Documentation Index
Fetch the complete documentation index at: https://docs.salesfrank.com/llms.txt
Use this file to discover all available pages before exploring further.
Standardvertragsklauseln (Standard Contractual Clauses)
gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission
Stand: März 2026
Vorbemerkung
Dieses Dokument ergänzt den Auftragsverarbeitungsvertrag (AVV) zwischen dem Auftraggeber und der Another Side Ventures Free Zone LLC und bildet die Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittländer gemäß Art. 46 Abs. 2 lit. c) DSGVO.
Die Parteien vereinbaren die Anwendung der Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 (ABl. L 199 vom 7.6.2021, S. 31–61) in der jeweils geltenden Fassung (nachfolgend „SCCs”).
Der vollständige Wortlaut der SCCs ist im Amtsblatt der Europäischen Union veröffentlicht und unter folgendem Link abrufbar:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Die Klauseln der SCCs dürfen gemäß Art. 46 Abs. 5 DSGVO und Erwägungsgrund 109 der DSGVO nicht abgeändert werden. Dieses Dokument enthält daher ausschließlich die von den Parteien auszufüllenden Anhänge sowie die Auswahl der anwendbaren Module und optionalen Klauseln.
Teil 1: Anwendbare Module und optionale Klauseln
1.1 Gewähltes Modul
Die Parteien wählen Modul 2 (Übermittlung von Verantwortlichen an Auftragsverarbeiter) der SCCs.
Begründung: Der Auftraggeber (Kunde) ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Die Another Side Ventures Free Zone LLC (Auftragnehmer) handelt als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO und hat ihren Sitz in einem Drittland (Vereinigte Arabische Emirate). Der administrative Fernzugriff des Auftragnehmers von den VAE auf die in der EU gespeicherten personenbezogenen Daten stellt eine Übermittlung im Sinne der Art. 44 ff. DSGVO dar.
1.2 Optionale Klauseln
| Klausel | Entscheidung | Erläuterung |
|---|
| Klausel 7 — Kopplungsklausel (Docking Clause) | Anwendbar | Dritte können den SCCs als Datenexporteur oder Datenimporteur beitreten, sofern sie das Beitrittsformular ausfüllen und Anhang I.A unterzeichnen. Dies ermöglicht es neuen Kunden, den SCCs beizutreten, ohne dass eine separate Unterzeichnung erforderlich ist. |
| Klausel 9(a) — Genehmigung von Unterauftragsverarbeitern | Option 2: Allgemeine schriftliche Genehmigung | Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern gemäß der in Anhang III aufgeführten Liste. Der Datenimporteur informiert den Datenexporteur mindestens 30 Tage im Voraus über beabsichtigte Änderungen dieser Liste und räumt dem Datenexporteur die Möglichkeit ein, gegen solche Änderungen Einspruch zu erheben. |
| Klausel 11(a) — Unabhängige Streitbeilegungsstelle | Nicht anwendbar | Es wird keine unabhängige Streitbeilegungsstelle benannt. Die Parteien einigen sich darauf, Streitigkeiten zunächst gütlich beizulegen. Im Übrigen gelten die Regelungen in Klausel 18. |
| Klausel 17 — Anwendbares Recht | Option 1 | Die SCCs unterliegen dem Recht eines EU-Mitgliedstaats, der Rechtsbehelfe für betroffene Personen als Drittbegünstigte vorsieht. Gewähltes Recht: Recht der Bundesrepublik Deutschland. |
| Klausel 18(b) — Gerichtsstand | Deutschland | Zuständig sind die Gerichte in München, Deutschland. |
Teil 2: Anhänge
Anhang I — Angaben zu den Parteien und zur Übermittlung
Anhang I.A — Verzeichnis der Parteien
Datenexporteur(e):
| Feld | Angabe |
|---|
| Name | Der jeweilige Kunde der Plattform „SalesFrank” (nachfolgend auch „Auftraggeber”) |
| Adresse | Gemäß Registrierung auf der Plattform SalesFrank |
| Name, Position und Kontaktdaten der Kontaktperson | Gemäß Registrierung auf der Plattform SalesFrank |
| Tätigkeiten im Zusammenhang mit der Übermittlung | Nutzung der SaaS-Plattform SalesFrank zur Durchführung KI-gestützter automatisierter Telefonkommunikation (Outbound und Inbound). Der Datenexporteur lädt Kontaktdaten auf die Plattform hoch und konfiguriert KI-Agenten, die im Auftrag des Datenexporteurs Telefonate durchführen. |
