgeschlagenen, im Wesentlichen vergleichbaren AVV unterzeichnen, vorbehaltlich einer kommerziellen Prüfung.