Auftragsverarbeitungsvertrag

Dokumente des Vertragspakets

• Auftragsverarbeitungsvertrag (DPA). Bilaterale auftragsverarbeiterseitige Bedingungen, die den Umgang von Syncanix mit personenbezogenen Kundendaten nach Artikel 28 DSGVO regeln. Legt Verarbeitungszwecke, Datenkategorien, Unterauftragsverarbeiter, Sicherheitsmaßnahmen und SLAs zur Verletzungsmeldung fest.
• Standardvertragsklauseln (SCCs) — Modul Zwei. Durchführungsbeschluss 2021/914 der Europäischen Kommission, Modul Zwei (Auftragsverarbeiter-zu-Auftragsverarbeiter). Regelt Übermittlungen personenbezogener Daten außerhalb des EWR an Unterauftragsverarbeiter, die aus Drittländern tätig sind.
• International Data Transfer Addendum (IDTA) der britischen ICO. Nachtrag, der die SCCs Modul Zwei auf Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich erweitert, gemäß der veröffentlichten Vorlage der britischen ICO.
• Schweizer FADP-Zusatz. Brücken-Zusatz, der die SCCs auf Übermittlungen personenbezogener Daten erweitert, die dem Schweizer Bundesgesetz über den Datenschutz (FADP) unterliegen, wie es die Leitlinien des FDPIC verlangen.
• Regionale Nachträge. Schlanke Nachträge für UAE PDPL, KSA PDPL (Saudi-Arabien), das israelische Datenschutzgesetz + Amendment 13, das ägyptische Gesetz 151/2020 und weitere MENA-Rechtsräume, wenn die Bereitstellung eines Kunden sie auslöst.

DPA-Umfang (Pflichten nach Artikel 28)

Der DPA erfasst jede Pflicht, die Artikel 28(3) DSGVO einem Auftragsverarbeiter auferlegt:

• Nur auf Weisung (Art. 28 § 3(a)). Syncanix verarbeitet personenbezogene Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich Übermittlungen in Drittländer.
• Vertraulichkeit (Art. 28 § 3(b)). Jeder Mitarbeiter oder Auftragnehmer von Syncanix mit Zugang zu personenbezogenen Kundendaten unterliegt einer Vertraulichkeitsverpflichtung.
• Sicherheit (Art. 28 § 3(c) + Art. 32). Verschlüsselung im Ruhezustand über AWS KMS, Verschlüsselung bei der Übertragung über TLS 1.3, IAM nach dem Least-Privilege-Prinzip und die auf der Sicherheitsseite → dokumentierten Kontrollen.
• Einbindung von Unterauftragsverarbeitern (Art. 28 § 2 + § 4). Vorherige Genehmigung des Kunden für Änderungen bei Unterauftragsverarbeitern; 30-tägige Änderungsmitteilungsrichtlinie auf der Unterauftragsverarbeiter-Seite →; dieselben Pflichten nach Artikel 28 werden an jeden Unterauftragsverarbeiter weitergegeben.
• Unterstützung bei Betroffenenanfragen (Art. 28 § 3(e)). Syncanix unterstützt Kunden bei Betroffenenanfragen (DSARs) (Artikel 15–22, die Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch umfassen) innerhalb des SLA von 24 Stunden Eingangsbestätigung / 30 Tagen Erfüllung.
• Meldung von Verletzungen (Art. 33). Benachrichtigung des Kunden innerhalb von 24 Stunden nach Bestätigung einer Verletzung des Schutzes personenbezogener Daten, die seine Daten betrifft. Der Kunde (Verantwortlicher) behält die Pflicht, die Aufsichtsbehörden und die betroffenen Personen zu benachrichtigen.
• Zusammenarbeit bei Audits (Art. 28 § 3(h)). Jährliches Audit-Fenster und Nachweise auf Anfrage (SOC-2-Berichte, ISO-27001-Zertifikat, sofern verfügbar) zur Belegung der Pflichten des Auftragsverarbeiters.
• Löschung / Rückgabe (Art. 28 § 3(g)). Bei Beendigung werden personenbezogene Kundendaten gemäß der Weisung des Kunden innerhalb von 30 Tagen zurückgegeben oder gelöscht, wobei alle Sicherungskopien innerhalb weiterer 90 Tage bereinigt werden. Ein kurzer Soft-Delete-Puffer wird gemäß Artikel 17 (Löschung) vorgehalten, um versehentliche Anfragen rückgängig machen zu können.

Standardvertragsklauseln (SCCs)

Grenzüberschreitende Übermittlungen aus dem EWR an einen Unterauftragsverarbeiter in einem Drittland (Vereinigte Staaten, Kanada usw.) unterliegen den SCCs Modul Zwei — der Auftragsverarbeiter-zu-Auftragsverarbeiter-Vorlage der Europäischen Kommission (Durchführungsbeschluss 2021/914, in Kraft seit 27 June 2021). Die Anhänge, die die Datenkategorien, Verarbeitungszwecke und Sicherheitsmaßnahmen dokumentieren, werden je Unterauftragsverarbeiter ausgefüllt, wie auf der Unterauftragsverarbeiter-Seite →. Der Kunde unterzeichnet die SCCs als Datenexporteur; Syncanix unterzeichnet als Datenimporteur.

