Data Processing Agreement (DPA)

1. Parteien

Auftragsverarbeiter ist die GD Green Dopamine GmbH, Seehügelweg 1f, 9500 Villach, Österreich (UID-Nr.: ATU78344267). Verantwortlicher ist der in der jeweiligen Order Form benannte Auftraggeber. Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO; der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.

2. Gegenstand, Zweck und Dauer

Die Verarbeitung erfolgt im Rahmen des Managed Service „FinOptory for SAP RISE" gemäß der Leistungsbeschreibung. Der Auftragnehmer betreibt eine SaaS-Plattform zur vertraglichen und wirtschaftlichen Steuerung von SAP-RISE-Verträgen. Die Verarbeitung umfasst die Speicherung und Verwaltung von Nutzerkonten, die Verarbeitung von Kontaktdaten vertragsbeteiligter Personen, die Analyse und Aufbereitung von Vertragsdokumenten (die personenbezogene Daten enthalten können), die Protokollierung von Nutzeraktivitäten zu Audit- und Nachweiszwecken sowie die KI-gestützte Analyse von Vertragsinhalten zur Entscheidungsunterstützung. Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Vertragsverhältnisses; nach Vertragsende gelten die Regelungen in Abschnitt 8.

3. Datenkategorien und betroffene Personen

Verarbeitet werden Stammdaten (Vor- und Nachname, geschäftliche E-Mail-Adresse), Kontaktdaten (geschäftliche Telefonnummer, soweit bereitgestellt), Organisationsdaten (Unternehmenszugehörigkeit, Abteilung, Funktion/Rolle), Nutzungsdaten (Login-Zeitpunkte, durchgeführte Aktionen auf der Plattform im Audit-Log) sowie personenbezogene Daten, die in vom Auftraggeber hochgeladenen Vertragsdokumenten enthalten sind. Betroffene Personen sind Mitarbeiter und Beauftragte des Auftraggebers mit Plattformzugang, Ansprechpartner im Kontext der verwalteten SAP-RISE-Verträge sowie in Vertragsdokumenten genannte natürliche Personen.

4. Weisungen und Vertraulichkeit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die in diesem DPA und der Leistungsbeschreibung festgelegten Zwecke gelten als Weisung; darüber hinausgehende Weisungen bedürfen der Schriftform (E-Mail genügt). Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, weist er den Auftraggeber unverzüglich darauf hin und ist berechtigt, die Durchführung bis zur Klärung auszusetzen. Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt die folgenden Maßnahmen um und hält diese für die Dauer der Verarbeitung aufrecht.

Zugangs- und Zugriffskontrolle. Die Authentifizierung erfolgt über E-Mail/Passwort oder Single Sign-On (Azure Entra ID). Multi-Faktor-Authentifizierung (MFA) ist für alle Nutzer verpflichtend. Der Zugriff wird über ein rollenbasiertes Berechtigungsmodell (Owner, Admin, Member, Viewer) gesteuert; Sitzungen werden nach Inaktivität automatisch beendet.

Mandantentrennung. Jeder Auftraggeber erhält einen eigenen Mandanten mit vollständiger logischer Datentrennung auf Datenbankebene (Mandanten-ID). Row-Level Security (RLS) ist auf allen datenhaltenden Tabellen aktiv; der Zugriff innerhalb eines Mandanten ist zusätzlich vertragsbezogen eingeschränkt.

Verschlüsselung. Alle Verbindungen sind mit TLS 1.2 oder höher transportverschlüsselt. Ruhende Daten in Datenbank und Dateispeicher sind mit AES-256 verschlüsselt. Hochgeladene Vertragsdokumente werden in einem separaten, verschlüsselten Speicher abgelegt.

Protokollierung. Alle datenschutzrelevanten Aktivitäten werden lückenlos im Audit-Log erfasst. Jeder Eintrag umfasst den Nutzer, die durchgeführte Aktion, den Zeitstempel sowie die betroffene Entität.

Verfügbarkeit. Die Plattform wird auf professioneller Cloud-Infrastruktur mit automatischer Skalierung betrieben. Regelmäßige Datensicherungen, Monitoring und Alerting gewährleisten die Verfügbarkeit und Belastbarkeit des Systems. Der Auftragnehmer überprüft die Wirksamkeit dieser Maßnahmen regelmäßig und passt sie dem Stand der Technik an.

6. Unterauftragnehmer

Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragnehmer:

Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor dem geplanten Einsatz eines neuen oder dem Wechsel eines bestehenden Unterauftragnehmers in Textform. Der Auftraggeber kann innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichen Grund widersprechen; können die Parteien keine einvernehmliche Lösung finden, steht dem Auftraggeber ein Sonderkündigungsrecht zu. Der Auftragnehmer stellt durch vertragliche Vereinbarungen sicher, dass die Unterauftragnehmer den datenschutzrechtlichen Pflichten dieses DPA gleichwertig nachkommen.

7. Drittlandtransfers

Soweit personenbezogene Daten in Drittländer übermittelt werden, stellt der Auftragnehmer ein angemessenes Datenschutzniveau sicher — insbesondere durch EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 und, soweit anwendbar, durch Angemessenheitsbeschlüsse der Europäischen Kommission. Der Auftragnehmer informiert den Auftraggeber, wenn er Kenntnis von Umständen erlangt, die das vereinbarte Schutzniveau gefährden könnten.

8. Löschung und Rückgabe

Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten. Der Auftraggeber kann innerhalb von vier (4) Wochen nach Vertragsende einen Export aller Daten in einem marktüblichen Format anfordern. Nach Ablauf dieser Frist oder nach erfolgtem Export werden alle Daten unwiderruflich gelöscht; der Auftragnehmer bestätigt dies auf Verlangen schriftlich. Gesetzliche Aufbewahrungspflichten bleiben unberührt — betroffene Daten werden bis zum Ablauf der jeweiligen Frist gesperrt.

9. Unterstützung und Meldepflichten

Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO). Anfragen, die direkt beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet. Verletzungen des Schutzes personenbezogener Daten meldet der Auftragnehmer dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, unter Angabe der Art der Verletzung, der betroffenen Datenkategorien und Personengruppen, der voraussichtlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen. Sofern eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich ist, unterstützt der Auftragnehmer den Auftraggeber im erforderlichen Umfang.

10. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Der Auftraggeber oder ein von ihm beauftragter Prüfer ist berechtigt, die Einhaltung dieses DPA durch Inspektionen zu überprüfen. Inspektionen sind mit mindestens 14 Tagen Vorlaufzeit anzukündigen und so durchzuführen, dass der Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigt wird.

11. Schlussbestimmungen

Bei Widersprüchen zwischen diesem DPA und der Leistungsbeschreibung oder den AGB gehen die Regelungen dieses DPA in datenschutzrechtlichen Fragen vor. Das DPA unterliegt dem Recht der Republik Österreich; ergänzend gilt die DSGVO unmittelbar. Sollten einzelne Bestimmungen dieses DPA unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.