Keycafe

Auftragsverarbeitungsvertrag (DPA)

Zuletzt aktualisiert: 23. Oktober 2025

Datum des Inkrafttretens: Das Datum, an dem der Kunde die Keycafe-Nutzungsbedingungen („Bedingungen“) akzeptiert.
Parteien: Der „Kunde“ und das Keycafe-Vertragsunternehmen („Keycafe“) gemäß den Bedingungen.

  1. Einbeziehung; Geltungsbereich

    Dieser AVV ist durch Verweis in die Bedingungen einbezogen und gilt automatisch, sobald Keycafe personenbezogene Daten im Auftrag des Kunden als Auftragsverarbeiter, Dienstleister oder Auftragnehmer im Sinne des anwendbaren Datenschutzrechts verarbeitet. Eine gesonderte Unterzeichnung ist nicht erforderlich. Bei Widersprüchen zwischen diesem AVV und den Bedingungen im Hinblick auf die Verarbeitung personenbezogener Daten geht dieser AVV vor.

  2. Definitionen

    Begriffe mit Großschreibung, die hier nicht definiert sind, haben die Bedeutung gemäß den Bedingungen.

    • „Anwendbares Datenschutzrecht“ bezeichnet sämtliche Gesetze zum Schutz der Privatsphäre, zum Datenschutz oder zur Datensicherheit, die auf die Verarbeitung personenbezogener Daten anwendbar sind, einschließlich der EU-/EWR-Datenschutz-Grundverordnung (DSGVO), der UK GDPR, des schweizerischen Datenschutzgesetzes (DSG), des kalifornischen CPRA/CCPA, des kanadischen PIPEDA sowie im Wesentlichen gleichwertiger Provinzgesetze (einschließlich Alberta PIPA, BC PIPA und des Datenschutzrechts des Privatsektors von Québec) sowie aller sonstigen anwendbaren nationalen, bundesstaatlichen, provinziellen oder sektoralen Gesetze.
    • „Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, die von Keycafe im Rahmen der Bedingungen im Auftrag des Kunden verarbeitet werden.
    • „Verarbeiten“ oder „Verarbeitung“ hat die Bedeutung nach dem anwendbaren Datenschutzrecht.
    • „SCC“ bezeichnet die EU-Standardvertragsklauseln (Modul 2, Verantwortlicher → Auftragsverarbeiter) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission in der jeweils geänderten oder ersetzten Fassung.
    • „Unterauftragsverarbeiter“ bezeichnet einen Auftragsverarbeiter, den Keycafe mit der Verarbeitung personenbezogener Daten des Kunden beauftragt.
    • „Kenntnis“ bezeichnet den Zeitpunkt, zu dem das Sicherheitsteam von Keycafe nach einer angemessenen Untersuchung bestätigt, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt, welche personenbezogene Daten des Kunden betrifft. Keycafe ist nicht verpflichtet, den Kunden über vermutete oder potenzielle Verstöße zu informieren, bevor Kenntnis vorliegt.
    • „Sicherheitsvorfall“ bezeichnet ein vermutetes oder tatsächliches nachteiliges Ereignis, das Netzwerke, Systeme oder Einrichtungen betrifft, ohne dass es zu einem unbefugten Zugriff auf, einer unbefugten Offenlegung, Veränderung oder einem Verlust von personenbezogenen Daten des Kunden kommt. Keycafe ist nicht verpflichtet, den Kunden über Sicherheitsvorfälle zu informieren, kann jedoch nach eigenem Ermessen zusammengefasste Statistiken oder Übersichten in regelmäßigen Vertrauens- bzw. Sicherheitskommunikationen bereitstellen.
    • „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt. Erfolglos gebliebene Versuche oder Aktivitäten, die die Sicherheit nicht beeinträchtigen (z. B. Netzwerkanfragen (Pings), Port-Scans, abgewehrte Schadsoftware, fehlgeschlagene Anmeldeversuche, DDoS-Angriffe), stellen keine Verletzung des Schutzes personenbezogener Daten dar.

