Auftragsverarbeitungsvertrag

2.1 Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Verantwortlichen erheben, verarbeiten oder nutzen. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

2.2 Die Weisungen des Verantwortlichen werden anfänglich durch diesen Vertrag festgelegt und können vom Verantwortlichen danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Verantwortliche ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

2.3 Alle erteilten Weisungen sind vom Verantwortlichen zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

2.4 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen. Eine Pflicht zur Ablehnung besteht nicht. Der Auftragsverarbeiter haftet nicht für Schäden, die sich aus der Befolgung einer rechtswidrigen Weisung des Verantwortlichen ergeben. Dokument: Wolkenwächter - AVV Datum 03.04.2026 Version: 1.0 Seite 3/12

4.1 Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

4.2 Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Punkt 10 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gem. Art. 32 DSGVO getroffen, die der Verantwortliche als angemessen anerkennt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte und gesetzlich vorgeschriebene Schutzniveau nicht unterschritten wird.

4.3 Eine Weitergabe personenbezogener Daten in ein Drittland (außerhalb des EWR) erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

4.4 Den bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (nachfolgend „Mitarbeiter”), entsprechend verpflichten (Verpflichtung Dokument: Wolkenwächter - AVV Datum 03.04.2026 Version: 1.0 Seite 4/12 zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.

4.5 Der Auftragsverarbeiter hat einen Datenschutzbeauftragten benannt. Der Datenschutzbeauftragte des Auftragsverarbeiters ist heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

6.1 Der Kunde hat das Recht, die Einhaltung dieses AVV zu überprüfen.

6.2 Da BE-X die Services in Umgebungen der Sub-Dienstleister erbringt, erfolgt der Nachweis der Datensicherheit für die Rechenzentren und Cloud-Infrastruktur ausschließlich durch Vorlage aktueller Testate unabhängiger Dritter (z.B. SOC 2 Typ II Bericht, ISO 27001 Zertifikat) der Sub- Dienstleister. Direkte Vor-Ort-Prüfungen in den Rechenzentren der Sub-Dienstleister sind ausgeschlossen.

6.3 Für die eigenen Geschäftsräume und Prozesse von BE-X hat der Kunde das Recht, einmal im Jahr Prüfungen durch einen unabhängigen, zur Verschwiegenheit verpflichteten Auditor durchführen zu lassen. Prüfungen sind mit einer Vorlaufzeit von 30 Kalendertagen schriftlich anzukündigen und dürfen den Geschäftsbetrieb von BE-X nicht unangemessen beeinträchtigen. Die Kosten der Prüfung trägt der Kunde.

8.1 Soweit gesetzlich zulässig, informiert der Auftragsverarbeiter den Verantwortlichen über Anträge von betroffenen Personen, die ihre Betroffenenrechte direkt gegenüber dem Auftragsverarbeiter in Bezug auf personenbezogene Daten des Verantwortlichen geltend machen. Der Verantwortliche ist für die Beantwortung solcher Anträge zuständig.

8.2 Falls eine betroffene Person einen Anspruch aufgrund der Verletzung ihrer Betroffenenrechte direkt gegenüber dem Auftragsverarbeiter geltend macht, entschädigt der Verantwortliche den Auftragsverarbeiter für sämtliche Kosten, Gebühren, Schäden, Aufwendungen oder Verluste, die sich aus einem solchen Anspruch ergeben, sofern der Auftragsverarbeiter den Verantwortlichen über den Anspruch in Kenntnis gesetzt und ihm die Möglichkeit gegeben hat, in der Abwehr und Beilegung des Anspruchs mit dem Auftragsverarbeiter zusammenzuarbeiten.

8.3 Im Rahmen der im Hauptvertrag enthaltenen Bedingungen kann der Verantwortliche vom Auftragsverarbeiter Beträge einfordern, die er an eine betroffene Person gezahlt hat, deren Betroffenenrechte durch einen schuldhaft verursachten Verstoß des Auftragsverarbeiters gegen Dokument: Wolkenwächter - AVV Datum 03.04.2026, Version: 1.0 Seite 7/12 seine Verpflichtungen aus der DSGVO verletzt wurden, sofern er den Auftragsverarbeiter über den Anspruch in Kenntnis gesetzt und ihm die Möglichkeit gegeben hat, in der Abwehr und Beilegung des Anspruchs mit dem Verantwortlichen zusammenzuarbeiten.

Dieser Abschnitt fasst die technischen und organisatorischen Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO zusammen, die für Verarbeitungen in der Sphäre von BE-X gelten. Die Maßnahmen gliedern sich in zwei Verantwortungsbereiche:

• a) Maßnahmen in der direkten Verantwortung von BE-X: Betrifft eigene Geschäftsräume, Endgeräte, Zugriffsmanagement auf Cloud-Dienste, Softwareentwicklung und betriebliche Prozesse.
• b) Maßnahmen der Rechenzentrumsbetreiber: Die physische Infrastruktur wird in zwei professionellen, zertifizierten Rechenzentren betrieben. Die dort implementierten organisatorischen Sicherheitsmaßnahmen (Zutrittskontrolle, Brandschutz, Klimatisierung, Stromversorgung, Videoüberwachung) werden durch die jeweiligen Betreiber verantwortet und sind in den Abschnitten 10.1.1 und 10.3 entsprechend angeführt.