| Rolle | Verantwortlicher (Art. 4 Nr. 7 DSGVO) |
| Feld | Angabe |
|---|
| Name | Another Side Ventures Free Zone LLC |
| Adresse | Al Shohada Road, Ras Al Khaimah, Vereinigte Arabische Emirate |
| Name, Position und Kontaktdaten der Kontaktperson | Thomas Bergmann (EU-Vertreter gemäß Art. 27 DSGVO), info@salesfrank.com |
| Tätigkeiten im Zusammenhang mit der Übermittlung | Bereitstellung und Betrieb der SaaS-Plattform SalesFrank. Administrativer Fernzugriff durch autorisiertes Personal des Datenimporteurs von den Vereinigten Arabischen Emiraten auf die in der Europäischen Union (Microsoft Azure, Region EU West, Niederlande) gehosteten Systeme zum Zweck des technischen Betriebs, der Wartung, des Supports und der Fehlerbehebung. |
| Rolle | Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) |
Anhang I.B — Beschreibung der Übermittlung
| Feld | Beschreibung |
|---|
| Kategorien betroffener Personen | (a) Kontaktpersonen: Natürliche Personen, deren Kontaktdaten der Datenexporteur auf die Plattform hochlädt und die von den KI-Agenten kontaktiert werden. In der Regel geschäftliche Kontakte (B2B): Geschäftsführer, Vertriebsleiter, Entscheidungsträger. (b) Nutzer der Plattform: Mitarbeiter und Vertreter des Datenexporteurs, die die Plattform bedienen. |
| Kategorien personenbezogener Daten | (a) Kontaktdaten der Kontaktpersonen: Telefonnummer (Pflichtfeld), optional: Vor- und Nachname, E-Mail-Adresse, Unternehmensdaten (Firmenname, Position, Branche), sonstige vom Datenexporteur hochgeladene Informationen. (b) Gesprächsdaten: Gesprächsaufzeichnungen (Audio), Transkripte, Gesprächsmetadaten (Datum, Uhrzeit, Dauer, Ergebnis, Anrufstatus), aus Gesprächen extrahierte strukturierte Daten (z. B. Termindaten, Qualifizierungsergebnisse). (c) Nutzerdaten des Datenexporteurs: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Unternehmensdaten, Anmeldedaten. |
| Sensible Daten | Die Übermittlung umfasst grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Sollte der Datenexporteur besondere Kategorien personenbezogener Daten auf die Plattform hochladen oder über Gesprächsinhalte verarbeiten, liegt die datenschutzrechtliche Verantwortung hierfür ausschließlich beim Datenexporteur. |
| Häufigkeit der Übermittlung | Fortlaufend während der Vertragslaufzeit. Der administrative Fernzugriff erfolgt bedarfsabhängig im Rahmen des technischen Betriebs, der Wartung und des Supports. |
| Art der Verarbeitung | Administrativer Fernzugriff auf die in der EU gehosteten Systeme (Lesen, Abfragen, Konfigurieren, Fehlerbehebung). Es erfolgt keine dauerhafte Speicherung, kein Download und kein Export personenbezogener Daten auf Endgeräte außerhalb der EU. Die Daten verbleiben physisch auf den EU-Servern. |
| Zweck der Übermittlung | (a) Technischer Betrieb und Wartung der Plattform, (b) Kundensupport und Fehlerbehebung, (c) Systemmonitoring und Sicherheitsüberwachung, (d) Weiterentwicklung und Aktualisierung der Plattform. |
| Dauer der Speicherung / Löschfristen | Es erfolgt keine Speicherung personenbezogener Daten in den VAE. Die Speicherfristen für die auf EU-Servern gespeicherten Daten richten sich nach § 9 des AVV und Anlage 1 des AVV. Nach Vertragsende: 30 Tage Export-Frist, anschließend Löschung innerhalb von 60 Tagen (insgesamt max. 90 Tage nach Vertragsende). |
| Empfänger bei Weiterübermittlung | Nicht anwendbar. Eine Weiterübermittlung personenbezogener Daten vom Datenimporteur an Dritte in den VAE findet nicht statt. |
Anhang I.C — Zuständige Aufsichtsbehörde
Die zuständige Aufsichtsbehörde wird nach folgendem Verfahren bestimmt:
- Sofern der Datenexporteur seinen Sitz in einem EU-Mitgliedstaat hat: Die Datenschutz-Aufsichtsbehörde des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
- Sofern der Datenexporteur nicht in der EU niedergelassen ist, aber in den Anwendungsbereich der DSGVO gemäß Art. 3 Abs. 2 DSGVO fällt: Die Datenschutz-Aufsichtsbehörde des Mitgliedstaats, in dem der EU-Vertreter niedergelassen ist oder in dem sich die betroffenen Personen befinden.
