Dieser AVV gilt für alle Nutzer der ModulLox-Plattform und wird mit Abschluss des Nutzungsvertrags wirksam.
Simon Baustian
Haus Grünewald 11, 42653 Solingen
simon.baustian@modullox.com
Der jeweilige Nutzer der ModulLox-Plattform gemäß dem geschlossenen Nutzungsvertrag.
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der ModulLox-Plattform.
Dieser AVV gilt für die Dauer des Nutzungsvertrags. Laufzeit und Beendigung richten sich nach § 7 der AGB. Mit Beendigung des Nutzungsvertrags endet auch dieser AVV.
Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der vertraglich vereinbarten Plattformfunktionen.
Der Auftragsverarbeiter verpflichtet sich:
Weisungen des Verantwortlichen erfolgen grundsätzlich in Textform (z. B. per E-Mail); mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter benennt dem Verantwortlichen auf Wunsch eine Kontaktstelle für Weisungen.
Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, mit denen jeweils ein eigener Auftragsverarbeitungsvertrag besteht:
Der Verantwortliche stimmt dem Einsatz der oben genannten Unterauftragnehmer mit Abschluss des Nutzungsvertrags zu. Änderungen an Unterauftragnehmern werden dem Verantwortlichen mit einem Vorlauf von mindestens 14 Tagen per E-Mail mitgeteilt. Der Verantwortliche kann Änderungen innerhalb dieser Frist schriftlich widersprechen.
Widerspricht der Verantwortliche aus wichtigem datenschutzrechtlichen Grund, ist der Anbieter berechtigt, die betreffende Leistung ohne den neuen Unterauftragnehmer zu erbringen oder, falls dies nicht zumutbar möglich ist, den Vertrag zum geplanten Wirksamkeitszeitpunkt der Änderung zu kündigen.
Für Drittlandübermittlungen (Anthropic, OpenAI) liegt ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vor: Beide Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Entfällt der Angemessenheitsbeschluss (EU-US Data Privacy Framework), informiert der Auftragsverarbeiter den Verantwortlichen und stützt die Übermittlung sodann ausschließlich auf die bereits bestehenden Standardvertragsklauseln. Daten dieser Anbieter werden ausdrücklichnicht für das Training von KI-Modellen verwendet.
Der Auftragsverarbeiter trifft folgende Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO:
Die Serverinfrastruktur befindet sich in gesicherten Rechenzentren in Deutschland mit physischer Zugangskontrolle.
Passwörter werden ausschließlich als bcrypt-Hash gespeichert, nie im Klartext. Für Portal-Nutzer steht Multi-Faktor-Authentifizierung (TOTP, Passkeys/FIDO2) zur Verfügung. Fehlgeschlagene Anmeldeversuche werden protokolliert und führen ab einem definierten Schwellenwert zur automatischen Kontosperrung.
Die Plattform setzt ein rollenbasiertes Berechtigungssystem ein. Der Datenbankzugriff der Anwendung erfolgt über einen dedizierten Nutzer mit minimalen Rechten (kein DDL-Zugriff). Datenbankadministration und Anwendungsbetrieb sind strikt getrennt.
Alle Mandantendaten sind durch eine Tenant-ID vollständig logisch voneinander getrennt. Jeder Datenbankzugriff ist auf den jeweiligen Mandanten beschränkt. Ein Zugriff auf Daten anderer Mandanten ist technisch ausgeschlossen.
Alle Verbindungen zur Plattform sind über HTTPS/TLS verschlüsselt. Die Datenbank ist nicht über das öffentliche Internet erreichbar und kommuniziert ausschließlich über das interne Netzwerk. Session-Cookies werden mit HttpOnly, Secure und SameSite-Attributen gesetzt.
Sicherheitsrelevante Ereignisse (An- und Abmeldungen, Rollenänderungen, Datenzugriffe durch Administratoren, Fehler) werden in einem Compliance-Audit-Log protokolliert.
Besonders sensible Konfigurationsdaten (z.B. SMTP-Passwörter, API-Schlüssel) werden verschlüsselt in der Datenbank gespeichert (Fernet-Verschlüsselung, abgeleitet aus dem Systemschlüssel).
Der Auftragsverarbeiter führt mindestens einmal wöchentlich automatisierte, ausschließlich lesende Prüfungen der verarbeiteten Daten auf Konsistenz, Integrität und Plausibilität durch (internes Kontrollsystem zur Sicherstellung der Sicherheit und Ordnungsmäßigkeit der Verarbeitung, Art. 32 DSGVO). Diese Prüfungen verändern keine Daten. Stellt der Auftragsverarbeiter Auffälligkeiten fest, die die Verarbeitung der Daten des Verantwortlichen betreffen, informiert er den Verantwortlichen hierüber, damit dieser die erforderlichen Maßnahmen prüfen und ergreifen kann (Art. 28 Abs. 3 lit. f DSGVO). Die Prüfungen selbst sowie die dabei erstellten Protokolle und Meldungen unterliegen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Sie beschränken sich auf technische Angaben (z. B. Tabelle, Datensatzkennung, Art der Abweichung) und enthalten keine personenbezogenen Inhalte, die über das zur Eingrenzung des Sachverhalts erforderliche Maß hinausgehen.
Der Verantwortliche ist für die Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gegenüber seinen eigenen Kunden und Mitgliedern verantwortlich.
Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei in dem Umfang, der ihm technisch möglich und zumutbar ist. Die Unterstützung erfolgt unverzüglich, spätestens jedoch so rechtzeitig, dass dem Verantwortlichen die Einhaltung seiner gesetzlichen Fristen (Art. 12 Abs. 3 DSGVO) möglich bleibt.
Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen dessen Daten — nach Wahl des Verantwortlichen — für einen Zeitraum von 30 Tagen in einem gängigen, maschinenlesbaren Format (CSV, JSON oder XML) zur Rückgabe (Export) bereit oder löscht sie. Der Verantwortliche wird per E-Mail über die bevorstehende Löschung informiert. Trifft der Verantwortliche binnen dieser Frist keine Wahl, werden die Daten nach Fristablauf gelöscht.
Nach Ablauf der 30-Tage-Frist werden alle personenbezogenen Daten des Verantwortlichen unwiderruflich und vollständig gelöscht. Protokolldaten, die gesetzliche Aufbewahrungsfristen betreffen, werden entsprechend der gesetzlichen Vorgaben aufbewahrt und danach ebenfalls gelöscht.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen bereit, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.
Audits durch den Verantwortlichen oder einen von ihm beauftragten Prüfer sind nach schriftlicher Ankündigung mit einem Vorlauf von mindestens 14 Tagen möglich. Sie dürfen den laufenden Betrieb nicht wesentlich beeinträchtigen. Der Verantwortliche trägt die Kosten eines Audits, es sei denn, das Audit wird durch eine vom Auftragsverarbeiter zu vertretende Pflichtverletzung (z. B. eine von ihm verursachte Datenschutzverletzung) veranlasst; in diesem Fall trägt der Auftragsverarbeiter die angemessenen Kosten.
Dieser AVV ist Bestandteil des Nutzungsvertrags. Im Übrigen gelten die Allgemeinen Geschäftsbedingungen des Anbieters, insbesondere § 9 (Haftungsbeschränkung) und § 11 (Schlussbestimmungen: anwendbares Recht, Gerichtsstand).
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame ersetzt, die dem Regelungszweck am nächsten kommt.
Änderungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung des Textformerfordernisses.