Auftragsverarbeitungsvertrag

Einleitung

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Teil der Nutzungsbedingungen zwischen diffray, Inc. ("Auftragsverarbeiter", "wir", "uns") und dem Kunden ("Verantwortlicher", "Sie") für die Bereitstellung von KI-gestützten Code-Review-Services (der "Service").

Dieser AVV gilt, wenn und nur soweit wir personenbezogene Daten in Ihrem Auftrag im Rahmen der Erbringung des Service verarbeiten und diese personenbezogenen Daten den Datenschutzgesetzen unterliegen.

1. Definitionen

• "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die von uns in Ihrem Auftrag verarbeitet werden.
• "Datenschutzgesetze" bezeichnet alle anwendbaren Gesetze zum Datenschutz und zur Privatsphäre, einschließlich DSGVO (EU), UK GDPR, CCPA (Kalifornien), LGPD (Brasilien) und andere anwendbare Vorschriften.
• "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von uns beauftragt wird, personenbezogene Daten in Ihrem Auftrag zu verarbeiten.
• "Betroffene Person" bezeichnet die natürliche Person, auf die sich personenbezogene Daten beziehen.
• "Sicherheitsvorfall" bezeichnet jede unbefugte oder unrechtmäßige Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt.

2. Umfang der Verarbeitung

2.1 Gegenstand

Verarbeitung personenbezogener Daten im Zusammenhang mit KI-gestützten Code-Review-Services für GitHub-Repositories.

2.2 Art und Zweck

• Bereitstellung von Code-Review- und Analyse-Services
• Verarbeitung von Pull Requests und Repository-Daten
• Benutzerauthentifizierung und Kontoverwaltung
• Service-Analysen und -Verbesserung

2.3 Kategorien betroffener Personen

• Ihre Mitarbeiter und Auftragnehmer
• Ihre Endnutzer, die mit Code-Repositories interagieren
• Beitragende zu Repositories, die Sie für Review autorisieren

2.4 Arten personenbezogener Daten

• GitHub-Benutzernamen und E-Mail-Adressen
• Profilinformationen (Namen, Avatare)
• Repository-Metadaten und Commit-Informationen
• IP-Adressen und Nutzungsdaten

2.5 Dauer

Die Verarbeitung dauert für die Dauer der Servicevereinbarung, plus jeder gesetzlich vorgeschriebenen Aufbewahrungsfrist oder wie in unserer Datenschutzrichtlinie angegeben.

3. Pflichten des Auftragsverarbeiters

Wir werden:

• Personenbezogene Daten nur auf Ihre dokumentierten Anweisungen verarbeiten, es sei denn, gesetzlich anders vorgeschrieben
• Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind
• Angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren
• Keine Unterauftragsverarbeiter ohne Ihre vorherige Genehmigung (allgemein oder spezifisch) einsetzen
• Sie bei der Beantwortung von Anfragen betroffener Personen unterstützen
• Sie bei der Sicherstellung der Einhaltung von Sicherheits-, Meldepflichten bei Verstößen und Folgenabschätzungsverpflichtungen unterstützen
• Bei Beendigung alle personenbezogenen Daten löschen oder zurückgeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben
• Informationen zum Nachweis der Einhaltung zur Verfügung stellen und Audits ermöglichen

4. Pflichten des Verantwortlichen

Sie werden:

• Sicherstellen, dass Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten haben
• Klare Anweisungen für die Verarbeitung personenbezogener Daten geben
• Sicherstellen, dass betroffene Personen über die Verarbeitung informiert wurden
• Für die Richtigkeit der uns bereitgestellten personenbezogenen Daten verantwortlich sein
• Die anwendbaren Datenschutzgesetze einhalten

5. Unterauftragsverarbeiter

Sie autorisieren uns, folgende Unterauftragsverarbeiter einzusetzen:

Wir werden Sie über beabsichtigte Änderungen an Unterauftragsverarbeitern informieren und Ihnen die Möglichkeit geben, Einspruch zu erheben. Alle Unterauftragsverarbeiter sind durch Auftragsverarbeitungsverträge mit gleichwertigen Schutzmaßnahmen gebunden.