  3. Rollen; Weisungen; Pflichten des Kunden

    1. Rollen. Der Kunde ist Verantwortlicher und Keycafe ist Auftragsverarbeiter bzw. Dienstleister für die personenbezogenen Daten des Kunden.
    2. Weisungen. Keycafe verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisungen des Kunden und soweit dies zur Bereitstellung und Sicherung der in den Bedingungen beschriebenen Produkte erforderlich ist. Keycafe benachrichtigt den Kunden, wenn eine Weisung nach Einschätzung von Keycafe gegen anwendbares Datenschutzrecht verstößt.
    3. Pflichten des Kunden. Der Kunde ist verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden sowie für die Erteilung etwaiger Mitteilungen und die Einholung der Einwilligungen, die für die Verarbeitung durch Keycafe erforderlich sind.
    4. Besondere Kategorien; sensible Daten. Der Kunde wird besondere Kategorien personenbezogener Daten im Sinne der DSGVO oder „Sensitive Personal Information“ im Sinne des CPRA (oder ähnlicher Gesetze) nicht wissentlich übermitteln, es sei denn, der Kunde hat Keycafe zuvor schriftlich hierüber informiert und geeignete Schutzmaßnahmen sind implementiert; Notfall-Uploads sind umgehend nachträglich mitzuteilen.
    5. Keine Rechtsberatung. Keycafe erbringt keine Rechtsberatung; der Kunde ist allein verantwortlich für die Rechtmäßigkeit der personenbezogenen Daten des Kunden, der erforderlichen Mitteilungen und Einwilligungen sowie für die Rechtmäßigkeit der Weisungen des Kunden.

  4. Vertraulichkeit des Personals

    Keycafe stellt sicher, dass diejenigen Mitarbeiter, die zur Verarbeitung personenbezogener Daten des Kunden befugt sind, zur Vertraulichkeit verpflichtet sind und eine angemessene Schulung zu Datenschutz und Datensicherheit erhalten.

  5. Sicherheit

    Keycafe unterhält geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, personenbezogene Daten des Kunden vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen umfassen Zugangskontrollen, Verschlüsselung, soweit angemessen, Protokollierung/Monitoring, Schwachstellenmanagement, Backups und physische Sicherheitsmaßnahmen, wie in Anlage II (Sicherheitsmaßnahmen) beschrieben. Keycafe bewertet und aktualisiert diese Maßnahmen unter Berücksichtigung der Art der Verarbeitung und des Risikos.

  6. Unterauftragsverarbeiter

    1. Einsatz; Weitergabe von Pflichten. Der Kunde ermächtigt Keycafe, Unterauftragsverarbeiter zur Erbringung der Produkte einzusetzen. Keycafe verpflichtet seine Unterauftragsverarbeiter zu Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV festgelegten.
    2. Liste und Mitteilung. Die aktuelle Liste der Unterauftragsverarbeiter und die Mechanismen für Benachrichtigungen sind in Anlage 6 (Unterauftragsverarbeiter) zu den Bedingungen festgelegt. Die Veröffentlichung einer Aktualisierung der in Anlage 6 genannten Liste gilt als Mitteilung über eine Änderung. Der Kunde kann eine E-Mail an privacy@keycafe.com senden, um sich in die dort erwähnte optionale Benachrichtigungsliste per E-Mail aufnehmen zu lassen.
    3. Einspruch (beschränkte Gründe); Abhilfe. Innerhalb von 14 Tagen nach einer Mitteilung kann der Kunde nur aus angemessenen, wesentlich begründeten datenschutzrechtlichen Gründen Widerspruch erheben. Keycafe kann den Widerspruch dadurch ausräumen, dass der Unterauftragsverarbeiter entfernt oder ersetzt oder eine angemessene Alternative angeboten wird. Bleibt der Widerspruch nach redlichem Austausch unaufgelöst, kann der Kunde ausschließlich die betroffene Funktionalität (nicht den gesamten Dienst) kündigen und erhält eine zeitanteilige Erstattung der im Voraus gezahlten, nicht genutzten Gebühren für diese Funktionalität. Unterbleibt ein Widerspruch innerhalb von 14 Tagen, gilt dies als Zustimmung.
    4. Haftung; Nachbesserung. Keycafe bleibt für die Leistung seiner Unterauftragsverarbeiter im gleichen Umfang verantwortlich wie für eigenes Handeln. Soweit eine Nicht-Einhaltung durch einen Unterauftragsverarbeiter die Dienste beeinträchtigt, ist eine erneute Leistung oder Nachbesserung durch Keycafe oder den Unterauftragsverarbeiter der einzige und ausschließliche Rechtsbehelf des Kunden in Bezug auf diese Nicht-Einhaltung, unbeschadet des Kündigungsrechts des Kunden nach Buchstabe (c).

