PartnerScope

Auftragsverarbeitungsvertrag (AVV)

Last updated 2026-04-21

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV"; auf Englisch „Data Processing Addendum / DPA") ist Bestandteil des Vertrags zwischen dem Kunden („Verantwortlicher") und EM Consulting, Inhaber Elshan Musayev („PartnerScope", „Auftragsverarbeiter") über den PartnerScope-Dienst. Er erfüllt die Anforderungen des Art. 28 DSGVO und ist Bestandteil der Allgemeinen Geschäftsbedingungen (/de/legal/terms).

1. Gegenstand und Dauer

PartnerScope verarbeitet personenbezogene Daten auf dokumentierte Weisung des Verantwortlichen zum Zweck der Durchführung von Drittanbieter-Risikobewertungen. Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Dienstleistungsvertrags sowie für die in diesem AVV vereinbarten Aufbewahrungsfristen.

2. Art und Zweck der Verarbeitung

Speicherung, Organisation, Analyse, Abfrage und Übermittlung personenbezogener Daten in (a) Bewertungsfragebögen, (b) vom Verantwortlichen hochgeladenen Anbieter-Dokumenten sowie (c) Konto- und Audit-Logs. Die Verarbeitung ist erforderlich, um den Risikobewertungsbericht zu erstellen und den Portalbetrieb sowie den Audit-Trail aufrechtzuerhalten.

3. Kategorien betroffener Personen

  • Mitarbeitende und autorisierte Nutzer des PartnerScope-Portals beim Verantwortlichen
  • Mitarbeitende und Organmitglieder des bewerteten Anbieters (soweit in Fragebögen oder Unterlagen genannt)
  • Wirtschaftlich Berechtigte (UBO) und Geschäftsführer, die in zur Verifikation genutzten öffentlichen Registern erscheinen

4. Arten personenbezogener Daten

  • Kontaktdaten (Name, geschäftliche E-Mail-Adresse, Telefon, Funktion)
  • Organisationsdaten (Arbeitgeber, Abteilung, Berichtslinie)
  • Inhalte der vom Verantwortlichen hochgeladenen Dokumente (können Unterschriften, Ausweisreferenzen in AVVs enthalten)
  • Daten aus öffentlichen Registern und Sanktions-Screenings
  • Konto- und Audit-Logs (IP-Adresse, User-Agent, Zeitstempel, vorgenommene Aktion)

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden für unseren Dienst nicht benötigt. Der Verantwortliche darf solche Daten nicht hochladen, sofern nicht zuvor mit PartnerScope schriftlich vereinbart wurde, dass das hochzuladende Dokument erforderlich ist und angemessene Schutzmaßnahmen vorhanden sind.

5. Pflichten des Auftragsverarbeiters

PartnerScope verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland, sofern nicht eine Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats besteht; in einem solchen Fall teilt PartnerScope dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit.
  2. Sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Die in Anlage 1 (Art. 32 DSGVO) beschriebenen technischen und organisatorischen Maßnahmen zu ergreifen.
  4. Die in Abschnitt 7 festgelegten Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten.
  5. Den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen zur Wahrnehmung der in Kapitel III DSGVO genannten Betroffenenrechte zu unterstützen.
  6. Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzungen) zu unterstützen.
  7. Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienste zu löschen oder zurückzugeben sowie vorhandene Kopien zu löschen, sofern nicht nach Unions- oder Mitgliedstaatsrecht eine Verpflichtung zur Speicherung besteht.
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer zu ermöglichen, vorbehaltlich angemessener Vertraulichkeits- und Ankündigungsanforderungen.

