top of page

AVV - Anlage 2

​​​​​​​​

​

1. ANWENDUNGSBEREICH​

 

1.1 Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) ist Bestandteil des Plattformvertrags über die Nutzung der SaaS Plattform („SaaS AGB“) zwischen Neuroforge und dem Auftraggeber. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

​

1.2 Die Vereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Neuroforge, einschließlich den Beschäftigten der Neuroforge oder den von ihr beauftragten Dienstleistern, mit personenbezogenen Daten des Auftraggebers in Berührung kommen können und diese im Auftrag des Auftraggebers verarbeiten.

​

​

2. GEGENSTAND; ART, UMFANG UND ZWECK

​

2.1 Die Beschreibung der Verarbeitung im Auftrag mit den Angaben über Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Kategorien der personenbezogenen Daten sowie Kategorien der betroffenen Personen ergibt sich aus dem Hauptvertrag in Verbindung mit seinen Anlagen und aus dem Anhang 1 zu dieser Vereinbarung. Änderungen des Anhangs 1 sind abzustimmen und schriftlich zu dokumentieren.

​

2.2 Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.

​

​

3. WEISUNGSBEFUGNIS DES AUFTRAGGEBERS

​

3.1 Die Neuroforge verarbeitet die personenbezogenen Daten im Rahmen der Beauftragung ausschließlich gemäß den Regelungen dieser Vereinbarungen sowie den Weisungen des Auftraggebers, sofern Neuroforge nicht durch das Recht der EU oder dem Recht der Bundesrepublik Deutschland als Recht des Mitgliedstaats, dem Neuroforge unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In einem solchen Fall teilt Neuroforge dem Auftraggeber diese rechtlichen Anforderungen mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.

​

3.2 Das Weisungsrecht des Auftraggebers betrifft den Umfang, die Art und das Verfahren der Datenverarbeitung. Falls Weisungen die unter dieser Vereinbarung Anhang 1 zu dieser Vereinbarung getroffenen Festlegungen ändern, aufheben oder ergänzen, sind diese von den Parteien gemeinsam abzustimmen und zu in Schriftform dokumentieren. Die Neuroforge verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

​

3.3 Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Auf Verlangen wird der Auftraggeber eine mündlich oder telefonisch erteilte Weisungen mindestens in Textform bestätigen. Ungeachtet dessen, hat Neuroforge sämtliche ihm erteilten Weisungen zu dokumentieren.

​

3.4 Die Neuroforge wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung ihrer Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist Neuroforge nach vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder die Parteien zum Ergebnis kommen, dass kein Verstoß gegen Datenschutzrecht vorliegt.

​

​

4. UNTERSTÜTZUNGSPFLICHTEN VON Neuroforge

​

4.1 Die Neuroforge hat den Auftraggeber bei der Wahrung der Rechte und Erfüllung der Ansprüche der betroffenen Personen aus Kapitel III der DSGVO, insbesondere bei der Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten, sowie bei der Bereitstellung von Informationen und Daten für betroffene Personen angemessen zu unterstützen, insbesondere durch geeignete technische und organisatorische Maßnahmen, und entsprechend den Weisungen des Auftraggebers zu agieren.

​

4.2 Die Neuroforge hat den Auftraggeber bei der Durchführung einer Datenschutzfolgeabschätzung und - soweit erforderlich - der Konsultation der zuständigen Datenschutzaufsichtsbehörde zu unterstützen.

​

4.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an Neuroforge wendet, wird diese den Auftraggeber hierüber unverzüglich informieren und alle weiteren Schritte mit dem Auftraggeber abstimmen. Die Neuroforge darf Auskünfte an betroffene Personen nur nach vorheriger Weisung durch den Auftraggeber erteilen.

​

​

5. DATENÜBERMITTLUNG; DRITTLANDSTRANSFER

​

5.1 Die Verarbeitung personenbezogener Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union („EU“) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Jede Verlagerung in ein Drittland (einschließlich der Übermittlung in ein und Zugriff aus einem Drittland) ist nur zulässig, soweit der Auftraggeber seine Zustimmung erteilt und die zusätzlichen Voraussetzungen gemäß Art. 44 ff DSGVO für die Übermittlung in ein Drittland erfüllt sind.

​

5.2 Falls ein Unterauftragnehmer von Neuroforge beauftragt werden soll, der in einem Drittland sitzt, gelten zusätzlich die spezifischen Bestimmungen in Ziff. 10 dieser Vereinbarung.

​

​

6. VERTRAULICHKEIT

​

6.1 Die Neuroforge verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Die Neuroforge sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter sowie die sonstigen Neuroforge unterstellten Personen mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und diese sich schriftlich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Neuroforge überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Auskünfte an Dritte oder den Betroffenen darf Neuroforge nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

​

6.2 Ziff. 19 des Hauptvertrags bleibt unberührt.

​

​

7. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

​

7.1 Die Neuroforge hat dafür zu sorgen und hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen umgesetzt werden, sodass die Verarbeitung im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Eine Übersicht über die eingesetzten technischen und organisatorischen Maßnahmen ist in Anhang 3 zu dieser Vereinbarung enthalten.

​

7.2 Die Neuroforge kontrolliert regelmäßig die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

​

7.3 Die Neuroforge kann die technischen und organisatorischen Maßnahmen im Laufe des Auftragsverhältnisses aufgrund der technischen und organisatorischen Weiterentwicklung nach eigenem Ermessen ohne Einwilligung bzw. Zustimmung des Auftraggebers anpassen. Dabei müssen die angepassten Maßnahmen mindestens dem bisherigen Sicherheitsniveau entsprechen. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen sind dem Auftraggeber anzuzeigen.

​

 

8. INFORMATIONSPFLICHTEN; VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

​

8.1 Die Neuroforge hat den Auftraggeber unverzüglich über jegliche Verarbeitung von personenbezogenen Daten außerhalb des in dieser Vereinbarung bestimmten Umfangs zu unterrichten sowie über jegliche Verstöße gegen die anwendbaren gesetzlichen datenschutzrechtlichen Vorschriften oder gegen in dieser Vereinbarung enthaltenen Vorgaben. Dies gilt insbesondere bei Störungen oder anderen Beeinträchtigungen der von Neuroforge eingesetzten Datenverarbeitungssysteme.

​

8.2 Die Neuroforge wird unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Vertraulichkeit, Integrität und/oder Verfügbarkeit der unter dieser Vereinbarung verarbeiteten personenbezogenen Daten zu minimieren und zu beseitigen, die Daten zu sichern und mögliche nachteilige Folgen für betroffene Personen zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen.

​

8.3 Im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, wird Neuroforge den Auftraggeber angemessen bei der Erfüllung der gesetzlichen Melde- und Informationspflichten unterstützen. Die Neuroforge wird dem Auftraggeber zu diesem Zweck die erforderlichen Informationen über die Verletzung des Schutzes personenbezogener Daten unverzüglich bereitstellen, soweit diese bei ihr vorhanden sind. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann Neuroforge diese schrittweise zur Verfügung stellen.

​

8.4 Die Regelungen dieser Ziff. 8 gelten entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern der Neuroforge ausgeführt werden.

​

​

9. KONTROLLRECHTE DES AUFTRAGGEBERS

​

9.1 Der Auftraggeber ist berechtigt, die Einhaltung der in dieser Vereinbarung getroffenen Regelungen sowie der anwendbaren datenschutzrechtlichen Vorgaben in angemessenem Umfang zu kontrollieren, soweit sie die Verarbeitung der Daten des Auftraggebers betreffen. Als Nachweis kann Neuroforge aktuelle, aussagekräftige Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), Nachweise der Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder eine geeignete Zertifizierung gemäß Art. 42 DSGVO vorlegen. Das eigene Kontroll- und Überprüfungsrecht durch den Auftraggeber bleibt hiervon unberührt.

​

9.2 Der Auftraggeber ist bei Vorliegen eines wichtigen Grundes berechtigt, die Geschäftsräume Neuroforge zu betreten und dort Vor-Ort-Kontrollen durchzuführen. Ein wichtiger Grund liegt beispielsweise vor, wenn die vorgelegten Nachweise unzureichend sind oder aus den Nachweisen oder aus sonstigen Gründen die berechtigte Sorge besteht, dass die Vorgaben des anwendbaren Datenschutzrechts durch Neuroforge nicht eingehalten werden und/oder Neuroforge die Bestimmungen dieser Vereinbarung verletzt. Der Auftraggeber wird die Vor-Ort-Kontrollen während der üblichen Geschäftszeiten von Neuroforge durchführen und Neuroforge solche Vor-Ort-Kontrollen rechtzeitig vorher ankündigen und mit Neuroforge abstimmen. Die Neuroforge stellt dem Auftraggeber alle von ihm für die Kontrolle benötigten Informationen zur Verfügung. Der Auftraggeber nimmt hierbei die erforderliche Rücksicht auf die Betriebsabläufe und berechtigte Geheimhaltungsinteressen von Neuroforge.

​

9.3 Der Auftraggeber ist berechtigt, die Kontrollhandlungen selbst oder durch einen zur Geheimhaltung verpflichteten Bevollmächtigten vorzunehmen. Die Neuroforge kann der Durchführung der Kontrollhandlungen durch einen Bevollmächtigten bei Vorliegen eines wichtigen Grunds widersprechen. Ein wichtiger Grund liegt beispielsweise vor, wenn Neuroforge in einem Wettbewerbsverhältnis zu dem Bevollmächtigten steht. In diesem Fall sind die Kontrollhandlungen durch den Auftraggeber selbst oder durch einen anderen mit Neuroforge abgestimmten Bevollmächtigten vorzunehmen.

​

9.4 Für die Ermöglichung von Kontrollen kann Neuroforge eine angemessene Vergütung verlangen.

​

​

10. UNTERAUFTRAGNEHMER

​

10.1 Die Neuroforge setzt zur Durchführung der Verarbeitung im Auftrag die in Anhang 2 genannten Unterauftragnehmer ein. Der Auftraggeber stimmt dem Einsatz der dort bei Vertragsschluss genannten Unterauftragnehmer hiermit zu.

​

10.2 Die Neuroforge ist zudem berechtigt, weitere Unterauftragnehmer gemäß den folgenden Bedingungen hinzuziehen oder bestehende Unterauftragnehmer zu ersetzen, vorausgesetzt, dass Neuroforge den Auftraggeber im Vorfeld über die beabsichtige Beauftragung informiert und der Auftraggeber der Beauftragung nicht innerhalb von zwei Wochen widerspricht.

​

10.3 Die Neuroforge stellt vertraglich sicher, dass die in dieser Vereinbarung enthaltenen Datenschutzpflichten auch mit den Unterauftragnehmern in entsprechender Form festgelegt werden, sodass die Grundsätze in Art. 28 Abs. 3 DSGVO gewahrt werden. Dies schließt auch die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen ein. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet Neuroforge gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

​

10.4 Als Unterauftragsverhältnisse im Sinne dieser Vereinbarung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der vereinbarten Leistungen im Rahmen der Zusammenarbeit unter dem Hauptvertrag und seiner Anlagen beziehen. Nicht hierzu gehören Nebenleistungen, die Neuroforge in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern. Soweit erforderlich wird Neuroforge aber auch in diesen Fällen angemessene und gesetzeskonforme Vereinbarungen ergreifen.

​

10.5 Bei einer Beauftragung von Unterauftragnehmern, deren Sitz sich nicht in der EU bzw. dem EWR befindet, gelten zusätzlich die Bestimmungen in Ziff. 5 dieser Vereinbarung entsprechend.

​

​

11. LAUFZEIT

​

Diese Vereinbarung wird für die Dauer des Hauptvertrags geschlossen. Soweit Neuroforge über den Zeitpunkt der Beauftragung hinaus personenbezogene Daten des Auftraggebers verarbeitet, gelten die Regelungen dieser Vereinbarung fort.

​

 

12. LÖSCHUNG UND RÜCKGABE PERSONENBEZOGENER DATEN

​

12.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind (Sicherheits-)Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

​

12.2 Nach Abschluss der vereinbarten Leistungen oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Zusammenarbeit – hat Neuroforge sämtliche in ihren Besitz gelangten Datenbestände, die im Zusammenhang mit der Beauftragung stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen bzw. zu vernichten, sofern für Neuroforge nicht nach dem Recht der Europäischen Union oder dem Recht der Mitgliedsstaaten der Europäischen Union eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Besteht eine solche Verpflichtung zur Speicherung, hat Neuroforge die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Neuroforge hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.

​

​

13. SCHLUSSBESTIMMUNGEN

​

13.1 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht. Die Parteien sind in diesem Fall verpflichtet, unverzüglich in eine nachträgliche Zusatzbestimmung einzuwilligen, die nach Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.

​

13.2 Änderungen und Ergänzungen dieser Vereinbarung erfordern die Schriftform und sind von den Parteien zu unterzeichnen. Dies gilt auch für die Änderung dieses Schriftformerfordernisses.

​

​

Stand: 04. Februar 2026

​

ANHÄNGE ZU DIESER VEREINBARUNG

Anhang 1 – Beschreibung der Verarbeitung

Anhang 2 – Liste der Unterauftragnehmer

Anhang 3 – Beschreibung der technischen und organisatorischen Maßnahmen

bottom of page