- Auffang-Zuständigkeit: Da der EU-Vertreter des Datenimporteurs in Deutschland ansässig ist und die Plattform vorwiegend auf den deutschen Markt ausgerichtet ist, ist — soweit keine vorrangige Zuständigkeit besteht — der Bayerische Landesbeauftragte für den Datenschutz (BayLDA) als federführende Aufsichtsbehörde anzusehen (Gerichtsstand München gemäß AGB § 16 Abs. 2).
Anhang II — Technisch-organisatorische Maßnahmen (einschließlich zur Bestimmung der Angemessenheit des Sicherheitsniveaus)
Der Datenimporteur hat die folgenden technisch-organisatorischen Maßnahmen implementiert, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Maßnahmen gelten insbesondere für den administrativen Fernzugriff aus den VAE.
A. Maßnahmen zur Verschlüsselung personenbezogener Daten
| Maßnahme | Umsetzung |
|---|
| Verschlüsselung bei der Übertragung | Alle Datenübertragungen erfolgen über TLS 1.2 oder höher. Der administrative Fernzugriff erfolgt ausschließlich über VPN mit End-to-End-Verschlüsselung. |
| Verschlüsselung bei der Speicherung | Alle auf EU-Servern gespeicherten Daten werden mittels AES-256 verschlüsselt (Encryption at Rest). Dies umfasst Datenbank, Gesprächsaufzeichnungen, Transkripte und Backups. |
| Verschlüsselte Datenbank-Verbindungen | MongoDB-Verbindungen mit TLS-Verschlüsselung. |
| Verschlüsselte API-Kommunikation | Sämtliche API-Kommunikation zwischen Systemkomponenten erfolgt verschlüsselt. |
B. Maßnahmen zur Gewährleistung der fortdauernden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
| Maßnahme | Umsetzung |
|---|
| Zugangskontrolle | Individuelle Benutzerkonten mit starken Passwortrichtlinien. Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge. Automatische Sperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen. |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept (RBAC) mit strikter Trennung nach Verantwortungsbereichen. Need-to-Know-Prinzip. Administrative Zugänge auf das Entwicklungs- und Betriebsteam beschränkt. |
| Verfügbarkeit | Hosting auf Microsoft Azure mit geo-redundanter Infrastruktur (EU West). Automatisierte tägliche Backups mit mindestens 30 Tagen Aufbewahrung. Redundante Systemarchitektur. 24/7-Monitoring. Disaster-Recovery-Konzept (RTO: 24h, RPO: 24h). |
| Mandantentrennung | Logische Trennung der Kundendaten durch individuelle Mandanten-Kennungen. Strikte Trennung von Produktions-, Staging- und Entwicklungsumgebungen. |
| Keine lokale Datenspeicherung | Es werden keine personenbezogenen Daten auf lokalen Endgeräten von Mitarbeitern des Datenimporteurs gespeichert — weder innerhalb noch außerhalb der EU. |
C. Maßnahmen zur Gewährleistung der raschen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
| Maßnahme | Umsetzung |
|---|
| Backup-Strategie | Automatisierte tägliche Backups, verschlüsselt gespeichert in geographisch getrennter Azure-Availability-Zone innerhalb der EU. |
| Recovery-Zeiten | Recovery Time Objective (RTO): 24 Stunden. Recovery Point Objective (RPO): 24 Stunden. |
| Wiederherstellungstests | Regelmäßige Tests der Wiederherstellungsprozeduren. |
| Fallback-Infrastruktur | Sekundäre Sprachinfrastruktur auf AWS (Frankfurt) als Redundanzsystem. |
D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen
| Maßnahme | Umsetzung |
|---|
| Jährliche Überprüfung | Mindestens jährliche Überprüfung und Aktualisierung der technisch-organisatorischen Maßnahmen. |
