Auftragsverarbeitungsvertrag

Version vom 27.09.2021

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Teil der Vereinbarung (im Folgenden die
„Vereinbarung“), die zwischen OVH GmbH („OVHcloud“) und dem Kunden abgeschlossen wurde und
die die Bedingungen beschreibt, die für die von OVHcloud erbrachten Dienstleistungen
(„Dienstleistungen“) gelten. Dieser AVV und die anderen Bestimmungen der Vereinbarung ergänzen
sich gegenseitig. Im Falle von Abweichungen gehen jedoch die Bestimmungen des AVV vor.
Ausdrücke, die mit einem Großbuchstaben beginnen und die in diesem AVV nicht definiert sind, haben

die in der Vereinbarung festgelegte Bedeutung. Die Begriffe „Betroffene/r“ , „Verbindliche interne

Datenschutzvorschriften”, „Verantwortlicher”, „Personenbezogene Daten”, „Verletzung des Schutzes

Personenbezogener Daten”, „Verarbeitung”, „Auftragsverarbeiter”, „Aufsichtsbehörde” haben die
Bedeutung wie in der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.
April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr („Datenschutz-Grundverordnung” oder „DSGVO”).

In diesem AVV sollen die Bedingungen gemäß Artikel 28 DSGVO festgelegt werden, unter denen
OVHcloud als Auftragsverarbeiter und als Teil der in der Vereinbarung definierten Dienstleistungen

berechtigt ist, die Verarbeitung Personenbezogener Daten im Namen und auf Weisung des Kunden
durchzuführen, mit Ausnahme der von OVHcloud als Verantwortlicher durchgeführten Tätigkeiten zur

Verarbeitung personenbezogener Daten. Die Bedingungen, unter denen OVHcloud als
Verantwortlicher personenbezogene Daten des Auftraggebers (einschließlich der Beauftragten des
Auftraggebers) verarbeitet, sind in der OVHcloud-Datenverwendungsrichtlinie festgelegt.
Für die Zwecke dieses AVVs kann der Kunde in Bezug auf Personenbezogene Daten entweder als
„Verantwortlicher“ oder als „Auftragsverarbeiter“ fungieren; sofern der Kunde als Auftragsverarbeiter

im Auftrag eines anderen Verantwortlichen handelt, stimmen die Parteien ausdrücklich den folgenden

Bedingungen zu:

(a) Der Kunde stellt sicher, dass (i) alle erforderlichen Genehmigungen für den Abschluss dieses

AVV, einschließlich der Ernennung von OVHcloud als Unterauftragsverarbeiter durch den
Kunden, von dem Verantwortlichen eingeholt wurden, (ii) ein Vertrag, der in vollem Einklang
mit den Bestimmungen der Vereinbarung einschließlich dieses AVV steht, mit dem
Verantwortlichen gemäß Artikel 28 DSGVO abgeschlossen wurde, (iii) sämtliche Weisungen, die
OVHcloud von dem Kunden in Ausführung der Vereinbarung und dieses AVV erhalten hat,
vollständig im Einklang mit den Weisungen des Verantwortlichen stehen und (iv) alle von
OVHcloud gemäß diesem AVV mitgeteilten oder zur Verfügung gestellten Informationen dem
Verantwortlichen bei Bedarf entsprechend mitgeteilt werden.

(b) OVHcloud wird (i) Personenbezogene Daten ausschließlich auf Weisung des Kunden
verarbeiten und (ii) keine Weisungen direkt vom Verantwortlichen erhalten, außer in den
Fällen, in denen der Kunde faktisch nicht mehr besteht oder aufgehört hat rechtlich zu
existieren, ohne dass ein Rechtsnachfolger die Rechte und Pflichten des Kunden übernimmt.

(c) Der Kunde, der OVHcloud gegenüber die volle Verantwortung für die ordnungsgemäße
Erfüllung der Pflichten des Verantwortlichen gemäß diesem AVV trägt, wird OVHcloud
entschädigen und OVHcloud von (i) jeglicher Nichteinhaltung des anwendbaren Rechts durch
den Verantwortlichen, und (ii) jeglicher Handlung, Forderung oder Beschwerde des

Verantwortlichen bezüglich der Bestimmungen der Vereinbarung (einschließlich dieses AVV)
oder jeglicher Weisung, die OVHcloud vom Kunden erhalten hat, schadlos halten.