Für die technischen und organisatorischen Maßnahmen der Sub-Dienstleister Google Cloud und Freshworks wird auf Kapitel 11 verwiesen. Dokument: Wolkenwächter - AVV Datum 03.04.2026, Version: 1.0 Seite 8/12

10.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

10.1.1 Zutrittskontrolle: Die folgenden Maßnahmen zur physischen Zutrittskontrolle werden durch die Betreiber der beiden Rechenzentren implementiert und aufrechterhalten:

• Alarmanlage
• Absicherung von Gebäudeschächten
• Automatisches Zugangskontrollsystem
• Biometrische Zugangssperren
• Chipkarten-/Transponder-Schließsystem
• Manuelles Schließsystem (z.B. Schlüssel)
• Sicherheitsschlösser
• Videoüberwachung der Zugänge
• Personenkontrolle beim Pförtner oder Empfang
• Protokollierung der Besucher (z.B. Besucherbuch)
• Sorgfältige Auswahl von Sicherheitspersonal
• Besucher nur in Begleitung durch Mitarbeiter

Für die Geschäftsräume von BE-X gelten: Manuelles Schließsystem, Sicherheitsschlösser, Besucher nur in Begleitung durch Mitarbeiter.

10.1.2 Zugangskontrolle: Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:

• Authentifikation mit Benutzer und Passwort
• Einsatz von Anti-Viren-Software
• Einsatz von Firewalls
• Verschlüsselung von Datenträgern
• Automatische Desktopsperre
• Verschlüsselung von Notebooks / Tablets
• Verwaltung von Benutzerberechtigungen
• Erstellen von Benutzerprofilen
• Nutzung von 2-Faktor-Authentifizierung
• Allgemeine Unternehmens-Richtlinie zum Datenschutz oder zur Sicherheit
• Unternehmens-Richtlinie für sichere Passwörter
• Unternehmens-Richtlinie zur Verwendung mobiler Geräte
• Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren

10.1.3 Zugriffskontrolle: Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte Dokument: Wolkenwächter - AVV Datum 03.04.2026, Version: 1.0 Seite 9/12 keinen Zugriff auf personenbezogene Daten haben:

• Vernichtung von Datenträgern mindestens nach DIN 66399
• Einsatz eines Berechtigungskonzepts
• Anzahl der Administratoren ist so klein wie möglich gehalten
• Verwaltung der Benutzerrechte durch Systemadministratoren

10.1.4 Trennungskontrolle: Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:

• Mandantentrennung
• separate Datenspeicherung pro Kunde
• logische Isolation auf Applikationsebene
• Trennung von Produktiv- und Testsystem
• Erstellung eines Berechtigungskonzepts

10.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

10.2.1 Weitergabekontrolle: Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

• TLS-Verschlüsselung der API-Kommunikation
• Verschlüsselung der Kundendaten at rest
• Secrets-/Credential-Management für die API-Keys und Zugangsdaten derKundensysteme
• WLAN-Verschlüsselung (WPA2 mit starkem Passwort)
• Protokollierung von Zugriffen und Abrufen
• Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS

10.2.2 Eingabekontrolle: Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

10.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO): Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt Dokument: Wolkenwächter - AVV Datum 03.04.2026, Version: 1.0 Seite 10/12 und für den Kunden stets verfügbar sind.

Die folgenden physischen Maßnahmen werden durch die Betreiber der Rechenzentren sichergestellt:

• Feuerlöschgeräte in Serverräumen
• Feuer- und Rauchmeldeanlagen
• Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Klimaanlage in Serverräumen
• Schutzsteckdosenleisten in Serverräume
• Unterbrechungsfreie Stromversorgung (USV)
• RAID-System / Festplattenspiegelung
• Videoüberwachung in Serverräumen
• Keine sanitären Anlagen im oder oberhalb des Serverraums

Die folgenden Maßnahmen verantwortet BE-X:

• Regelmäßige Backups
• Erstellung eines Backup- & Recoverykonzepts
• Kontrolle des Sicherungsvorgangs
• Erstellen eines Notfallplans (z.B. BSI IT-Grundschutz 100-4)

10.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

10.4.1 Datenschutz-Management: Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

• Verwendung der heyData-Plattform zum Datenschutz-Management
• Bestellung des Datenschutzbeauftragten heyData
• Verpflichtung der Mitarbeiter auf das Datengeheimnis
• Regelmäßige Schulungen der Mitarbeiter im Datenschutz
• Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

10.4.2 Incident-Response-Management: Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

• Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
• Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüberden Betroffenen (Art. 34 DSGVO) Dokument: Wolkenwächter - AVV Datum 03.04.2026, Version: 1.0 Seite 11/12
• Einbindung des Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
• Unverzügliche Information des Kunden bei Sicherheitsvorfällen, die dessen Datenbetreffen

10.4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO): Die folgenden implementierten Maßnahmen tragen den Voraussetzungen der Prinzipien "Privacy by design" und "Privacy by default" Rechnung:

• Schulung der Mitarbeiter im "Privacy by design" und "Privacy by default"
• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

10.4.4 Auftragskontrolle: Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:

• Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
• Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)

10.4.5 Technische Sicherheitsüberprüfung: Folgende Maßnahmen gewährleisten die regelmäßige Überprüfung der technischen Sicherheitsmaßnahmen:

• Patch-Management mit definierten Fristen für sicherheitskritische Updates