---
title: "Auftragsverarbeitungsvertrag (AVV)"
description: "Stand: 25. März 2026"
canonical_url: "https://getminds.ai/legal/de/dpa"
last_updated: "2026-05-27T23:36:36.013Z"
---

# Auftragsverarbeitungsvertrag (AVV)

**Stand: 25. März 2026**

Dieser Auftragsverarbeitungsvertrag („AVV") gemäß Art. 28 DSGVO ist Bestandteil der Vereinbarung zwischen der Art of X UG (haftungsbeschränkt) („Auftragsverarbeiter", „wir", „uns") und dem Kunden („Verantwortlicher", „Sie") für die Nutzung unserer Dienste (nachfolgend „Hauptvereinbarung").

## 1. Definitionen

- **Personenbezogene Daten**: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
- **Verarbeitung**: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Speicherung, Nutzung und Löschung (Art. 4 Nr. 2 DSGVO).
- **Unterauftragsverarbeiter**: Jeder Dritte, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt wird.
- **DSGVO**: Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
- **Datenpanne**: Eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO.

## 2. Gegenstand und Dauer der Verarbeitung

2.1 Dieser AVV gilt für die gesamte Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten.

2.2 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur zum Zweck der Erbringung der Dienste gemäß der Hauptvereinbarung und nach den dokumentierten Weisungen des Verantwortlichen.

2.3 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit der Hauptvereinbarung, sofern sich aus den Bestimmungen dieses AVV keine darüber hinausgehenden Pflichten ergeben.

## 3. Details zur Datenverarbeitung

<table>
<thead>
  <tr>
    <th>
      Kategorie
    </th>
    
    <th>
      Beschreibung
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      <strong>
        Gegenstand
      </strong>
    </td>
    
    <td>
      Bereitstellung der KI-gestützten Plattform „Minds", einschließlich synthetischer Panels, KI-Personas und verwandter Dienste
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Dauer
      </strong>
    </td>
    
    <td>
      Für die Laufzeit der Hauptvereinbarung
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Art und Zweck
      </strong>
    </td>
    
    <td>
      Verarbeitung der vom Verantwortlichen bereitgestellten Daten zur Erstellung kundeneigener KI-Modelle und Personas. Analyse, Simulation und Generierung synthetischer Antworten. Eine Verwendung der Daten des Verantwortlichen für das Training allgemeiner oder für Dritte zugänglicher Modelle findet nicht statt. Die KI-Unterauftragsverarbeiter (OpenAI, Anthropic, Google) werden über API-Endpunkte mit Zero Data Retention (ZDR) genutzt.
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Arten personenbezogener Daten
      </strong>
    </td>
    
    <td>
      Kontaktdaten (Name, E-Mail), Zugangsdaten, Nutzungsdaten, vom Verantwortlichen bereitgestellte Inhaltsdaten (Texte, Bilder, Audio), technische Daten (IP-Adresse, Browser), Zahlungsdaten (via Stripe)
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Kategorien betroffener Personen
      </strong>
    </td>
    
    <td>
      Mitarbeiter und Beauftragte des Verantwortlichen, vom Verantwortlichen eingeladene Endnutzer, Personen, deren Daten vom Verantwortlichen in die Plattform eingegeben werden
    </td>
  </tr>
</tbody>
</table>

## 4. Weisungsrecht

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen, einschließlich der in diesem AVV und der Hauptvereinbarung festgelegten Weisungen, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

4.2 Weisungen können schriftlich oder in Textform (auch per E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

4.3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

## 5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

5.1 Personenbezogene Daten nur im Rahmen der Weisungen des Verantwortlichen zu verarbeiten und nicht für eigene Zwecke zu verwenden.

5.2 Sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu implementieren und während der gesamten Dauer des AVV aufrechtzuerhalten. Die aktuellen TOMs sind in **Anlage 1 – Technische und Organisatorische Maßnahmen (TOM)** dieses AVV beschrieben und unter [https://getminds.ai/legal/tom](/legal/tom) einsehbar.