  7. Unterstützung; Verletzungen des Schutzes personenbezogener Daten; Folgenabschätzung; Behördenanfragen

    1. Betroffenenrechte. Unter Berücksichtigung der Art der Verarbeitung unterstützt Keycafe den Kunden in angemessenem Umfang mittels Produktfunktionen und Support bei der Beantwortung von Betroffenenanfragen. Unterstützung, die über die Produktfunktionen hinausgeht oder übermäßig bzw. wiederholt erfolgt, kann nach tatsächlichem Zeitaufwand in Rechnung gestellt werden.
    2. Sicherheitsvorfälle und Verletzungen des Schutzes personenbezogener Daten. Keycafe benachrichtigt den Kunden unverzüglich und, soweit möglich, innerhalb von 72 Stunden nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten des Kunden und stellt die zu diesem Zeitpunkt verfügbaren Informationen zur Verfügung, ergänzt um Aktualisierungen. Zur Klarstellung: erfolglose Versuche oder Aktivitäten, die die Sicherheit nicht beeinträchtigen, sind keine Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung oder Reaktion von Keycafe stellt kein Anerkenntnis eines Verschuldens oder einer Haftung dar.
    3. Datenschutz-Folgenabschätzungen und Konsultationen. Keycafe stellt angemessene Informationen zur Verfügung, um den Kunden bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden zu unterstützen, soweit die Verarbeitung durch Keycafe betroffen ist; Tätigkeiten, die über angemessene Bemühungen hinausgehen, können nach tatsächlichem Zeitaufwand berechnet werden.
    4. Anfragen von Behörden und Aufsichtsstellen. Keycafe reagiert auf Anfragen von Regierungs-, Strafverfolgungs- oder Aufsichtsbehörden in Bezug auf personenbezogene Daten des Kunden nicht, außer um den Eingang zu bestätigen und die Behörde an den Kunden zu verweisen, es sei denn, Keycafe ist gesetzlich verpflichtet zu antworten. Soweit zulässig, informiert Keycafe den Kunden unverzüglich über die Anfrage, prüft deren Rechtmäßigkeit und legt nur die minimal erforderlichen Informationen offen. Keycafe dokumentiert seine Prüfung und Antworten und stellt diese dem Kunden auf Anfrage zur Verfügung.

