The Rescue Key

Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)
zwischen dem Kunden (Verantwortlicher) und der Best IT-Solutions GmbH (Auftragsverarbeiter)
Stand: Juli 2026

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Vertrag über die Nutzung des SaaS-Dienstes "The Rescue Key" (nachfolgend "Hauptvertrag"). Sie gilt für alle Verarbeitungen personenbezogener Daten, die die Best IT-Solutions GmbH, Otto-Hahn-Straße 25, 61381 Friedrichsdorf (nachfolgend "Auftragsverarbeiter"), im Auftrag des Kunden (nachfolgend "Verantwortlicher") durchführt.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist der Betrieb der cloudbasierten Zutrittsverwaltungslösung "The Rescue Key" einschließlich Erzeugung und Versand zeitlich befristeter Zugangscodes, Fall- und Teilnehmerverwaltung, Protokollierung von Zutritts- und Systemereignissen sowie Benachrichtigung von Empfängergruppen per E-Mail und SMS.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur Löschung und Rückgabe nach Vertragsende (§ 11) bleiben unberührt.

§ 2 Art und Zweck der Verarbeitung, Datenkategorien, betroffene Personen

Art und Zweck

Erhebung, Speicherung, Nutzung, Übermittlung an Empfängergruppen, Protokollierung und Löschung personenbezogener Daten zum Zweck der Verwaltung von Notfall-Zutrittsberechtigungen des Verantwortlichen.

Kategorien personenbezogener Daten

Kategorien betroffener Personen

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO). Der Hauptvertrag und die Nutzung der Funktionen des Dienstes durch den Verantwortlichen gelten als generelle Weisung.

(2) Weisungen sind in Textform zu erteilen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt; er ist berechtigt, die Ausführung bis zur Bestätigung auszusetzen.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO) und die Daten nur auf Weisung verarbeiten.

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und entwickelt sie entsprechend dem Stand der Technik fort. Ein Absenken des Schutzniveaus ist unzulässig.

(2) Wesentliche Änderungen der Maßnahmen dokumentiert der Auftragsverarbeiter und stellt die aktuelle Fassung dem Verantwortlichen auf Anforderung bereit.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung der in Anlage 2 aufgeführten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen vorab in Textform über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern). Der Verantwortliche kann der Änderung innerhalb von 30 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.

(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich mindestens auf das in dieser Vereinbarung festgelegte Datenschutzniveau (Art. 28 Abs. 4 DSGVO).

(4) Übermittlungen in Drittländer außerhalb der EU/des EWR erfolgen nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss oder EU-Standardvertragsklauseln einschließlich erforderlicher zusätzlicher Maßnahmen).

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten (Art. 28 Abs. 3 lit. e DSGVO). Anträge, die unmittelbar beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter. Das Portal stellt hierfür Selbstbedienungsfunktionen bereit (u. a. Datenexport und DSGVO-konforme Anonymisierung von Teilnehmern).

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen der Auftragsverarbeitung eintritt, unverzüglich nach Bekanntwerden (Art. 33 Abs. 2 DSGVO). Die Meldung enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

§ 9 Weitere Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).

§ 10 Nachweise und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

(2) Der Verantwortliche ist berechtigt, Überprüfungen – einschließlich Inspektionen – selbst oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Prüfer durchzuführen. Kontrollen vor Ort erfolgen nach vorheriger Ankündigung mit angemessener Frist, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs. Der Auftragsverarbeiter kann den Nachweis auch durch geeignete aktuelle Testate, Berichte oder Zertifizierungen führen.

§ 11 Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Rückgabe der Daten erfolgt über die im Portal bereitgestellte Selbstbedienungs-Exportfunktion (gängiges, maschinenlesbares Format), die dem Verantwortlichen noch für 30 Tage nach Vertragsende zur Verfügung steht; die Durchführung des Exports innerhalb dieser Frist obliegt dem Verantwortlichen. Nach Fristablauf werden die Daten gelöscht. Die Löschung wird auf Anforderung schriftlich bestätigt.

§ 12 Haftung und Schlussbestimmungen

(1) Für die Haftung der Parteien gilt Art. 82 DSGVO; im Übrigen gelten die Haftungsregelungen des Hauptvertrags.

(2) Diese Vereinbarung geht bei Widersprüchen den Regelungen des Hauptvertrags in datenschutzrechtlichen Fragen vor. Änderungen und Ergänzungen bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zutritts- und Zugangskontrolle

Zugriffs- und Trennungskontrolle

Übertragungs- und Eingabekontrolle

Verfügbarkeits- und Belastbarkeitskontrolle

Organisatorische Maßnahmen

Anlage 2: Genehmigte Unterauftragsverarbeiter

Unternehmen Leistung Ort der Verarbeitung
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland Server-Hosting, Rechenzentrumsbetrieb Deutschland
Mailjet SAS (Sinch-Gruppe), 4 Rue Jules Lefebvre, 75009 Paris, Frankreich Versand von E-Mail-Benachrichtigungen EU
Vonage B.V. / Vonage Holdings Corp. (Ericsson-Gruppe) Versand von SMS-Benachrichtigungen EU / ggf. Drittland (USA) auf Grundlage der EU-Standardvertragsklauseln

Hinweis: Die Cloud-Dienste der Schloss-Hersteller (z. B. Nuki Home Solutions GmbH, igloocompany Pte. Ltd.) werden nicht als Unterauftragsverarbeiter des Auftragsverarbeiters tätig; ihre Einbindung beruht auf der Entscheidung des Verantwortlichen für die jeweilige Hardware und den zugehörigen Herstellerbedingungen.