5.4 Den Verantwortlichen unverzüglich zu informieren, wenn der Auftragsverarbeiter Kenntnis davon erlangt, dass es bei der Verarbeitung zu Verstößen gegen die DSGVO oder andere Datenschutzvorschriften gekommen ist.

5.5 Einen Datenschutzbeauftragten zu benennen, soweit gesetzlich erforderlich. Der aktuelle Datenschutzbeauftragte ist:

Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Deutschland. E-Mail: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 6. Rechte der betroffenen Personen

6.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch).

6.2 Wendet sich eine betroffene Person mit einem Antrag direkt an den Auftragsverarbeiter, so leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.

## 7. Unterstützung bei Datenschutzpflichten

7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere:

- bei der Gewährleistung der Sicherheit der Verarbeitung (Art. 32 DSGVO);
- bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO);
- bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO);
- bei einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

7.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Anfragen und Untersuchungen durch Datenschutz-Aufsichtsbehörden, die die Auftragsverarbeitung betreffen.

## 8. Unterauftragsverarbeiter

8.1 Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO, vorbehaltlich der Anforderungen dieses Abschnitts.

8.2 Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Unterauftragsverarbeiter sind unter [https://getminds.ai/legal/subprocessors](/legal/subprocessors) aufgeführt.

8.3 Der Auftragsverarbeiter teilt dem Verantwortlichen jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens **14 Tage** vor der geplanten Änderung mit, um dem Verantwortlichen die Möglichkeit zu geben, Einspruch zu erheben.

8.4 Erhebt der Verantwortliche innerhalb der Frist Einwände, bemühen sich die Parteien, eine einvernehmliche Lösung zu finden. Ist dies nicht möglich, hat der Verantwortliche das Recht, die Hauptvereinbarung außerordentlich zu kündigen.

8.5 Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegen wie in diesem AVV festgelegt (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet für das Verschulden seiner Unterauftragsverarbeiter wie für eigenes Verschulden.

## 9. Datenübermittlung in Drittländer

9.1 Eine Verarbeitung personenbezogener Daten in einem Drittland oder durch eine internationale Organisation darf nur erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

9.2 Für Unterauftragsverarbeiter mit Sitz in den USA wird die Übermittlung auf Grundlage folgender Garantien durchgeführt:

- EU-US Data Privacy Framework (DPF), soweit der Unterauftragsverarbeiter zertifiziert ist
- Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914

9.3 Für Unterauftragsverarbeiter im Vereinigten Königreich gilt der Angemessenheitsbeschluss der Europäischen Kommission (Beschluss 2021/1772).

9.4 Der Auftragsverarbeiter überwacht den Status der jeweiligen Angemessenheitsbeschlüsse und Transfermechanismen und informiert den Verantwortlichen, falls Änderungen eine Anpassung der Transfergrundlage erfordern.

9.5 Erhält der Auftragsverarbeiter oder einer seiner Unterauftragsverarbeiter eine behördliche Anordnung zur Herausgabe personenbezogener Daten (einschließlich Anordnungen nach dem US CLOUD Act, FISA oder vergleichbaren Rechtsvorschriften), informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, soweit dies rechtlich zulässig ist. Der Auftragsverarbeiter wird die Rechtmäßigkeit der Anordnung prüfen und angemessene Rechtsmittel einlegen, bevor personenbezogene Daten offengelegt werden.

## 10. Meldung von Verletzungen des Schutzes personenbezogener Daten

10.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von **24 Stunden**, nachdem er eine Verletzung des Schutzes personenbezogener Daten festgestellt hat. Die Meldung erfolgt auch dann, wenn noch nicht alle Informationen vorliegen; fehlende Angaben werden unverzüglich nachgereicht.

10.2 Die Meldung enthält mindestens:

- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen.