  8. Auskunfts- und Auditrechte

    Auf schriftliche Anfrage höchstens einmal innerhalb von 12 Monaten (außer bei berechtigten aufsichtsbehördlichen Anforderungen oder nach einer Verletzung des Schutzes personenbezogener Daten) stellt Keycafe aktuelle Prüfberichte oder Zertifizierungen von Dritten (z. B. SOC/ISO), Richtlinien und Sicherheitszusammenfassungen zur Verfügung, die ausreichen, um die Prüfungspflichten gemäß diesem AVV und den SCC zu erfüllen. Hält der Kunde diese Informationen nach Prüfung vernünftigerweise für unzureichend, kann der Kunde eine Vor-Ort-Prüfung relevanter Systeme und Einrichtungen durchführen (oder einen unabhängigen, von beiden Parteien akzeptierten Prüfer damit beauftragen), mit 30-tägiger Vorankündigung, beschränkt auf einen Geschäftstag, während der üblichen Geschäftszeiten und auf solche Systeme, die personenbezogene Daten des Kunden verarbeiten. Der Vor-Ort-Zugang setzt voraus, dass der Prüfer eine Vertraulichkeitsvereinbarung unterzeichnet, die mindestens so schützend ist wie die Vereinbarung, und einem schriftlichen Prüfplan (Umfang, Unterlagen, Zeitplan) zustimmt. Prüfungen unterliegen der Vertraulichkeit, den Sicherheitsanforderungen und angemessenen Gebühren nach tatsächlichem Zeitaufwand für Begleitung und Support. Prüfungen nach Verletzungen des Schutzes personenbezogener Daten oder auf Anordnung einer Aufsichtsbehörde können nach Bedarf erfolgen. Informationen und Prüfergebnisse dürfen auf Anfrage mit einer zuständigen Aufsichtsbehörde geteilt werden.

  9. Internationale Datenübermittlungen

    1. EU/EWR. Soweit personenbezogene Daten des Kunden in ein Land ohne Angemessenheitsbeschluss an Keycafe übermittelt werden, gelten die SCC (Modul 2) als durch Verweis in diesen AVV aufgenommen und mit Annahme der Bedingungen von den Parteien geschlossen. Anlage I/II/III zu den SCC wird durch Anlage I/II/III dieses AVV erfüllt. Die sogenannte „Andockklausel“ (Docking Clause) findet Anwendung.
    2. Vereinigtes Königreich. Für Übermittlungen aus dem Vereinigten Königreich gelten das UK IDTA bzw. der UK-Zusatz zu den SCC als einbezogen und mit Annahme der Bedingungen als abgeschlossen; die ausgefüllten Tabellen ergeben sich aus den Anlagen I–III und den Angaben in den Bedingungen.
    3. Schweiz. Für Übermittlungen aus der Schweiz gelten die SCC in der durch die Leitlinien des Schweizerischen EDÖB modifizierten Fassung (Verweise auf die DSGVO umfassen das schweizerische DSG; zuständige Aufsichtsbehörde ist der EDÖB).
    4. Zusätzliche Maßnahmen. Keycafe implementiert zusätzliche Maßnahmen, soweit gesetzlich erforderlich, und informiert den Kunden, wenn Keycafe die SCC bzw. das IDTA nicht mehr einhalten kann.
    5. Datenstandort. Die Verarbeitung darf in allen Rechtsordnungen erfolgen, in denen Keycafe oder seine Unterauftragsverarbeiter tätig sind, vorbehaltlich dieses Abschnitts 9 und des anwendbaren Datenschutzrechts.
    6. Kanada-Angemessenheit (informativ). Soweit Keycafe über ein in Kanada ansässiges Unternehmen gemäß PIPEDA handelt, kann die EU-/UK-Angemessenheit für Übermittlungen nach Kanada gelten. Diese Erwägung beschränkt oder ersetzt die SCC bzw. den UK-Zusatz nicht, die für andere Standorte und Weiterübermittlungen weiterhin maßgeblich bleiben.