| Protokollierung | Revisionssichere Protokollierung aller administrativen Zugriffe auf die Produktivsysteme. Benutzerindividuelle Zuordnung aller Aktionen. |
| Incident-Response-Prozess | Dokumentiertes 6-Stufen-Verfahren: (1) Erkennung und Klassifizierung, (2) Sofortmaßnahmen, (3) Analyse und Bewertung, (4) Information des Auftraggebers innerhalb von 24 Stunden, (5) Behebung und Dokumentation, (6) Nachbereitung und Verbesserungsmaßnahmen. |
| Mitarbeiterschulung | Regelmäßige Sensibilisierung und Schulung zu Datenschutz und Informationssicherheit. |
E. Maßnahmen zur Identifizierung und Autorisierung der Nutzer
| Maßnahme | Umsetzung |
|---|
| Authentifizierung | Individuelle Benutzerkonten. Multi-Faktor-Authentifizierung. Keine geteilten Zugangsdaten. |
| Autorisierung | Rollenbasiertes Berechtigungskonzept. Regelmäßige Überprüfung der Zugriffsberechtigungen. Unverzügliche Sperrung bei Ausscheiden oder Rollenwechsel. |
| Sitzungsmanagement | Automatische Sitzungsbeendigung nach definierter Inaktivitätsperiode. |
F. Maßnahmen zum Schutz der Daten während der Übermittlung
| Maßnahme | Umsetzung |
|---|
| VPN-Pflicht | Jeder Fernzugriff auf Produktivsysteme erfolgt ausschließlich über verschlüsselte VPN-Verbindung. |
| Keine Datenextraktion | Es werden keine personenbezogenen Daten auf Endgeräte außerhalb der EU heruntergeladen, kopiert, exportiert oder zwischengespeichert. |
| Transportverschlüsselung | TLS 1.2 oder höher für alle Datenübertragungen. |
| Endgerätesicherheit | Endgeräte für den Fernzugriff unterliegen internen Sicherheitsrichtlinien: Festplattenverschlüsselung, aktuelle Betriebssystem-Updates, Bildschirmsperre, Verbot nicht autorisierter Softwareinstallation. |
G. Maßnahmen zum Schutz der Daten während der Speicherung
| Maßnahme | Umsetzung |
|---|
| Speicherort | Ausschließlich EU-Server (Microsoft Azure, Region EU West, Niederlande; AWS, Region EU Frankfurt). |
| Verschlüsselung at Rest | AES-256 für alle gespeicherten Daten. |
| Zugriffsbeschränkung | Keine externen Entwickler oder Dienstleister mit Zugriff auf personenbezogene Daten. |
H. Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden
| Maßnahme | Umsetzung |
|---|
| Cloud-Infrastruktur | Keine eigenen Rechenzentren. Microsoft Azure erfüllt ISO 27001, SOC 1/2/3 und C5 (BSI). Physische Zutrittskontrolle durch Azure: Biometrie, Videoüberwachung, Sicherheitspersonal, Zutrittsprotokolle. |
| Endgeräte | Die Verarbeitung personenbezogener Daten findet nicht auf Endgeräten statt; diese dienen ausschließlich als Zugangspunkte über verschlüsselte Verbindungen. |
I. Maßnahmen zur Protokollierung von Ereignissen
| Maßnahme | Umsetzung |
|---|
| Audit-Logging | Protokollierung von Dateneingaben, -änderungen und -löschungen. Revisionssichere Protokollierung administrativer Zugriffe. Vollständige Zugriffsprotokolle: Zeitstempel, Benutzer, IP-Adresse, durchgeführte Aktionen. |
| Monitoring | 24/7-Überwachung der Systeme auf Anomalien und Sicherheitsvorfälle. |
Anhang III — Liste der Unterauftragsverarbeiter
Der Datenexporteur hat die allgemeine Genehmigung für die Beauftragung der folgenden Unterauftragsverarbeiter erteilt (Klausel 9, Option 2):
| Nr. | Unterauftragsverarbeiter | Sitz | Verarbeitungsstandort | Verarbeitungszweck | Garantie für Drittlandtransfer |
|---|
| 1 | Microsoft Ireland Operations Ltd (Azure) | Irland (EU) | EU West (Niederlande) | Hosting, Compute, Datenbank, LLM-Verarbeitung | EU-Verarbeitung — kein Drittlandtransfer |
| 2 | Twilio Ireland Ltd | Irland (EU) | EU (Irland) | Telefonie, Nummernbereitstellung | EU-Verarbeitung — kein Drittlandtransfer |
| 3 | ElevenLabs, Inc. | USA | USA/EU | Sprachsynthese (TTS), Spracherkennung (STT) | EU-US Data Privacy Framework; SCCs; TIA |
| 4 | Deepgram, Inc. | USA | USA | Spracherkennung (STT), Echtzeit-Transkription | EU-US Data Privacy Framework; SCCs; TIA |
| 5 | Cartesia, Inc. | USA | USA | Sprachsynthese (TTS) | SCCs; TIA |
| 6 | Resend, Inc. | USA | USA | E-Mail-Versand | SCCs; DPA |
| Komponente | Technologie | Hosting | Standort |
|---|
| Primäre Sprachinfrastruktur | LiveKit (Open-Source, selbst-gehostet) | Microsoft Azure | EU West (Niederlande) |
| Fallback-Sprachinfrastruktur | VAPI (selbst-gehostet) | Amazon Web Services | EU (Frankfurt) |
Teil 3: Ergänzende Maßnahmen (Supplementary Measures)
Gemäß den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDPB) zu Maßnahmen zur Ergänzung von Übermittlungsgarantien hat der Datenimporteur die folgenden ergänzenden Maßnahmen implementiert:
3.1 Ergänzende technische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Keine Datenspeicherung im Drittland | Personenbezogene Daten werden ausschließlich auf EU-Servern gespeichert. Es findet keine Speicherung, kein Download und kein Export auf Endgeräte in den VAE statt. Der Fernzugriff ist ausschließlich lesender/administrativer Natur. |
| VPN mit End-to-End-Verschlüsselung | Sämtlicher Fernzugriff erfolgt über verschlüsselte VPN-Verbindungen. Dritte — einschließlich lokaler Internetanbieter und Behörden in den VAE — können den Inhalt des Datenverkehrs nicht einsehen. |
| Multi-Faktor-Authentifizierung | Jeder administrative Zugriff erfordert einen zweiten Authentifizierungsfaktor. Ein kompromittiertes Passwort allein ermöglicht keinen Systemzugriff. |
| Automatische Sitzungsbeendigung | VPN- und Systemsitzungen werden nach definierter Inaktivitätsperiode automatisch beendet, um unbefugten Zugriff über unbeaufsichtigte Geräte zu verhindern. |
| Endgeräteverschlüsselung | Alle Endgeräte, die für den Fernzugriff verwendet werden, unterliegen der Festplattenverschlüsselung. |
3.2 Ergänzende organisatorische Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Vertraulichkeitsverpflichtung | Alle Mitarbeiter mit Zugang zu personenbezogenen Daten sind schriftlich zur Vertraulichkeit verpflichtet. |
| Minimierung der Zugriffsberechtigungen | Fernzugriff auf personenbezogene Daten ist auf das für den Betrieb, Support und die Wartung erforderliche Minimum beschränkt (Need-to-Know-Prinzip). |
| Zugriffsprotokolle | Sämtliche Fernzugriffe werden vollständig protokolliert (Zeitstempel, Benutzer, IP-Adresse, durchgeführte Aktionen) und sind im Rahmen von Audits einsehbar. |
| EU-Vertreter | Ein EU-Vertreter gemäß Art. 27 DSGVO (Thomas Bergmann, info@salesfrank.com) ist benannt und dient als Anlaufstelle für betroffene Personen und Aufsichtsbehörden. |
| Transparenzbericht | Der Datenimporteur wird den Datenexporteur unverzüglich informieren, wenn er von einer Behörde in den VAE oder einem anderen Drittland Anfragen bezüglich des Zugangs zu personenbezogenen Daten erhält, soweit dies rechtlich zulässig ist. |
3.3 Ergänzende vertragliche Maßnahmen
| Maßnahme | Beschreibung |
|---|