10.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

## 11. Prüf- und Kontrollrechte

11.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

11.2 Der Verantwortliche ist berechtigt, Überprüfungen einschließlich Inspektionen beim Auftragsverarbeiter durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Solche Prüfungen finden nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten statt und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

11.3 Der Auftragsverarbeiter kann aktuelle Prüfberichte, Zertifizierungen oder Auszüge davon vorlegen, um die Einhaltung nachzuweisen.

11.4 Beauftragte Drittprüfer sind vorab zur Vertraulichkeit zu verpflichten. Kosten der Prüfung trägt der Verantwortliche, sofern nicht ein Verstoß des Auftragsverarbeiters festgestellt wird.

## 12. Löschung und Rückgabe personenbezogener Daten

12.1 Nach Beendigung der Hauptvereinbarung löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von **30 Tagen**, es sei denn, der Verantwortliche verlangt die Rückgabe der Daten in einem gängigen, maschinenlesbaren Format.

12.2 Die Löschung erfolgt nach dem Stand der Technik und wird dem Verantwortlichen auf Verlangen schriftlich bestätigt.

12.3 Soweit eine Aufbewahrung nach dem Recht der Union oder der Mitgliedstaaten erforderlich ist, informiert der Auftragsverarbeiter den Verantwortlichen über die Aufbewahrungspflicht und die betreffenden Daten.

## 13. Haftung

13.1 Die Haftung der Parteien richtet sich nach Art. 82 DSGVO.

13.2 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die auf eine nicht der DSGVO oder den Weisungen des Verantwortlichen entsprechende Verarbeitung zurückzuführen sind.

13.3 Der Auftragsverarbeiter haftet für das Verschulden seiner Unterauftragsverarbeiter wie für eigenes Verschulden.

13.4 Sofern keine abweichende Regelung in der Hauptvereinbarung getroffen wird, ist die Gesamthaftung des Auftragsverarbeiters auf die in den letzten 12 Monaten vor dem haftungsbegründenden Ereignis an den Auftragsverarbeiter gezahlte Vergütung begrenzt. Diese Begrenzung gilt nicht für Ansprüche aus vorsätzlichem oder grob fahrlässigem Handeln sowie nicht für Ansprüche, deren Begrenzung nach zwingenden Bestimmungen der DSGVO unzulässig ist.

## 14. Änderungen des AVV

14.1 Der Auftragsverarbeiter ist berechtigt, diesen AVV mit einer Frist von mindestens 30 Tagen vor Inkrafttreten der Änderung anzupassen, soweit dies aufgrund von Gesetzesänderungen, behördlichen Anordnungen, technischen Entwicklungen oder Änderungen der Verarbeitungstätigkeiten erforderlich ist.

14.2 Der Verantwortliche wird über Änderungen per E-Mail an die im Konto hinterlegte Adresse informiert. Die geänderte Fassung wird unter [https://getminds.ai/legal/dpa](/legal/dpa) veröffentlicht.

14.3 Widerspricht der Verantwortliche den Änderungen nicht innerhalb von 30 Tagen nach Zugang der Mitteilung, gelten die Änderungen als genehmigt. Der Auftragsverarbeiter weist in der Änderungsmitteilung auf diese Rechtsfolge hin.

14.4 Widerspricht der Verantwortliche, bemühen sich die Parteien um eine einvernehmliche Lösung. Ist dies nicht möglich, hat der Verantwortliche das Recht, die Hauptvereinbarung außerordentlich zu kündigen.

## 15. Schlussbestimmungen

15.1 Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

15.2 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Berlin, soweit gesetzlich zulässig.

15.3 Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit nicht in Abschnitt 14 abweichend geregelt.

15.4 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt.

15.5 Im Falle von Widersprüchen zwischen diesem AVV und der Hauptvereinbarung geht dieser AVV in Bezug auf den Schutz personenbezogener Daten vor.

---

**Art of X UG (haftungsbeschränkt)**
Köpenicker Straße 145, 10997 Berlin, Deutschland
Geschäftsführer: Friedrich von Borries und Alexander Doudkin

Bei Fragen zu diesem AVV: [privacy@getminds.ai](mailto:privacy@getminds.ai)

---

# Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

**Stand: 20. Februar 2026**

Die Art of X UG (haftungsbeschränkt) („Minds") setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten.

---

## 1. Zugangs- und Zutrittskontrolle

### Physische Zutrittskontrolle

Die Infrastruktur von Minds wird ausschließlich bei zertifizierten Cloud-Anbietern betrieben:

- **DigitalOcean** – Rechenzentrum Frankfurt, Deutschland (EU). Zertifizierungen: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018.
- **Supabase** – Rechenzentrum Stockholm, Schweden (EU), gehostet auf AWS. Zertifizierungen: SOC 2 Type II.

Die physische Sicherheit (biometrische Zugangskontrollen, 24/7-Überwachung, Zutrittsprotokollierung) wird vollständig von den Cloud-Anbietern gewährleistet.

### Logische Zugangskontrolle

- Rollenbasierte Zugriffskontrolle (RBAC) für alle internen Systeme und Administrationsoberflächen.
- Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiterzugänge zu Produktionssystemen.
- Individuelle Benutzerkonten – keine geteilten Zugangsdaten.
- Regelmäßige Überprüfung und Entzug von Zugriffsrechten nach dem Prinzip der minimalen Berechtigung (Least Privilege).
- API-Schlüssel und Zugangsdaten werden in verschlüsselten Secrets-Managern verwaltet.

---

## 2. Verschlüsselung

### Verschlüsselung bei der Übertragung (in transit)

- Sämtliche Datenübertragungen erfolgen über TLS 1.2 oder höher.
- HSTS (HTTP Strict Transport Security) ist für alle öffentlichen Endpunkte aktiviert.
- Interne Kommunikation zwischen Diensten ist ebenfalls verschlüsselt.

### Verschlüsselung bei der Speicherung (at rest)

- Datenbanken (Supabase/PostgreSQL) verwenden AES-256-Verschlüsselung für ruhende Daten.
- Datei-Speicher (DigitalOcean Spaces / Supabase Storage) verwenden serverseitige AES-256-Verschlüsselung.
- Backups werden ebenfalls verschlüsselt gespeichert.

---

## 3. Mandantentrennung (Datenseparation)

- Strikte logische Trennung der Kundendaten auf Datenbankebene durch Tenant-Isolation (Row-Level Security in PostgreSQL).
- Jeder Kunde hat nur Zugriff auf seine eigenen Daten – durchgesetzt auf Datenbank- und API-Ebene.
- Automatisierte Tests stellen sicher, dass keine Cross-Tenant-Datenlecks auftreten.

---

## 4. Verfügbarkeit und Belastbarkeit

### Hosting-Architektur

- Anwendung läuft auf DigitalOcean App Platform mit automatischer Skalierung und Health Checks.
- Datenbank auf Supabase mit High-Availability-Konfiguration.

### Backup und Wiederherstellung

- Tägliche automatische Datenbank-Backups mit einer Aufbewahrungsfrist von mindestens 7 Tagen.
- Point-in-Time-Recovery (PITR) für die PostgreSQL-Datenbank.
- Regelmäßige Tests der Wiederherstellungsverfahren.
- Recovery Time Objective (RTO): gemäß SLA.
- Recovery Point Objective (RPO): maximal 24 Stunden.

---

## 5. Incident Response (Störfall- und Vorfallmanagement)

- Dokumentierter Incident-Response-Prozess für Sicherheitsvorfälle.
- Benachrichtigung des Verantwortlichen (Kunden) innerhalb von **24 Stunden** nach Kenntnisnahme einer Datenschutzverletzung gemäß den Bestimmungen der Auftragsverarbeitungsvereinbarung (AVV).
- Protokollierung und Nachverfolgung aller sicherheitsrelevanten Vorfälle.
- Regelmäßige Überprüfung und Aktualisierung des Incident-Response-Plans.