  10. Herausgabe und Löschung

    Nach Beendigung oder Ablauf der relevanten Dienste wird Keycafe nach schriftlicher Wahl des Kunden innerhalb von 30 Tagen entweder eine Self-Service-Exportfunktion bereitstellen oder die personenbezogenen Daten des Kunden anderweitig in einem gängigen, maschinenlesbaren Format zur Verfügung stellen (ohne individuelle ETL-Prozesse oder kundenspezifische Exporte), oder diese löschen bzw. anonymisieren. Übt der Kunde dieses Recht auf Herausgabe innerhalb dieses Zeitraums nicht aus, löscht bzw. anonymisiert Keycafe die Daten innerhalb von 90 Tagen, vorbehaltlich gesetzlicher Aufbewahrungspflichten. Die Löschung aus Sicherungen erfolgt durch Überschreiben im Rahmen des regulären Aufbewahrungszyklus; eine vorgezogene Löschung ist nicht erforderlich. Keycafe darf anonymisierte bzw. aggregierte Daten zu legitimen Geschäftszwecken beibehalten.

  11. Service-Provider-Bestimmungen nach CPRA/CCPA (USA)

    Für „Personal Information“ aus Kalifornien handelt Keycafe als „Service Provider“ (Dienstleister) und wird: (i) diese Personal Information nicht verkaufen oder teilen; (ii) sie nicht außerhalb der geschäftlichen Zwecke der Bereitstellung der Produkte verwenden oder offenlegen (einschließlich zur Aufrechterhaltung oder Verbesserung der Sicherheit und soweit gesetzlich zulässig); (iii) sie nicht mit anderen Daten zusammenführen, außer soweit nach CPRA zulässig (z. B. zur Erkennung von Sicherheitsvorfällen oder zur Verbesserung der Dienste); (iv) diese Beschränkungen an Unterauftragsverarbeiter weitergeben; und (v) bestätigen, dass Keycafe diese Verpflichtungen versteht und einhält.

  12. Haftung; Vorrang

    Die Haftung nach diesem AVV unterliegt den in den Bedingungen festgelegten Haftungsbeschränkungen und -ausschlüssen und erweitert diese nicht. Nichts in diesem AVV ist dahin gehend zu verstehen, dass die Haftung von Keycafe über die Bedingungen hinaus ausgedehnt wird. Zur Klarstellung bleiben Servicegutschriften und andere ausschließliche Rechtsbehelfe in den Bedingungen anwendbar.

  13. Anwendbares Recht; Rangfolge

    Für diesen AVV gelten die Bestimmungen zu anwendbarem Recht und Streitbeilegung gemäß den Bedingungen. Bei Konflikten im Zusammenhang mit der Verarbeitung personenbezogener Daten geht dieser AVV vor; in allen anderen Fällen gelten die Bedingungen.

  14. Laufzeit

    Dieser AVV gilt, solange Keycafe personenbezogene Daten des Kunden im Auftrag des Kunden gemäß den Bedingungen verarbeitet.

  15. Fortgeltung

    Die Abschnitte 4, 5, 6 (soweit sich Pflichten ihrer Natur nach fortsetzen), 7(d), 8, 9, 10, 12, 13 sowie die Anlagen I–III bleiben nach Beendigung in Kraft.

Anlage I – Einzelheiten der Datenverarbeitung (Art. 28 DSGVO und SCC)

  1. Parteien und Kontaktdaten

    • Datenexporteur (Verantwortlicher): Kunde (Kontakt: wie im Konto des Kunden angegeben).
    • Datenimporteur (Auftragsverarbeiter): Keycafe (Kontakt: privacy@keycafe.com).