6. Sicherheitsmaßnahmen

Wir implementieren und pflegen angemessene technische und organisatorische Maßnahmen einschließlich:

• Verschlüsselung: TLS 1.2+ für Daten im Transit; AES-256 für Daten im Ruhezustand
• Zugangskontrolle: Rollenbasierter Zugang, Multi-Faktor-Authentifizierung, Prinzip der geringsten Berechtigung
• Infrastruktur: AWS mit SOC 2 Type II Zertifizierung, isolierte VPCs, Sicherheitsgruppen
• Überwachung: 24/7 Protokollierung, Intrusion Detection, automatische Alarmierung
• Code-Sicherheit: Ephemere Verarbeitungsumgebungen, die nach jedem Review zerstört werden
• Personal: Hintergrundprüfungen, Sicherheitsschulungen, Vertraulichkeitsvereinbarungen
• Incident Response: Dokumentierte Verfahren, regelmäßige Tests, definierte Eskalationspfade

7. Rechte betroffener Personen

Wir unterstützen Sie bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte nach Datenschutzgesetzen ausüben, einschließlich:

• Recht auf Zugang
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch

Wenn wir eine Anfrage direkt von einer betroffenen Person erhalten, werden wir Sie umgehend benachrichtigen, es sei denn, dies ist gesetzlich untersagt.

8. Benachrichtigung bei Sicherheitsvorfällen

Sobald wir von einem Sicherheitsvorfall erfahren, der Ihre personenbezogenen Daten betrifft, werden wir:

• Sie unverzüglich benachrichtigen (innerhalb von 72 Stunden, wenn möglich)
• Informationen über die Art des Vorfalls, Kategorien betroffener Daten, ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen und ergriffene Maßnahmen bereitstellen
• Bei Ihrer Untersuchung und Schadensminderung kooperieren
• Den Vorfall und die Behebungsschritte dokumentieren

9. Datenlöschung und -rückgabe

Bei Beendigung des Service oder auf Ihre Anfrage:

• Werden wir alle personenbezogenen Daten innerhalb von 30 Tagen löschen oder zurückgeben
• Werden wir auf Anfrage eine schriftliche Bestätigung der Löschung bereitstellen
• Aufbewahrung über diesen Zeitraum hinaus nur, wenn gesetzlich vorgeschrieben

Hinweis: Quellcode wird niemals dauerhaft gespeichert. Jedes Review läuft in einer ephemeren Umgebung, die nach Abschluss vollständig zerstört wird.

10. Audits

Vorbehaltlich angemessener Ankündigung und Vertraulichkeitsverpflichtungen:

• Werden wir Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung stellen
• Werden wir Audits durch Sie oder einen unabhängigen Prüfer ermöglichen und dazu beitragen
• Audits werden während der normalen Geschäftszeiten durchgeführt, nicht mehr als einmal jährlich
• Sie tragen die Kosten eines Audits, es sei denn, es zeigt wesentliche Nichteinhaltung

Wir pflegen auch Drittanbieter-Zertifizierungen und Auditberichte (auf Anfrage unter NDA verfügbar).

11. Internationale Übermittlungen

Für Übermittlungen personenbezogener Daten außerhalb des EWR, UK oder der Schweiz:

• Stützen wir uns auf EU-Standardvertragsklauseln (SCCs) wie von der Europäischen Kommission genehmigt
• Für UK-Übermittlungen verwenden wir das UK International Data Transfer Agreement oder UK Addendum zu den SCCs
• Wir implementieren ergänzende Maßnahmen, wo dies durch anwendbare Leitlinien erforderlich ist

SCCs sind durch Verweis einbezogen und auf Anfrage verfügbar.

12. Haftung

Die Haftung nach diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen. Jede Partei haftet für Schäden, die durch Verarbeitung verursacht werden, die gegen Datenschutzgesetze oder diesen AVV verstößt.

13. Laufzeit und Beendigung

Dieser AVV bleibt für die Dauer unserer Verarbeitung personenbezogener Daten in Ihrem Auftrag in Kraft. Bei Beendigung des Service bleiben Verpflichtungen bezüglich Datenlöschung, Vertraulichkeit und Auditrechte bestehen.

14. Anwendbares Recht

Dieser AVV unterliegt dem in den Nutzungsbedingungen angegebenen Recht (Staat Delaware, USA), außer wo Datenschutzgesetze etwas anderes erfordern.

15. Kontakt

Für Fragen zu diesem AVV oder zur Anforderung einer unterzeichneten Kopie: