Zuletzt aktualisiert: 9. März 2026
Auftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Nutzungsbedingungen („Vereinbarung") zwischen BrickGRC („Auftragsverarbeiter", „wir", „uns") und dem Kunden („Verantwortlicher", „Sie") und regelt die Verarbeitung personenbezogener Daten durch BrickGRC im Auftrag des Kunden im Zusammenhang mit der BrickGRC-Plattform. Dieser AVV wird gemäß Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") geschlossen.
1. Definitionen
„Verantwortlicher" bezeichnet den Kunden, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch die Nutzung der BrickGRC-Plattform bestimmt.
„Auftragsverarbeiter" bezeichnet BrickGRC, das personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des Dienstes verarbeitet.
„Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten im Rahmen dieses AVV verarbeitet werden.
„Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine betroffene Person beziehen, wie in Artikel 4 Absatz 1 der DSGVO definiert.
„Verarbeitung" bezeichnet jeden Vorgang oder jede Vorgangsreihe, der/die an personenbezogenen Daten durchgeführt wird, gleich ob mit oder ohne automatisierte Verfahren, wie in Artikel 4 Absatz 2 der DSGVO definiert.
„Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
„DSGVO" bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
Großgeschriebene Begriffe, die in diesem AVV nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung oder der DSGVO zugewiesen wird, je nach Anwendbarkeit.
2. Geltungsbereich und Rollen
Der Kunde handelt als Verantwortlicher und BrickGRC handelt als Auftragsverarbeiter in Bezug auf personenbezogene Daten, die über den Dienst verarbeitet werden. BrickGRC verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, einschließlich der in diesem AVV und der Vereinbarung festgelegten Weisungen, es sei denn, die Verarbeitung ist nach dem Recht der Europäischen Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, erforderlich. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, dieses Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
BrickGRC informiert den Verantwortlichen unverzüglich, wenn nach seiner Auffassung eine Weisung des Verantwortlichen gegen die DSGVO oder andere geltende Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt.
3. Arten der Verarbeiteten Personenbezogenen Daten
Die Kategorien personenbezogener Daten, die im Rahmen dieses AVV verarbeitet werden, können je nach Nutzung des Dienstes durch den Verantwortlichen umfassen:
Kontodaten: Namen, E-Mail-Adressen, Jobtitel, Organisationsnamen und Authentifizierungsdaten der Benutzer, die auf die Plattform zugreifen.
Compliance-Daten: Informationen in Compliance-Engagements, Arbeitselementen, Reifegraddbewertungen und zugehörigen Datensätzen, die personenbezogene Daten über Personen innerhalb der Organisation des Verantwortlichen enthalten können.
Hochgeladene Dokumente: Dateien, Richtlinien, Verfahren, Nachweisdokumente und andere Materialien, die vom Verantwortlichen hochgeladen werden und personenbezogene Daten enthalten können.
KI-Interaktionsdaten: Prompts, Abfragen und Inhalte, die an KI-gestützte Funktionen wie den Compliance-Assistenten, die Dokumentenintelligenz und die automatische Evidenzverknüpfung übermittelt werden und personenbezogene Daten aus den Compliance-Aufzeichnungen des Verantwortlichen enthalten können.
Mitarbeiterverzeichnisdaten: Wenn der Verantwortliche Integrationen zur Synchronisierung des Mitarbeiterverzeichnisses nutzt (z.B. über HR-System-Bricks), können Mitarbeiternamen, E-Mail-Adressen, Abteilungen, Rollen und zugehörige organisatorische Daten verarbeitet werden.
Audit-Logs: Aufzeichnungen von Benutzeraktionen innerhalb der Plattform, einschließlich Zeitstempel, IP-Adressen, Benutzerkennungen und Beschreibungen der durchgeführten Aktivitäten.
4. Zweck der Verarbeitung
BrickGRC verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der BrickGRC-Plattformdienste wie in der Vereinbarung beschrieben, einschließlich: Betrieb und Wartung der Plattform; Bereitstellung von Funktionen für Compliance-Management, Dokumentenintelligenz, Evidenzverknüpfung, Reifegraddewertung und Berichtserstellung; Bereitstellung KI-gestützter Compliance-Unterstützung; Authentifizierung von Benutzern und Durchsetzung von Zugriffskontrollen; Erstellung von Audit-Trails; Durchführung von Backups und Gewährleistung der Dienstkontinuität; und Bereitstellung von Kundensupport.
BrickGRC verarbeitet personenbezogene Daten nicht für andere Zwecke als die in diesem AVV und der Vereinbarung festgelegten und wird personenbezogene Daten nicht verkaufen, vermieten oder anderweitig kommerziell verwerten.
5. Dauer der Verarbeitung
BrickGRC verarbeitet personenbezogene Daten für die Dauer der Vereinbarung zuzüglich einer Aufbewahrungsfrist, die erforderlich ist, damit der Verantwortliche seine Daten exportieren kann und BrickGRC die Löschung gemäß Abschnitt 12 dieses AVV abschließen kann. Die Verarbeitung endet mit dem Ablauf oder der Kündigung der Vereinbarung, vorbehaltlich der hierin festgelegten Bestimmungen zur Datenlöschung und -rückgabe.
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt BrickGRC die allgemeine Genehmigung, Unterauftragsverarbeiter zur Unterstützung bei der Bereitstellung des Dienstes einzusetzen. Eine aktuelle Liste der Unterauftragsverarbeiter wird in unserer Datenschutzrichtlinie geführt. BrickGRC stellt sicher, dass jeder Unterauftragsverarbeiter durch Datenschutzverpflichtungen gebunden ist, die nicht weniger schützend sind als die in diesem AVV festgelegten.
BrickGRC benachrichtigt den Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters und stellt dem Verantwortlichen ausreichende Informationen zur Bewertung der Änderung zur Verfügung. Die Benachrichtigung erfolgt per E-Mail an die mit dem Konto des Verantwortlichen verknüpfte Adresse.
Der Verantwortliche kann der Ernennung eines neuen Unterauftragsverarbeiters widersprechen, indem er BrickGRC innerhalb von 14 Tagen nach Erhalt der Benachrichtigung schriftlich benachrichtigt. Der Widerspruch muss auf angemessenen Gründen in Bezug auf den Datenschutz beruhen. Nach Erhalt eines Widerspruchs wird BrickGRC in gutem Glauben mit dem Verantwortlichen zusammenarbeiten, um die Bedenken zu klären. Können die Parteien den Widerspruch nicht innerhalb von 30 Tagen lösen, kann der Verantwortliche den betroffenen Dienst ohne Strafe durch schriftliche Mitteilung kündigen.
BrickGRC bleibt dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Rahmen dieses AVV verantwortlich. Wenn ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht erfüllt, haftet BrickGRC dem Verantwortlichen gegenüber für die Handlungen und Unterlassungen dieses Unterauftragsverarbeiters, als wären es die eigenen von BrickGRC.
7. Sicherheitsmaßnahmen
BrickGRC implementiert und pflegt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung. Diese Maßnahmen umfassen, ohne Einschränkung:
Verschlüsselung im Ruhezustand: Sensible Zugangsdaten und Geheimnisse werden mit AES-256-GCM-Verschlüsselung verschlüsselt. Der Datenbankspeicher wird auf Dateisystemebene verschlüsselt.
Verschlüsselung bei der Übertragung: Alle zwischen dem Client und dem Dienst übertragenen Daten werden mit TLS 1.2 oder höher geschützt. API-Kommunikationen mit Drittanbieter-Unterauftragsverarbeitern werden bei der Übertragung verschlüsselt.
Passwortsicherheit: Benutzerpasswörter werden mit der Schlüsselableitungsfunktion scrypt gehasht und gesalzen. Klartext-Passwörter werden niemals gespeichert oder protokolliert.
Rollenbasierte Zugriffskontrolle: Die Plattform setzt eine rollenbasierte Zugriffskontrolle (RBAC) mit fünf verschiedenen Rollen durch — Eigentümer, Administrator, Auditor, Editor und Betrachter — jeweils mit granularen Berechtigungen, die sicherstellen, dass Benutzer nur auf Daten zugreifen und Aktionen durchführen können, die ihrer Rolle angemessen sind.
Logische Mandantenisolierung: Die Daten jeder Organisation sind innerhalb der Plattform logisch isoliert. Alle Datenbankabfragen und API-Operationen sind auf die authentifizierte Organisation beschränkt, wodurch ein mandantenübergreifender Datenzugriff verhindert wird.
Kontosperrung: Benutzerkonten werden nach 5 aufeinanderfolgenden fehlgeschlagenen Authentifizierungsversuchen vorübergehend gesperrt, um vor Brute-Force-Angriffen zu schützen.
Zwei-Faktor-Authentifizierung: Die Plattform unterstützt die Zwei-Faktor-Authentifizierung (2FA) mittels zeitbasierter Einmalpasswörter (TOTP), was eine zusätzliche Schicht der Kontosicherheit bietet.
Sicherheitsüberprüfungen: BrickGRC führt regelmäßige Sicherheitsüberprüfungen seiner Infrastruktur, seines Anwendungscodes und seiner Zugriffskontrollen durch, um potenzielle Schwachstellen zu identifizieren und zu beheben.
Verschlüsselte Backups: Datenbank- und Dateispeicher-Backups werden verschlüsselt und sicher gespeichert. Backup-Verfahren werden regelmäßig getestet, um die Datenwiederherstellbarkeit sicherzustellen.
BrickGRC wird die Angemessenheit dieser Maßnahmen regelmäßig bewerten und sie bei Bedarf aktualisieren, um sich entwickelnden Sicherheitsrisiken und technologischen Entwicklungen zu begegnen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die betroffenen Personen.
8. Rechte der Betroffenen Personen
BrickGRC unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen, die ihre Rechte nach der DSGVO ausüben, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Diese Unterstützung wird durch angemessene technische und organisatorische Maßnahmen geleistet, soweit dies möglich ist.
Wenn BrickGRC eine Anfrage direkt von einer betroffenen Person bezüglich der Daten des Verantwortlichen erhält, wird BrickGRC den Verantwortlichen unverzüglich über die Anfrage informieren und nicht direkt auf die betroffene Person reagieren, es sei denn, der Verantwortliche hat dies genehmigt oder geltendes Recht erfordert dies.
9. Benachrichtigung über Datenschutzverletzungen
BrickGRC benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Benachrichtigung erfolgt an die mit dem Konto des Verantwortlichen verknüpfte E-Mail-Adresse und, sofern verfügbar, über das Benachrichtigungssystem der Plattform.
Die Benachrichtigung über die Datenschutzverletzung umfasst, soweit vernünftigerweise verfügbar: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze; den Namen und die Kontaktdaten der Ansprechstelle von BrickGRC für weitere Informationen; eine Beschreibung der wahrscheinlichen Folgen der Verletzung; und eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
Wenn es nicht möglich ist, alle Informationen zum Zeitpunkt der ersten Benachrichtigung bereitzustellen, stellt BrickGRC die Informationen schrittweise und ohne weitere unangemessene Verzögerung bereit. BrickGRC wird mit dem Verantwortlichen zusammenarbeiten und angemessene kommerzielle Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung der Verletzung zu helfen.
10. Internationale Datenübertragungen
Die primäre Infrastruktur von BrickGRC wird innerhalb der Europäischen Union gehostet, konkret in Hetzner-Rechenzentren in Deutschland. Personenbezogene Daten werden standardmäßig innerhalb der EU/des EWR gespeichert und verarbeitet.
Wenn personenbezogene Daten an Unterauftragsverarbeiter außerhalb der EU/des EWR übertragen werden (z.B. an KI-Anbieter für KI-gestützte Funktionen), stellt BrickGRC sicher, dass angemessene Schutzmaßnahmen gemäß Kapitel V der DSGVO vorhanden sind, einschließlich der Verwendung von Standardvertragsklauseln (SVK) der Europäischen Kommission, Angemessenheitsbeschlüssen oder anderen genehmigten Übertragungsmechanismen.