6. Sicherheit der Verarbeitung (Art. 32 DSGVO)

PartnerScope setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen („TOMs") um. Die TOMs umfassen unter anderem eine in der EU ansässige Infrastruktur, Verschlüsselung der Übertragung (TLS 1.2+) und im Ruhezustand, Zugriffskontrollen nach dem Least-Privilege-Prinzip, Mehrfaktor-Authentifizierung (MFA) für administrative Zugriffe, protokollierten und überwachten Produktionszugriff, Anbieter-Risikoprüfungen für jeden Unterauftragsverarbeiter sowie einen dokumentierten Incident-Response-Plan mit einem Workflow zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt PartnerScope eine allgemeine Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern unter folgenden Voraussetzungen:

  • Die aktuelle Liste der Unterauftragsverarbeiter wird unter /de/legal/sub-processors veröffentlicht. Verantwortliche, die sich für Benachrichtigungen registriert haben, erhalten 30 Tage Vorlaufzeit vor jeder geplanten Hinzufügung oder Ersetzung.
  • PartnerScope erlegt jedem Unterauftragsverarbeiter durch schriftlichen Vertrag dieselben Datenschutzpflichten auf wie in diesem AVV.
  • Der Verantwortliche kann einem neuen Unterauftragsverarbeiter aus berechtigtem Grund innerhalb der Vorankündigungsfrist widersprechen; können wir dem Widerspruch nicht abhelfen, ist der Verantwortliche berechtigt, den betroffenen Dienst ohne Sanktion zu kündigen.

8. Internationale Datenübermittlungen

Die primäre Verarbeitung erfolgt in der EU. Soweit ein Unterauftragsverarbeiter Daten außerhalb des EWR übermittelt, stützen wir uns auf die Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO), führen ein Transfer Impact Assessment durch und ergreifen, soweit erforderlich, ergänzende Maßnahmen.

9. Verletzung des Schutzes personenbezogener Daten

PartnerScope benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall innerhalb von 48 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Benachrichtigung enthält mindestens Angaben zu den Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze, den voraussichtlichen Folgen sowie zu den ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

10. Anträge betroffener Personen

PartnerScope unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Betroffenenrechte.

11. Laufzeit, Rückgabe und Löschung

Dieser AVV bleibt für die Laufzeit des zugrunde liegenden Dienstleistungsvertrags sowie für sich anschließende gesetzliche Aufbewahrungsfristen in Kraft. Auf schriftliche Aufforderung des Verantwortlichen innerhalb von 30 Tagen nach Beendigung gibt PartnerScope alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück oder löscht sie, soweit eine Speicherung nicht nach Unions- oder deutschem Recht erforderlich ist (insbesondere § 147 Abs. 3 AO und § 257 Abs. 4 HGB für Buchhaltungs- und Steuerunterlagen).

Anlage 1 — Technische und organisatorische Maßnahmen

  • Infrastruktur ausschließlich in EU-Mitgliedstaaten für kundenspezifische Daten.
  • Netzwerk: TLS 1.2+ in der Übertragung; interner Datenverkehr über private Netzwerke.
  • Speicherung: verschlüsselt im Ruhezustand (AES-256 oder gleichwertig).
  • Identität: MFA für alle Mitarbeitenden; Single Sign-On (SSO) für Enterprise-Kunden; kurzlebige Session-Token.
  • Berechtigungen: Least-Privilege-RBAC; Produktionszugriff ausschließlich nach dem Break-Glass-Prinzip; jede Aktion wird protokolliert.
  • Change-Management: Code-Review, statische Analyse, Dependency-Scanning, CI-gesteuerte Releases.
  • Monitoring: zentralisierte Logs, Anomalie-Alerts, 24/7-Bereitschaftsdienst.
  • Backup: tägliche verschlüsselte Backups, 30 Tage Aufbewahrung, vierteljährliche Wiederherstellungstests.
  • Schwachstellenmanagement: monatliche Scans und jährlicher Penetrationstest durch Dritte.
  • Personal: Vertraulichkeitsvereinbarungen, Sicherheitsschulung beim Onboarding, jährliche Auffrischung.

Anlage 2 — Liste der Unterauftragsverarbeiter

Siehe /de/legal/sub-processors.

Zur Gegenzeichnung dieses AVV als unterzeichneter Vertrag im Sinne von Art. 28 DSGVO zwischen Ihrem Unternehmen und PartnerScope wenden Sie sich bitte per E-Mail an privacy@partnerscope.eu. Wir akzeptieren elektronische Signaturen (DocuSign / Qualifizierte Elektronische Signatur (QES) nach eIDAS).