Rechtliches
Auftragsverarbeitungsvertrag
Datum des Inkrafttretens
9. Juli 2026
1. Parteien und Hintergrund
Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen Notakey Latvia, SIA, einheitliche Registrierungsnummer 40103993632, eingetragener Sitz Ganu iela 3 – 12, Rīga, LV-1010, Lettland („Notakey“ oder der „Auftragsverarbeiter“) und dem im jeweiligen Bestellformular oder Abonnement bezeichneten Kunden („Kunde“ oder der „Verantwortliche“). Er ist Bestandteil der Nutzungsbedingungen von Notakey (der „Vertrag“) und in diese einbezogen.
Dieser AVV gilt, soweit Notakey im Rahmen der Erbringung der Dienste personenbezogene Daten im Auftrag des Kunden verarbeitet, im Sinne der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO“). Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „betroffene Person“ haben die in der DSGVO festgelegte Bedeutung.
2. Gegenstand, Dauer, Art und Zweck
Gegenstand: die Bereitstellung der Notakey-Dienste für Authentifizierung und Transaktionssignierung (notakey.cloud oder die Notakey-Appliance, zusammen mit der mobilen Notakey-Anwendung) für den Kunden.
Dauer: die Laufzeit des Vertrags zuzüglich des Zeitraums bis zur Löschung oder Rückgabe aller personenbezogenen Daten des Kunden gemäß Ziffer 10.
Art und Zweck: Hosting, Übermittlung und Verarbeitung von Authentifizierungs- und Transaktionsfreigabedaten, damit die autorisierten Nutzer des Kunden Geräte registrieren, Genehmigungsanfragen empfangen und Authentifizierungs- und Signaturvorgänge genehmigen oder ablehnen können.
Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer, Kunden, Mitglieder oder sonstige Endnutzer des Kunden, die der Kunde in den Diensten registriert.
Arten personenbezogener Daten: Nutzerkennungen (etwa Benutzername, E-Mail-Adresse oder Telefonnummer); Daten zur Verifizierung der Registrierung (etwa per SMS oder WhatsApp zugestellte Einmalcodes, Verzeichnis- oder OpenID-Connect-Assertions oder die manuelle Genehmigung durch einen Administrator); Gerätedaten (Gerätemodell, Betriebssystemversion, Push-Benachrichtigungs-Token, öffentlicher Schlüssel und Gerätezertifikat); sowie Authentifizierungs-/Genehmigungsaktivität (Anfrage-Metadaten, Genehmigungs-/Ablehnungsergebnisse, Zeitstempel, Signaturen). Private Schlüssel werden auf den Geräten der Endnutzer erzeugt und gespeichert und werden zu keinem Zeitpunkt an Notakey übermittelt oder von Notakey aufbewahrt. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) ist nicht beabsichtigt; die biometrische Verifizierung erfolgt, soweit sie verwendet wird, vollständig auf dem Gerät des Endnutzers und wird von Notakey nicht empfangen.
3. Rollen und Weisungen
Der Kunde ist der Verantwortliche und Notakey der Auftragsverarbeiter für die personenbezogenen Daten des Kunden. Notakey verarbeitet die personenbezogenen Daten des Kunden nur auf dokumentierte Weisung des Kunden, einschließlich der Festlegungen im Vertrag, in diesem AVV und in der Konfiguration der Dienste durch den Kunden, es sei denn, die Verarbeitung ist nach dem Recht der EU oder eines Mitgliedstaats, dem Notakey unterliegt, erforderlich — in diesem Fall informiert Notakey den Kunden vor der Verarbeitung über diese rechtliche Anforderung, sofern das betreffende Recht dies nicht verbietet. Notakey informiert den Kunden, wenn eine Weisung nach seiner Auffassung gegen die DSGVO verstößt.
4. Vertraulichkeit
Notakey stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen an vertragliche oder gesetzliche Vertraulichkeitspflichten gebunden sind.
5. Sicherheit
Notakey trifft und unterhält geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, wie in Artikel 32 DSGVO gefordert. Die aktuellen Maßnahmen sind in Anlage 2 beschrieben. Notakey kann sie von Zeit zu Zeit aktualisieren, sofern das Schutzniveau insgesamt nicht verringert wird.
6. Unterauftragsverarbeiter
Der Kunde erteilt Notakey die allgemeine Genehmigung, die in Anlage 3 aufgeführten Unterauftragsverarbeiter einzusetzen. Notakey benachrichtigt den Kunden mindestens 30 Tage vor der Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters; der Kunde kann innerhalb dieser Frist aus angemessenen datenschutzrechtlichen Gründen Einspruch erheben; in diesem Fall bemühen sich die Parteien nach Treu und Glauben um eine Lösung, und gelingt dies nicht, kann der Kunde die betroffenen Dienste kündigen. Notakey erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die den Pflichten aus diesem AVV entsprechen, und bleibt für deren Erfüllung verantwortlich.