Wenn der Verantwortliche seinen eigenen KI-Drittanbieter über das Bricks-System konfiguriert, erkennt der Verantwortliche an, dass Datenübertragungen an diesen Anbieter durch die eigene Vereinbarung des Verantwortlichen mit dem Anbieter geregelt werden und der Verantwortliche dafür verantwortlich ist, angemessene Übertragungsschutzmaßnahmen sicherzustellen.
11. Auditrechte
BrickGRC stellt dem Verantwortlichen alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung der in diesem AVV festgelegten Verpflichtungen erforderlich sind, und ermöglicht und unterstützt Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Auditor durchgeführt werden.
Audits werden unter folgenden Bedingungen durchgeführt: Der Verantwortliche gibt mindestens 30 Tage schriftliche Vorankündigung seiner Absicht, ein Audit durchzuführen; Audits werden während der normalen Geschäftszeiten von BrickGRC durchgeführt; der Verantwortliche und seine Auditoren schließen vor dem Audit angemessene Vertraulichkeitsverpflichtungen (NDA) ab; Audits werden so durchgeführt, dass die Betriebsstörung bei BrickGRC minimiert wird; und der Verantwortliche trägt die Kosten des Audits, es sei denn, das Audit deckt eine wesentliche Nichteinhaltung durch BrickGRC auf.
BrickGRC kann Auditanfragen erfüllen, indem es dem Verantwortlichen relevante Zertifizierungen, Auditberichte oder Zusammenfassungen unabhängiger Drittbewertungen zur Verfügung stellt, sofern verfügbar, die der Verantwortliche nach seinem Ermessen anstelle eines Vor-Ort-Audits akzeptieren kann.
12. Datenlöschung und -rückgabe
Nach Ablauf oder Kündigung der Vereinbarung gewährt BrickGRC dem Verantwortlichen einen Zeitraum von 30 Tagen, in dem der Verantwortliche alle personenbezogenen Daten über die verfügbaren Exportwerkzeuge von der Plattform exportieren kann. BrickGRC wird angemessene Anstrengungen unternehmen, um den Verantwortlichen auf Anfrage beim Datenexport zu unterstützen.
Nach Ablauf des 30-tägigen Exportzeitraums löscht BrickGRC alle personenbezogenen Daten innerhalb von 90 Tagen, einschließlich aller Kopien in Produktionssystemen, Backups und Disaster-Recovery-Umgebungen, es sei denn, die Aufbewahrung ist nach geltendem Recht der Europäischen Union oder eines Mitgliedstaats erforderlich. Ist die Aufbewahrung gesetzlich vorgeschrieben, informiert BrickGRC den Verantwortlichen über die Rechtsgrundlage und beschränkt die Verarbeitung auf den durch diese gesetzliche Verpflichtung erforderlichen Umfang.
BrickGRC stellt auf Anfrage des Verantwortlichen eine schriftliche Bestätigung der Datenlöschung aus.
13. Vertraulichkeit
BrickGRC stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen. Der Zugang zu personenbezogenen Daten wird auf das Personal beschränkt, das Zugang benötigt, um seine Aufgaben im Zusammenhang mit der Bereitstellung des Dienstes zu erfüllen.
14. Datenschutz-Folgenabschätzungen
BrickGRC leistet dem Verantwortlichen angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit nach den Artikeln 35 und 36 der DSGVO erforderlich, unter Berücksichtigung der Art der Verarbeitung und der BrickGRC zur Verfügung stehenden Informationen.
15. Anwendbares Recht
Dieser AVV unterliegt dem Recht der Portugiesischen Republik und den anwendbaren Bestimmungen der DSGVO und wird in Übereinstimmung damit ausgelegt. Alle Streitigkeiten, die sich aus diesem AVV ergeben, werden der ausschließlichen Zuständigkeit der Gerichte in Lissabon, Portugal, unterworfen, unbeschadet der Rechte der betroffenen Personen oder der Aufsichtsbehörden nach der DSGVO.
16. Kontakt
Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder zu Datenschutzangelegenheiten kontaktieren Sie uns bitte unter [email protected].