IDTA-Nachtrag der britischen ICO

Für Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich reichen die SCCs allein nach dem Brexit nicht aus. Das am 21 March 2022 veröffentlichte International Data Transfer Addendum (IDTA) der britischen ICO erweitert die SCCs zu einem mit dem britischen Datenschutzrecht kompatiblen Instrument. Der Nachtrag von Syncanix ist die veröffentlichte Vorlage der ICO, ausgefüllt mit denselben Anhängen wie die SCCs.

Schweizer FADP-Zusatz

Das Bundesgesetz über den Datenschutz (FADP, revidierte Fassung in Kraft seit 1 September 2023) regelt Schweizer personenbezogene Daten. Der Schweizer Zusatz von Syncanix ist eine schlanke Brücke — er ersetzt „Europäische Union“ durch „Schweiz“ in den einschlägigen SCCs-Abschnitten, bestimmt den FDPIC (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) als Aufsichtsbehörde und integriert die nach Schweizer Recht spezifischen Betroffenenrechte.

Regionale Nachträge

MENA-Rechtsräume stellen eigene auftragsverarbeiterseitige Vertragsanforderungen, die durch schlanke regionale Nachträge erfüllt werden, welche durch die Bereitstellung des Kunden ausgelöst werden:

• UAE PDPL (Bundesdekret-Gesetz 45/2021 + DIFC DP Law 5/2020 + ADGM). Einwilligungsorientiert; grenzüberschreitende Übermittlungen erfordern Angemessenheit oder Vertrag.
• Saudi PDPL. Vollständige Durchsetzung seit 14 Sep 2024. 72-Stunden-Verletzungsmeldung an die SDAIA. Grenzüberschreitende Übermittlungen erfordern die Genehmigung der SDAIA. Ein lokaler Vertreter ist erforderlich, wenn die Umsatzschwellen ausgelöst werden.
• Israelisches Datenschutzgesetz + Amendment 13 (in Kraft 15 Aug 2025). An der DSGVO ausgerichtet; erweiterte Definition von „personenbezogenen Informationen“; verpflichtender Datenschutzbeauftragter; Bußgelder bis zu 5 % des Umsatzes.
• Ägyptisches Gesetz 151/2020. Lizenz für grenzüberschreitende Übermittlungen + standardmäßige Einwilligung.
• Katarisches Gesetz 13/2016 PDPPL. Einwilligungs- und Meldepflichtregime.
• Bahrain PDPL 30/2018. Registrierung der Verantwortlichen; Einwilligung.
• Omanisches Königliches Dekret 6/2022 PDPL. Lizenz für grenzüberschreitende Übermittlungen.
• Jordan PDPL 24/2023. Bedingter DSB; Betroffenenrechte.

Prüfung durch den Rechtsbeistand

Die DPA-Vorlage, die SCCs Modul Zwei, der britische IDTA-Nachtrag, der Schweizer FADP-Zusatz und die regionalen Nachträge werden vor jeder kommerziellen Freigabe vom EU-Datenschutzanwalt geprüft. Die Freigabe wird festgehalten in docs/legal/counsel-sign-off.md mit dem Namen des Rechtsbeistands, dem Prüfdatum und dem Umfang. Die Prüfung durch den Rechtsbeistand ist ein launch-blockierendes Tor. Bis der Rechtsbeistand freigegeben hat, werden Arbeitskopien des Vertragspakets auf Anfrage bilateral geteilt über admin@syncanix.com.

So fordern Sie das Paket an

1. Senden Sie eine E-Mail an admin@syncanix.com mit dem Namen Ihrer juristischen Person, den Bereitstellungsrechtsräumen und den von Ihnen benötigten Nachträgen (Vereinigtes Königreich, Schweiz, KSA, UAE, Israel usw.).
2. Syncanix sendet die Arbeitskopie innerhalb von 2 Werktagen zurück, ausgefüllt mit den Anhängen für die Unterauftragsverarbeiter, die für Ihre Bereitstellung gelten.
3. Verhandlung und Gegenzeichnung erfolgen per E-Mail oder über einen DocuSign- / Adobe-Sign-Workflow nach Wunsch des Kunden.
4. Sobald die Freigabe des Rechtsbeistands vorliegt, verlinkt diese Seite die unterzeichneten veröffentlichten Vorlagen direkt hier als .pdf -Downloads.

Verwandtes

• Unterauftragsverarbeiter-Liste → — die Stellen, auf die die SCCs-Anhänge verweisen.
• Sicherheitsübersicht → — die in der DPA erfassten Maßnahmen nach Artikel 32.
• Datenschutzhinweis → — Umfang der Weisung des Verantwortlichen nach Artikel 28 § 3(a).
• Compliance-Status → — SOC-2- / ISO-27001-Nachweise, die Artikel 32 belegen.