1. Anwendungsbereich

  • 1.1 OVHcloud ist als ein Auftragsverarbeiter, der auf Weisung des Kunden handelt, berechtigt, die Personenbezogenen Daten des Verantwortlichen in dem zur Erbringung der Dienstleistungen erforderlichen Umfang zu verarbeiten.
  • 1.2 Bei den von OVHcloud vorgenommenen Verarbeitungen Personenbezogener Daten kann es sich um das Computing, die Speicherung und/oder andere Dienstleistungen, wie sie in der Vereinbarung beschrieben sind, handeln.
  • 1.3 Die Art der Personenbezogenen Daten und die Kategorien der betroffenen Personen werden vom Kunden nach alleinigem Ermessen festgelegt und kontrolliert.
  • 1.4 Die Verarbeitungstätigkeiten werden von OVHcloud während der in der Vereinbarung
    vorgesehenen Dauer ausgeführt.

2. Auswahl der Dienstleistungen

  • 2.1 Der Kunde ist allein verantwortlich für die Auswahl der Dienstleistungen. Der Kunde stellt sicher, dass die ausgewählten Dienstleistungen die erforderlichen Merkmale aufweisen und Bedingungen erfüllen, um den Tätigkeiten des Verantwortlichen und den Zwecken der Verarbeitung nachzukommen, sowie die Art der im Rahmen der Dienstleistungen zu verarbeitenden Personenbezogenen Daten, einschließlich, aber nicht beschränkt auf den Einsatz der Dienstleistungen
    für die Verarbeitung Personenbezogener Daten, beinhalten, die bestimmten Vorschriften oder Standards unterliegen (z. B. in einigen Ländern Gesundheits- oder Bankdaten). Der Kunde ist darüber informiert, dass OVHcloud bestimmte Dienstleistungen mit organisatorischen Maßnahmen und Sicherheitsvorkehrungen, die speziell für die Verarbeitung von Gesundheits- oder Bankdaten konzipiert sind, vorschlägt.
  • 2.2 Wenn die Verarbeitung durch den Verantwortlichen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Kunde seine Dienstleistungen sorgfältig auswählen. Bei der Risikobewertung sind insbesondere folgende Kriterien zu berücksichtigen: Beurteilung oder Bewertung der betroffenen Personen; automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich signifikanter Wirkung; systematische Überwachung der betroffenen Personen; Verarbeitung von sensiblen oder höchstpersönlichen Daten; umfangreiche Verarbeitung; Abgleich oder Kombination von Datensätzen; Verarbeitung von Daten in Bezug auf schutzbedürftige betroffene Personen; Verwendung innovativer neuer Technologien, die der Öffentlichkeit nicht bekannt sind, für die Verarbeitung.
  • 2.3 OVHcloud stellt dem Kunden unter den im Abschnitt „Überprüfungen“ dargelegten Bedingungen
    Informationen über die im Rahmen der Dienstleistungen getroffenen Sicherheitsmaßnahmen zur
    Verfügung, soweit dies zur Beurteilung ihrer Einhaltung von Verarbeitungstätigkeiten des
    Verantwortlichen erforderlich ist.

3. Einhaltung der geltenden Vorschriften

Jede Partei muss die geltenden Datenschutzvorschriften (einschließlich der DatenschutzGrundverordnung) einhalten.

4. Pflichten von OVHcloud

4.1 OVHcloud verpflichtet sich:

  • a) die vom Kunden hochgeladenen, gespeicherten und im Zusammenhang mit den
    Dienstleistungen genutzten Personenbezogenen Daten nur in dem Umfang zu verarbeiten, wie dies für die Erbringung der Dienstleistungen im Sinne der Vereinbarung erforderlich und angemessen ist,
  • b) die Personenbezogenen Daten für keine anderen Zwecke als zur Erbringung der
    Dienstleistungen (insbesondere in Bezug auf die Verwaltung von Vorfällen) erforderlich ist, abzurufen oder zu nutzen,
  • c) die in der Vereinbarung beschriebenen technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit Personenbezogener Daten innerhalb der Dienstleistungen zu gewährleisten,
  • d) sicherzustellen, dass die zur Verarbeitung der Personenbezogenen Daten im Rahmen der Vereinbarung befugten Mitarbeiter von OVHcloud einer Geheimhaltungspflicht unterliegen und angemessene Schulungen zum Schutz Personenbezogener Daten erhalten,
  • e) den Kunden zu informieren, wenn eine Weisung des Kunden nach Meinung von OVHcloud und nach den OVHcloud zur Verfügung stehenden Informationen gegen die DatenschutzGrundverordnung oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt.

4.2 Bei Ersuchen von Justiz-, Verwaltungs- oder anderen Behörden

um Übermittlung von personenbezogenen Daten, die von OVHcloud gemäß dieses AVV verarbeitet werden, unternimmt OVHcloud geeignete Anstrengungen, um (i) die Zuständigkeit der ersuchenden Behörde und die Rechtmäßigkeit des Ersuchens zu prüfen, (ii) nur auf Behörden und Ersuchen zu antworten, die nicht offensichtlich unzuständig und unrechtmäßig sind, (iii) die Übermittlung auf Daten zu beschränken, die von der Behörde verlangt werden und (iv) den Kunden vorab zu informieren (sofern dies nicht durch geltendes Recht untersagt ist).

4.3 Wenn das Ersuchen von einer außereuropäischen Behörde

kommt, die die Übermittlung personenbezogener Daten verlangt, die von OVHcloud gemäß dieses AVV im Namen eines
europäischen Kunden verarbeitet werden, lehnt OVHcloud das Ersuchen ab, außer in folgenden Fällen:

  • (x) Das Ersuchen erfolgt gemäß einem internationalen Abkommen, wie z.B. einem
    Rechtshilfeabkommen, das zwischen dem ersuchenden Land und der Europäischen Union oder dem Mitgliedstaat, in dem sich die personenbezogenen Daten befinden, oder dem Mitgliedstaat der OVHcloud-Gesellschaft, bei der der Kunde sein OVHcloud-Kundenkonto registriert hat, in Kraft ist;
  • (y) die angeforderten personenbezogenen Daten in einem Rechenzentrum außerhalb der Europäischen Union gespeichert sind;
  • (z) das Ersuchen gemäß Artikel 49 DSGVO gestellt wird, insbesondere einen wichtigen Grund des öffentlichen Interesses verfolgt, der durch das Unionsrecht oder das Recht der Mitgliedstaaten der
    Europäischen Union anerkannt ist, oder zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist.

4.4 Auf schriftliches Verlangen des Kunden wird OVHcloud den Kunden bei der Durchführung von

Datenschutz-Folgenabschätzungen und bei der Konsultation mit der zuständigen Aufsichtsbehörde
angemessen unterstützen, wenn der Kunde dazu nach dem geltenden Datenschutzrecht verpflichtet
ist, und jeweils nur in dem Umfang, wie eine solche Unterstützung notwendig ist und sich auf die

Verarbeitung Personenbezogener Daten durch OVHcloud gemäß diesem Vertrag bezieht. Eine solche
Unterstützung besteht darin, Transparenz über die Sicherheitsmaßnahmen zu schaffen, die OVHcloud
für seine Dienstleistungen getroffen hat.