  2. Beschreibung der Verarbeitung

    • Gegenstand: Bereitstellung, Betrieb und Support der Produkte gemäß den Bedingungen.
    • Dauer: Die Abonnementlaufzeit und etwaige Abwicklungs-/Aufbewahrungszeiträume gemäß Abschnitt 10 dieses AVV.
    • Art und Zweck: Hosting, Speicherung, Übertragung, Zugriffsverwaltung, Telemetrie-Protokolle, Support und Sicherheit der Produkte.
    • Kategorien betroffener Personen: Mitarbeiter bzw. Beauftragte des Kunden; Endnutzer des Kunden; Gäste/Besucher, die vom Kunden benannt werden.
    • Kategorien personenbezogener Daten: Identifikations- und Kontaktdaten (z. B. Name, E-Mail, Telefonnummer); Konto-Kennungen; Geräte- und Nutzungsprotokolle; Zugriffs-/Transaktionsereignisse; optionale Standort-/GPS-Daten, sofern aktiviert; alle sonstigen personenbezogenen Daten, die der Kunde übermittelt.
    • Besondere Kategorien personenbezogener Daten: Nicht vorgesehen; sollten solche Daten dennoch vom Kunden übermittelt werden, vereinbaren die Parteien geeignete Schutzmaßnahmen.
    • Häufigkeit der Übermittlung: Fortlaufend nach Bedarf.
    • Verarbeitungsanweisungen: Wie in den Bedingungen, diesem AVV sowie in den dokumentierten Konfigurationen und Anfragen des Kunden festgelegt.
    • Aufbewahrung: Gemäß Abschnitt 10 dieses AVV.

  3. Zuständige Aufsichtsbehörde

    • Für EU-SCC: Die für den Exporteur zuständige Aufsichtsbehörde gemäß DSGVO.
    • Für Übermittlungen aus der Schweiz: Der EDÖB.
    • Für Übermittlungen aus dem Vereinigten Königreich: Die ICO (gemäß UK-Zusatz).

Anlage II – Technische und organisatorische Sicherheitsmaßnahmen

Keycafe unterhält der Risikolage angemessene Maßnahmen, darunter insbesondere:

  • Zugangskontrollen: Rollenbasierte Zugriffssteuerung, Multi-Faktor-Authentifizierung für privilegierte Zugriffe, Prinzip der geringsten Rechte, regelmäßige Zugriffsüberprüfungen.
  • Verschlüsselung: Verschlüsselung bei der Übertragung; Verschlüsselung ruhender Daten für primäre Datenspeicher, soweit angemessen; Richtlinien zum Schlüsselmanagement.
  • Netzwerk- und Infrastruktursicherheit: Segmentierung, Firewalls, DDoS-Schutz, sichere Konfigurationsstandards, Schwachstellenmanagement und Patch-Management.
  • Applikationssicherheit: Sicherer Softwareentwicklungsprozess (Secure SDLC), Code-Reviews, Abhängigkeitsmanagement, Secrets-/Credential-Management, Protokollierung/Monitoring.
  • Betriebliche Sicherheit: Incident-Response-Plan, Überwachung von Sicherheitsereignissen, Backup-/Restore-Tests, Change-Management.
  • Physische Sicherheit: Nutzung von Rechenzentren mit branchenüblichen Schutzmaßnahmen.
  • Personal und Schulung: Hintergrundüberprüfungen, soweit zulässig; Schulungen zu Vertraulichkeit, Sicherheit und Datenschutz.
  • Drittrisiko-Management: Sorgfaltsprüfungen und vertragliche Kontrollen für Unterauftragsverarbeiter; regelmäßige Neubewertung.
  • Tests und Audits: Penetrationstests und/oder unabhängige Bewertungen, die dem Risikoprofil angemessen sind.

Anlage III – Unterauftragsverarbeiter

Es gilt Anlage 6 (Unterauftragsverarbeiter) zu den Bedingungen. Zur Klarstellung: Die Veröffentlichung einer Aktualisierung der in Anlage 6 genannten Liste gilt als Mitteilung über eine Änderung. Widerspruchsrechte und Rechtsbehelfe richten sich nach den Abschnitten 6(c)–(d) dieses AVV.

Ausführung. Die Parteien vereinbaren, dass dieser AVV (einschließlich der einbezogenen SCC/IDTA) mit Annahme der Bedingungen durch den Kunden als von den Parteien geschlossen gilt und mit dieser Annahme wirksam wird.

Schließen