---

## 6. Vertraulichkeit und Mitarbeiterverpflichtung

- Alle Mitarbeiter und Auftragnehmer sind auf die Vertraulichkeit verpflichtet (Vertraulichkeitsvereinbarungen / NDAs).
- Regelmäßige Datenschutz-Schulungen für alle Mitarbeiter.
- Verpflichtung auf das Datengeheimnis gemäß DSGVO.
- Zugriff auf personenbezogene Daten nur nach dem Need-to-know-Prinzip.

---

## 7. Auftragsverarbeiter-Management (Subprocessor)

- Sorgfältige Auswahl von Unterauftragsverarbeitern nach Datenschutz- und Sicherheitskriterien.
- Vertragliche Verpflichtung aller Unterauftragsverarbeiter auf DSGVO-konforme Datenverarbeitung.
- Regelmäßige Überprüfung der Unterauftragsverarbeiter.
- Aktuelle Liste der Unterauftragsverarbeiter ist unter [Subprocessors](/legal/subprocessors) einsehbar.
- Vorabinformation des Kunden bei Änderungen gemäß AVV.

---

## 8. Protokollierung und Überwachung

- Zentrale Protokollierung von Systemereignissen und Zugriffen.
- **Langfuse** für die Überwachung und Nachverfolgung von KI-Modell-Interaktionen (gehostet in der EU).
- **PostHog** für Produktanalysen – ausschließlich mit ausdrücklicher Nutzereinwilligung (Consent-basiert).
- Überwachung kritischer Systemmetriken mit automatischen Alarmen.
- Regelmäßige Überprüfung der Protokolle auf Anomalien.

---

## 9. Datenminimierung und Pseudonymisierung

### Datenminimierung

- Erhebung und Verarbeitung nur der personenbezogenen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind.
- Regelmäßige Überprüfung der verarbeiteten Datenkategorien auf Erforderlichkeit.
- Automatische Löschung nicht mehr benötigter Daten gemäß definierten Aufbewahrungsfristen.

### Pseudonymisierung

- Wo technisch möglich und sinnvoll, werden personenbezogene Daten pseudonymisiert verarbeitet.
- Interne Verarbeitung erfolgt vorrangig über UUIDs statt Klarnamen.
- Analytische Auswertungen werden auf aggregierter oder pseudonymisierter Basis durchgeführt.

---

## 10. Regelmäßige Überprüfung und Bewertung

- Regelmäßige Sicherheitsüberprüfungen der Infrastruktur und Anwendungen.
- Abhängigkeiten werden regelmäßig auf bekannte Schwachstellen geprüft (Dependency Scanning).
- Überprüfung und Aktualisierung dieser TOM mindestens einmal jährlich oder bei wesentlichen Änderungen der Verarbeitungstätigkeiten.
- Kontinuierliche Verbesserung der Sicherheitsmaßnahmen auf Basis aktueller Bedrohungslagen.

---

## 11. Weitere Maßnahmen

### Eingabekontrolle

- Protokollierung von Änderungen an personenbezogenen Daten (Audit Trail).
- Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat.

### Weitergabekontrolle

- Datenübertragungen erfolgen ausschließlich verschlüsselt.
- Keine Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau (Angemessenheitsbeschluss oder Standardvertragsklauseln).

### Auftragskontrolle

- Verarbeitung personenbezogener Daten ausschließlich gemäß den Weisungen des Auftraggebers.
- Vertragliche Regelung der Auftragsverarbeitung in der AVV.

---

*Diese technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert, um ein dem aktuellen Stand der Technik entsprechendes Schutzniveau sicherzustellen.*