4.5 OVHcloud verpflichtet sich, folgende technische und organisatorische Maßnahmen zu treffen:

  • (a) physische Sicherheitsmaßnahmen, die den Zugang unberechtigter Personen zur
    Infrastruktur, in welcher die Daten des Kunden gespeichert sind, verhindern sollen,
  • (b) Identitäts- und Zugriffsprüfungen unter Verwendung eines Authentifizierungssystems
    sowie einer Kennwortrichtlinie,
  • (c) ein Zugangsverwaltungssystem, das den Zugang zu den Räumlichkeiten auf diejenigen
    Personen beschränkt, die einen solchen Zugang im Rahmen ihrer Aufgaben und im Rahmen
    ihres Verantwortungsbereichs benötigen,
  • (d) Sicherheitspersonal, das für die Überwachung der physischen Sicherheit der
    Räumlichkeiten von OVHcloud verantwortlich ist,
  • (e) ein System, das Kunden physisch und logisch voneinander isoliert,
  • (f) Authentifizierungsverfahren für Benutzer und Administratoren sowie Maßnahmen zum Schutz vor dem Zugriff auf Verwaltungsfunktionen,
  • (g) ein Zugangsverwaltungssystem für Support- und Wartungsvorgänge, das nach dem
    Grundsatz der geringsten Berechtigung (Principal of Least Privilege) und dem Need-toKnow-Prinzip funktioniert, und
  • (h) Prozesse und Maßnahmen zur Nachverfolgung von Handlungen, die an ihrem
    Informationssystem durchgeführt werden.

4.6 Diese technischen und organisatorischen Maßnahmen sind auf der OVHcloud-Website näher

beschrieben.

5. Verletzung des Schutzes Personenbezogener Daten

5.1 Wenn OVHcloud von einem Vorfall Kenntnis erhält, der sich auf die Personenbezogenen Daten des

Verantwortlichen auswirkt (z.B. unbefugter Zugriff, Verlust, unbefugte Offenlegung oder Änderung
von Daten), muss OVHcloud dies dem Kunden unverzüglich melden.

5.2 Die Meldung muss folgende Informationen enthalten: (i) eine Beschreibung der Art des Vorfalls, (ii) eine Beschreibung der wahrscheinlichen Folgen des Vorfalls, (iii) eine Beschreibung der von

OVHcloud ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls, und (iv) die
Anlaufstellen von OVHcloud.

6. Standort und Übermittlung Personenbezogener Daten

6.1 Erlaubt ein Dienst dem Kunden, Inhalte und insbesondere personenbezogene Daten zu speichern,

so wird auf der OVHcloud-Website der Standort bzw. das geografische Gebiet des/der verfügbaren
Rechenzentrums/Rechenzentren angegeben. Sollten mehrere Standorte oder geografische Gebiete
zur Verfügung stehen, wählt der Kunde bei der Übermittlung seiner Bestellung den/die Standort(e)
seiner Wahl aus. Vorbehaltlich gegenteiliger Bestimmungen in den geltenden Besonderen
Dienstleistungsbedingungen ändert OVHcloud den bei der Übermittlung der Bestellung gewählten
Standort oder geografischen Bereich nicht ohne vorherige Zustimmung des Kunden.

6.2 Vorbehaltlich der vorstehenden Bestimmung über den Standort des Rechenzentrums können

OVHcloud und autorisierte Unterauftragsverarbeiter gemäß nachstehendem Abschnitt 7 die Inhalte
des Kunden aus der Ferne verarbeiten, sofern diese Verarbeitungsvorgänge für die Ausführung der
Dienste erforderlich sind, insbesondere in Bezug auf Sicherheits- und Wartungszwecke.

6.3 In Bezug auf die Nutzung von Diensten, die sich in außereuropäischen Rechenzentren befinden,

  • (a) können sich die Rechenzentren in Ländern befinden, die keinem Angemessenheitsbeschluss der
    Europäischen Kommission gemäß Artikel 45 der DSGVO unterliegen („Angemessenheitsbeschluss“)
    und/oder
  • (b) können die Inhalte des Kunden gemäß den Abschnitten 6.2 und 7 dieser AVV von solchen
    Ländern aus verarbeitet werden, die keinem Angemessenheitsbeschluss unterliegen.

6.4 Wenn der Kunde zum Zweck der Verarbeitung personenbezogener Daten, die der DSGVO

unterliegen, beabsichtigt, die in Abschnitt 6.3 oben genannten Dienste zu nutzen, müssen die durch
den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 festgelegten
Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß
der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (die
„Standardvertragsklauseln“) im Voraus umgesetzt werden. Zu diesem Zweck wird sich der Kunde mit
OVHcloud in Verbindung setzen, wobei OVHcloud keine Garantie für die Umsetzbarkeit und
Wirksamkeit der Standardvertragsklauseln übernimmt.

6.5 Wenn die geltenden Geschäftsbedingungen vorsehen, dass die Verarbeitung personenbezogener

Daten, die diesem AVV unterliegen, von einem oder mehreren außereuropäischen Ländern aus
betrieben werden kann, die nicht Gegenstand eines Angemessenheitsbeschlusses sind, stellt
OVHcloud für Dienstleistungen in europäischen Rechenzentren Standardvertragsklauseln zur
Verfügung, die für die Übermittlungen gelten, oder setzt von OVHcloud für geeignet gehaltene
Garantien gemäß Kapitel V der DSGVO um.

6.6 Kommen Standardvertragsklauseln gemäß den Abschnitten 6.3, 6.4 und 6. 5 dieses AVV zur

Anwendung, ist der Kunde dafür verantwortlich, (i) die Wirksamkeit der Standardvertragsklauseln
(einschließlich der relevanten technischen und organisatorischen Maßnahmen) zu bewerten,
insbesondere unter Berücksichtigung der Datenkategorien, die der Kunde im Rahmen der
Dienstleistungen zu verarbeiten beabsichtigt, sowie der Gesetze und Praktiken der Empfängerländer,
um festzustellen, ob es in den genannten Gesetzen oder Praktiken irgendetwas gibt, das die
Wirksamkeit der Standardvertragsklauseln beeinträchtigen könnte, und (ii) wenn die Bewertung
ergibt, dass die Standardvertragsklauseln nicht wirksam sind, die vom Europäischen
Datenschutzausschuss empfohlenen zusätzlichen Maßnahmen zu ergreifen, um ein Schutzniveau zu
gewährleisten, das im Wesentlichen dem in der Europäischen Union garantierten gleichwertig ist.
OVHcloud verpflichtet sich, den Auftraggeber zu unterstützen, indem es auf Anfrage alle in seinem
Besitz befindlichen Informationen mitteilt, die für die Beurteilung des Auftraggebers nützlich sein
könnten.

6.7 Alle geltenden Standardvertragsklauseln werden durch die anderen geltenden

Dienstleistungsbedingungen (einschließlich dieses AVV) ergänzt, die sinngemäß sowohl für den/die
Datenimporteur(e) als auch für den/die Datenexporteur(e) gelten, sofern sie nicht im Widerspruch zu
den Standardvertragsklauseln stehen. Im Falle eines Konflikts gelten vorrangig die
Standardvertragsklauseln.

7. Unterauftragsverarbeitung

7.1 Vorbehaltlich der Bestimmungen des obigen Abschnitts „Standort und Übermittlung

Personenbezogener Daten“ ist OVHcloud berechtigt, Unterauftragnehmer zur Unterstützung bei der
Erbringung der Dienstleistungen hinzuziehen. Im Rahmen dieser Unterstützung können die
Unterauftragnehmer an den Datenverarbeitungsaktivitäten von OVHcloud auf Weisung des Kunden
teilnehmen.

7.2 Die Liste der Unterauftragnehmer, die berechtigt sind, an den von OVHcloud auf Weisung des

Kunden durchgeführten Verarbeitungstätigkeiten teilzunehmen („Unterauftragsverarbeiter“),
einschließlich der betreffenden Dienstleistungen und des Ortes, von dem aus sie die
Personenbezogenen Daten des Kunden gemäß dieser Vereinbarung verarbeiten dürfen, ist (a) auf der
OVHcloud-Website oder, (b) wenn ein Unterauftragsverarbeiter nur an der Erbringung einer
bestimmten Dienstleistung beteiligt ist, in den jeweils geltenden Besonderen Geschäftsbedingungen
aufgeführt.

7.3 Wenn OVHcloud beschließt, einen Unterauftragsverarbeiter zu wechseln oder einen neuen
Unterauftragsverarbeiter zu beauftragen („Unterauftragsverarbeiteränderung“), benachrichtigt
OVHcloud den Kunden in dessen Bedienfeld oder per E-Mail (an die im Kundenkonto registrierte EMail-Adresse) (a) dreißig (30) Tage im Voraus, wenn der Unterauftragsverarbeiter ein Verbundenes
Unternehmen von OVHcloud mit Sitz in der Europäischen Union oder in einem Land ist, für das ein
Angemessenheitsbeschluss vorliegt, oder (b) neunzig (90) Tage im Voraus, in jedem anderen Fall. Der
Kunde hat das Recht, gegen eine Unterauftragsverarbeiteränderung gemäß der DSGVO Einspruch zu
erheben. Der Kunde hat OVHcloud den Einspruch innerhalb von fünfzehn (15) Tagen nach der
Mitteilung über eine Unterauftragsverarbeiteränderung durch OVHcloud an den Kunden unter
Angabe der Gründe für den Einspruch mitzuteilen. Ein solcher Einspruch ist vom Kunden über seine
Managementschnittstelle unter Verwendung der Kategorie „Datenschutzanfrage“ oder schriftlich an
den Datenschutzbeauftragten, OVH SAS, 2 rue Kellermann 59100 Roubaix (Frankreich) zu richten.
OVHcloud ist in keinem Fall verpflichtet, auf eine Unterauftragsverarbeiteränderung zu verzichten.
Verzichtet
OVHcloud
nach
dem
Einspruch
eines
Kunden
nicht
auf
die
Unterauftragsverarbeiteränderung, hat der Kunde das Recht, die betroffenen Dienstleistungen zu
kündigen.

7.4 OVHcloud stellt sicher, dass die Unterauftragsverarbeiter zumindest in der Lage sind, die von
OVHcloud im vorliegenden AVV übernommenen Verpflichtungen hinsichtlich der Verarbeitung
Personenbezogener Daten durch den Unterauftragsverarbeiter zu erfüllen. Zu diesem Zweck schließt
OVHcloud eine Vereinbarung mit dem Unterauftragsverarbeiter. OVHcloud haftet gegenüber dem
Kunden unbeschränkt dafür, dass der Unterauftragsverarbeiter solchen Pflichten nachkommt.

7.5 OVHcloud wird hiermit ermächtigt, Drittanbieter (wie Energieversorger, Netzbetreiber,
Netzzusammenschaltungspunkt-Manager oder gemeinsam genutzte Rechenzentren, Material- und
Softwareanbieter, Transportunternehmen, technische Anbieter, Sicherheitsunternehmen)
ungeachtet ihres Standorts zu beauftragen, ohne den Kunden informieren oder seine vorherige
Zustimmung einholen zu müssen, sofern diese Drittanbieter die Personenbezogenen Daten des
Kunden nicht verarbeiten.

8. Pflichten des Kunden

8.1 Für die Verarbeitung Personenbezogener Daten, wie im Vertrag vorgesehen, muss der Kunde
OVHcloud schriftlich (a) alle relevanten Weisungen und (b) alle Informationen zur Verfügung stellen,
die zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten des Auftragsverarbeiters
erforderlich sind. Der Kunde ist allein verantwortlich für die Verarbeitung dieser Informationen und
seine Weisungen an OVHcloud.

8.2 Der Kunde ist dafür verantwortlich, sicherzustellen, dass:
a) die Verarbeitung Personenbezogener Daten im Rahmen der Erbringung der
Dienstleistungen auf einer geeigneten Rechtsgrundlage beruht (z.B. Einwilligung der
betroffenen Person, Einwilligung des Verantwortlichen, berechtigte Interessen,
Genehmigung der zuständigen Aufsichtsbehörde etc. ),
b) alle erforderlichen Verfahren und Formalitäten (z.B. Datenschutz-Folgenabschätzung,
Meldung und Genehmigungsersuchen an die zuständige Datenschutzbehörde oder eine
andere zuständige Stelle, falls erforderlich) eingehalten wurden,
c) die betroffenen Personen über die Verarbeitung ihrer Personenbezogenen Daten in
präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und
einfachen Sprache, wie gemäß der DSGVO gefordert, informiert wurden,
d) die betroffenen Personen informiert sind und jederzeit die Möglichkeit haben, ihre Rechte
direkt gegenüber dem Verantwortlichen auf eine einfache Weise, wie in der DSGVO
festgehalten, auszuüben.

8.3 Der Kunde ist dafür verantwortlich, geeignete technische und organisatorische Maßnahmen zu
treffen, um die Sicherheit der Ressourcen, Systeme, Anwendungen und Operationen zu gewährleisten,
die nicht im Verantwortungsbereich von OVHcloud, wie in der Vereinbarung (insbesondere die im
Rahmen von Dienstleistungen vom Kunden und den Nutzern eingesetzten und betriebenen Systeme
und Software) definiert, liegen.

9. Rechte der betroffenen Person

9.1 Der Verantwortliche ist in vollem Umfang dafür verantwortlich, die betroffenen Personen über ihre
Rechte zu informieren und diese Rechte zu respektieren, einschließlich der Rechte auf Auskunft,
Berichtigung, Löschung, Beschränkung oder Datenübertragbarkeit.

9.2 OVHcloud wird angemessene Zusammenarbeit und Unterstützung bieten, wie dies für die
Beantwortung von Anträgen der betroffenen Personen vernüftigerweise verlangt werden kann. Eine
solche angemessene Zusammenarbeit und Unterstützung kann im Folgenden bestehen: (a) in der
Mitteilung an den Kunden hinsichtlich aller direkt von der betroffenen Person erhaltenen Anträgen
und (b) in der Ermöglichung für den Verantwortlichen, die technischen und organisatorischen
Maßnahmen, die zur Beantwortung der Anträgen der betroffenen Personen erforderlich sind, zu
entwickeln und umzusetzen. Der Verantwortliche ist allein dafür verantwortlich, auf solche Anträge zu
antworten.

9.3 Der Kunde erkennt an und stimmt zu, dass für den Fall, dass eine solche Zusammenarbeit und
Unterstützung erhebliche Ressourcen aufseiten des Auftragsverarbeiters erfordert, dieser Aufwand
nach vorheriger Benachrichtigung und Zustimmung des Kunden vergütet werden soll.

10. Löschung und Rückgabe Personenbezogener Daten

10.1 Nach Ablauf einer Dienstleistung (insbesondere im Falle einer Kündigung oder Nichtverlängerung)
verpflichtet sich OVHcloud, den gesamten Inhalt (einschließlich Informationen, Daten, Dateien,
Systeme, Anwendungen, Websites und anderer Elemente), der vom Kunden im Rahmen der
Dienstleistungen reproduziert, gespeichert, gehostet oder anderweitig verwendet wird, unter den in
der Vereinbarung festgelegten Bedingungen zu löschen. Dies gilt nicht, wenn ein Antrag einer
zuständigen Gerichts- oder Justizbehörde oder das anwendbare Recht der Europäischen Union oder
eines Mitgliedstaats etwas anderes verlangt.

10.2 Der Kunde ist allein dafür verantwortlich sicherzustellen, dass die erforderlichen Vorgänge (wie
Backup, Übermittlung an eine Drittanbieterlösung, Snapshots usw.) zur Aufbewahrung
Personenbezogener Daten, insbesondere vor der Beendigung oder dem Ablauf der Dienstleistungen,
durchgeführt werden, und Aktualisierungen oder Neuinstallationen der Dienstleistungen
vorgenommen werden, bevor der Kunde mit allen Löschvorgängen fortfährt.

10.3 Diesbezüglich ist der Kunde darüber informiert, dass die Kündigung und der Ablauf einer
Dienstleistung aus beliebigen Gründen (einschließlich, aber nicht beschränkt auf die
Nichtverlängerung) sowie bestimmte Vorgänge zur Aktualisierung oder Neuinstallation der
Dienstleistungen automatisch zu einer unwiderruflichen Löschung sämtlicher Inhalte (einschließlich
Informationen, Daten, Dateien, Systeme, Anwendungen, Websites und anderer Elemente), die vom
Kunden im Rahmen der Dienstleistungen reproduziert, gespeichert, gehostet oder anderweitig
verwendet werden, einschließlich möglicher Backups, führen können.

11. Haftung

11.1 OVHcloud haftet nur für Schäden, die durch die Verarbeitung verursacht wurden, in Bezug auf
welche der Kunde (i) den Pflichten nach der DSGVO, die sich speziell auf die Auftragsverarbeiter
beziehen, nicht nachgekommen ist oder (ii) den rechtmäßigen schriftlichen Weisungen des Kunden
zuwider gehandelt hat. In diesen Fällen gilt die in der Vereinbarung enthaltene Haftungsregelung.

11.2 Wenn OVHcloud und der Kunde an einer Verarbeitung gemäß dieser Vereinbarung beteiligt sind,
die bei der betroffenen Person Schaden verursacht hat, übernimmt der Kunde beim ersten Mal die
volle Entschädigung (oder einen anderen Ausgleich), die der betroffenen Person zusteht, und beim
zweiten Mal, fordert der Kunde von OVHcloud den Teil der Entschädigung der betroffenen Person, der
der Verantwortung von OVHcloud für den Schaden entspricht, zurück, vorausgesetzt, dass jede in der
Vereinbarung enthaltene Haftungsbeschränkung Anwendung findet.

12. Überprüfung

12.1 OVHcloud stellt dem Kunden sämtliche Informationen zur Verfügung, die erforderlich sind, um
(a) die Einhaltung der Anforderungen der DSGVO nachzuweisen und (b) die Durchführung von
Überprüfungen zu ermöglichen. Solche Informationen sind in der Standarddokumentation auf der
Website von OVHcloud verfügbar. Zusätzliche Informationen können dem Kunden auf Anfrage beim
Support von OVHcloud mitgeteilt werden.
12.2 Wenn eine Dienstleistung zertifiziert ist, einem Verhaltenskodex von OVHcloud entspricht oder
einem bestimmten Überprüfungsverfahren unterliegt, stellt OVHcloud dem Kunden die
entsprechenden Zertifikate und Überprüfungsberichte auf schriftliche Anfrage zur Verfügung.

12.3 Wenn die oben genannten Informationen, der Bericht und das Zertifikat sich als unzureichend
erweisen, um dem Kunden den Nachweis zu ermöglichen, dass er die Anforderungen der DSGVO
erfüllt, werden sich OVHcloud und der Kunde treffen, um die betrieblichen, sicherheitstechnischen
und finanziellen Bedingungen einer technischen Vor-Ort-Inspektion zu vereinbaren. Unter keinen
Umständen dürfen die Bedingungen dieser Überprüfung die Sicherheit anderer Kunden von OVHcloud
beeinträchtigen.

12.4 Die zuvor genannte Inspektion vor Ort sowie die Mitteilung von Zertifikaten und
Überprüfungsberichten können in angemessener Weise zusätzlich in Rechnung gestellt werden.

12.5 Sämtliche Informationen, die dem Kunden gemäß diesem Abschnitt mitgeteilt werden und die
auf der Website von OVHcloud nicht verfügbar sind, gelten als vertrauliche Informationen von
OVHcloud im Sinne der Vereinbarung. Vor der Offenlegung solcher Informationen muss der Kunde
möglicherweise eine bestimmte Geheimhaltungsvereinbarung unterzeichnen.

12.6 Ungeachtet des Vorstehenden ist der Kunde befugt, Anfragen der zuständigen Aufsichtsbehörde unter der Voraussetzung zu beantworten, dass jede Offenlegung von Informationen streng auf das beschränkt ist, was von dieser Aufsichtsbehörde verlangt wird. In einem solchen Fall und sofern dies nicht durch geltendes Recht untersagt ist, muss sich der Kunde zunächst mit OVH bezüglich einer solchen erforderlichen Offenlegung beraten.

13. OVHcloud Kontakt

Bei Fragen zu personenbezogenen Daten (bezüglich eines Vorfalls, der Nutzungsbedingungen usw.)
kann sich der Kunde wie folgt an OVHcloud wenden:

  • (a) Erstellen eines Tickets in der OVHcloud Account Managemer-Oberfläche,
  • (b) Verwendung des zu diesem Zweck auf der OVHcloud-Website bereitgestellten Kontaktformulars,
  • (c) Durch Kontaktaufnahme mit dem OVHcloud-Supportdienst,
  • (d) Per Post an die Adresse: OVH SAS, Datenschutzbeauftragter, 2 rue Kellermann, 59100 Roubaix.