7. Unterstützung des Kunden
Unter Berücksichtigung der Art der Verarbeitung unterstützt Notakey den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, auf Anträge betroffener Personen zu reagieren (Kapitel III DSGVO), sowie bei den Pflichten des Kunden nach den Artikeln 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation), jeweils auf angemessene Anfrage des Kunden. Wendet sich eine betroffene Person wegen der Nutzung der Dienste durch den Kunden direkt an Notakey, leitet Notakey den Antrag unverzüglich an den Kunden weiter.
8. Meldung von Verletzungen des Schutzes personenbezogener Daten
Notakey benachrichtigt den Kunden unverzüglich, nachdem Notakey Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die personenbezogene Daten des Kunden betrifft, und stellt die Notakey vernünftigerweise verfügbaren Informationen bereit, um den Kunden bei der Erfüllung seiner eigenen Meldepflichten nach den Artikeln 33 und 34 DSGVO zu unterstützen; die Meldung wird ergänzt, sobald weitere Informationen verfügbar werden.
9. Internationale Übermittlungen
Notakey verarbeitet die personenbezogenen Daten des Kunden im Europäischen Wirtschaftsraum. notakey.cloud wird auf Oracle Cloud Infrastructure gehostet. Verarbeitet ein Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR (siehe Anlage 3), stellt Notakey sicher, dass eine geeignete Übermittlungsgarantie besteht, etwa die Standardvertragsklauseln der Europäischen Kommission oder ein Angemessenheitsbeschluss (einschließlich des Datenschutzrahmens EU–USA (EU–US Data Privacy Framework), sofern der Empfänger zertifiziert ist).
10. Löschung und Rückgabe von Daten
Nach Beendigung oder Ablauf der Dienste wird Notakey nach Wahl des Kunden alle personenbezogenen Daten des Kunden löschen oder zurückgeben und vorhandene Kopien unverzüglich löschen, sofern nicht das Recht der EU oder eines Mitgliedstaats eine weitere Speicherung verlangt.
11. Prüfungen (Audits)
Notakey stellt dem Kunden alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieses AVV vernünftigerweise erforderlich sind, und ermöglicht und unterstützt Prüfungen (Audits), einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden, vorbehaltlich einer angemessenen Vorankündigung, höchstens einmal in einem Zeitraum von 12 Monaten (sofern nicht eine Verletzung des Schutzes personenbezogener Daten oder eine Aufsichtsbehörde etwas anderes erfordert), während der üblichen Geschäftszeiten und unter Wahrung von Vertraulichkeitspflichten. Notakey kann einem Prüfungsersuchen zunächst dadurch nachkommen, dass es vorhandene Prüfberichte oder Zertifizierungen bereitstellt, sofern diese den Umfang des Ersuchens angemessen abdecken.
12. Haftung und Rangfolge
Die Haftung jeder Partei aus diesem AVV unterliegt den Haftungsbeschränkungen des Vertrags. Bei Widersprüchen zwischen diesem AVV und dem Vertrag in Bezug auf die Verarbeitung personenbezogener Daten hat dieser AVV Vorrang.
Anlage 1 — Einzelheiten der Verarbeitung
Wie in Ziffer 2 dieses AVV festgelegt (Gegenstand, Dauer, Art und Zweck, Kategorien betroffener Personen und Arten personenbezogener Daten).
Anlage 2 — Technische und organisatorische Maßnahmen
- Private Schlüssel der Endnutzer werden im hardwaregestützten sicheren Speicher des Geräts erzeugt und gespeichert und zu keinem Zeitpunkt an Notakey übermittelt oder von Notakey aufbewahrt; jede Genehmigung wird auf dem Gerät kryptografisch signiert.
- Daten werden bei der Übertragung mit TLS verschlüsselt.
- Die Inhalte von Genehmigungsanfragen werden erst an das Gerät zugestellt, nachdem der Nutzer die Push-Benachrichtigung angenommen hat; Push-Anbieter (APNs/FCM) erhalten Token, nicht den Inhalt der Anfragen.
- Weitere Einzelheiten zu den technischen und organisatorischen Maßnahmen von Notakey erhält der Kunde auf Anfrage unter info@notakey.com.
Anlage 3 — Genehmigte Unterauftragsverarbeiter
- Oracle Cloud Infrastructure — Hosting von notakey.cloud.
- Apple Inc. (Apple Push Notification Service) — Zustellung von Push-Benachrichtigungen an iOS-Geräte.
- Google LLC (Firebase Cloud Messaging) — Zustellung von Push-Benachrichtigungen an Android-Geräte.
- Functional Software, Inc. (Sentry) — Diagnose von Anwendungsfehlern und Abstürzen.
Sieht die Onboarding-Konfiguration des Kunden die Zustellung von Einmalcodes per SMS oder WhatsApp vor, erhält der Anbieter der Nachrichtenzustellung die Telefonnummer des Endnutzers zu Zustellzwecken. Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage unter info@notakey.com erhältlich.