| Benachrichtigungspflicht bei behördlichen Anfragen | Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich über jede rechtlich verbindliche Anfrage einer Behörde in den VAE oder einem anderen Drittland auf Zugang zu personenbezogenen Daten zu informieren, soweit dies rechtlich nicht verboten ist. |
| Überprüfung der Rechtmäßigkeit | Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit jeder behördlichen Anfrage auf Datenzugang zu prüfen und alle zulässigen Rechtsmittel auszuschöpfen, bevor personenbezogene Daten offengelegt werden. |
| Minimierung der Offenlegung | Im Falle einer rechtlich zwingenden Offenlegung wird der Datenimporteur nur das erforderliche Minimum an personenbezogenen Daten offenlegen und die Offenlegung dokumentieren. |
| Keine freiwillige Offenlegung | Der Datenimporteur verpflichtet sich, personenbezogene Daten nicht freiwillig an Behörden in den VAE oder anderen Drittländern offenzulegen. |
Teil 4: Transfer Impact Assessment — Zusammenfassung
Der Datenimporteur hat gemäß den EDPB-Empfehlungen 01/2020 ein Transfer Impact Assessment (TIA) für den administrativen Fernzugriff aus den VAE durchgeführt. Das vollständige TIA ist als separates Dokument verfügbar (vgl. tia-salesfrank.md, TIA Nr. 4).
4.1 Wesentliche Ergebnisse
| Bewertungskriterium | Ergebnis |
|---|
| Art der Übermittlung | Administrativer Fernzugriff (kein Datentransfer, keine lokale Speicherung) |
| Rechtsordnung des Empfängerlandes | VAE: Federal Data Protection Law (PDPL 2021), orientiert an der DSGVO. Kein Angemessenheitsbeschluss der EU-Kommission. |
| Risiko behördlicher Zugriffe | Gering. Die VAE haben keine extraterritoriale Jurisdiktion über EU-Server. B2B-SaaS-Plattform für Vertriebsautomatisierung ist nicht von nachrichtendienstlichem oder sicherheitspolitischem Interesse. |
| Wirksamkeit der ergänzenden Maßnahmen | Hoch. Die Kombination aus VPN-Verschlüsselung, MFA, fehlender lokaler Datenspeicherung und vollständiger Protokollierung stellt sicher, dass selbst im theoretischen Fall eines behördlichen Zugriffs auf Endgeräte in den VAE keine personenbezogenen Daten kompromittiert würden. |
| Gesamtbewertung | Zugriff zulässig. In Verbindung mit den Standardvertragsklauseln und den ergänzenden technischen, organisatorischen und vertraglichen Maßnahmen ist ein angemessenes Schutzniveau gewährleistet. |
4.2 Überprüfungszyklus
| Parameter | Wert |
|---|
| Erstbewertung | März 2026 |
| Nächste planmäßige Überprüfung | September 2026 |
| Anlassbezogene Überprüfung | Bei Gesetzesänderungen in den VAE, bei Änderung der Zugriffsmodalitäten, bei Bekanntwerden behördlicher Zugriffsanfragen |
Teil 5: Unterschriften
Die Parteien bestätigen durch ihre Unterschrift die Vereinbarung der vorstehenden Standardvertragsklauseln einschließlich der Anhänge und ergänzenden Maßnahmen.
Datenexporteur (Auftraggeber):
Ort, Datum: ____________________________
Unternehmen: ____________________________
Name, Funktion: ____________________________
Unterschrift: ____________________________
Datenimporteur (Auftragnehmer):
Another Side Ventures Free Zone LLC
Ort, Datum: ____________________________
Name, Funktion: ____________________________
Unterschrift: ____________________________
Dieses Dokument bildet einen integralen Bestandteil des Auftragsverarbeitungsvertrages (AVV) zwischen den Parteien. Im Falle von Widersprüchen zwischen diesem Dokument und dem AVV gehen die Standardvertragsklauseln gemäß Art. 46 Abs. 5 DSGVO vor.
