Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Stand: 18. Juni 2026

Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO bei der Nutzung der gehosteten SaQura Crypto-/REST-API (crypto.saqura.de; Alias crypto.kyototech.co.jp). Er ist Bestandteil des zwischen den Parteien geschlossenen Nutzungs-/Lizenzvertrags („Hauptvertrag"). Bei Widersprüchen geht dieser AVV in datenschutzrechtlichen Fragen vor.

Parteien

Verantwortlicher („Auftraggeber") ist der Kunde gemäß Hauptvertrag (Firma, Anschrift und Vertretung werden bei Vertragsschluss eingetragen).

Auftragsverarbeiter („Auftragnehmer"):

KyotoTech LLC (合同会社KyotoTech)
Kyō-machi 2-237-202, Fushimi-ku, Kyoto 612-8083, Japan
Kontakt Datenschutz: support@kyototech.co.jp

EU-Vertreter des Auftragnehmers gemäß Art. 27 DSGVO: DataRep (Data Protection Representative Limited), Altmarkt 10 B/D, 01067 Dresden, Deutschland — datarequest@datarep.com (Betreff: „KyotoTech; SaQura"). Postalische Anfragen bitte an „DataRep" adressieren.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers ausschließlich zur Erbringung der gehosteten SaQura-Kryptografie-Dienste (Ver-/Entschlüsselung, Signatur/Verifikation und zugehörige kryptographische Operationen über die REST-API), näher beschrieben in Anlage 1. Die Dauer entspricht der Laufzeit des Hauptvertrags; die Pflichten zu Löschung/Rückgabe (§ 10) und Vertraulichkeit bestehen darüber hinaus fort.

§ 2 Art, Umfang, Zweck; Datenarten; Betroffene

Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

§ 3 Pflichten des Auftragnehmers (Art. 28 Abs. 3)

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers und sichert insbesondere zu:

  • (a) Weisungsbindung — Verarbeitung nur auf dokumentierte Weisung, sofern nicht gesetzlich anders verpflichtet; in diesem Fall vorherige Mitteilung, soweit rechtlich zulässig.
  • (b) Vertraulichkeit — zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet.
  • (c) Sicherheit — Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2.
  • (d) Unterauftragsverarbeiter — Einsatz nur unter den Bedingungen von § 6.
  • (e) Betroffenenrechte — Unterstützung des Auftraggebers durch geeignete Maßnahmen bei Anträgen Betroffener (Art. 12–23), soweit möglich.
  • (f) Art. 32–36 — Unterstützung bei Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorheriger Konsultation, soweit möglich.
  • (g) Löschung/Rückgabe — nach Wahl des Auftraggebers nach Ende der Erbringung gemäß § 10.
  • (h) Nachweis/Audit — Bereitstellung der erforderlichen Informationen und Ermöglichung von Überprüfungen gemäß § 9.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 4 Weisungsrecht

Weisungen erfolgen grundsätzlich in Textform; mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungsberechtigte und Empfänger werden bei Vertragsschluss benannt.

§ 5 Technische und organisatorische Maßnahmen (Art. 32)

Der Auftragnehmer trifft die in Anlage 2 beschriebenen Maßnahmen. Diese können weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen werden dokumentiert.

§ 6 Unterauftragsverhältnisse

Der Auftraggeber genehmigt den Einsatz der in Anlage 3 gelisteten Unterauftragsverarbeiter (allgemeine Genehmigung gem. Art. 28 Abs. 2). Beabsichtigte Änderungen/Hinzufügungen teilt der Auftragnehmer mindestens 30 Tage vorab mit; der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Der Auftragnehmer erlegt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten vertraglich auf (Art. 28 Abs. 4) und bleibt verantwortlich.

§ 7 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber angemessen, insbesondere durch die no-log-Architektur (Anlage 2) und auf Anfrage durch Auskunft über die für eine Verarbeitung relevanten Umstände. Mehraufwand über die vertragliche Grundleistung hinaus kann nach Aufwand berechnet werden.

§ 8 Meldung von Verletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, jede Verletzung des Schutzes personenbezogener Daten in seinem Verantwortungsbereich mit den nach Art. 33 Abs. 3 erforderlichen Informationen, soweit verfügbar. Die Meldepflicht gegenüber Aufsichtsbehörde/Betroffenen verbleibt beim Auftraggeber.

§ 9 Kontrollrechte

Der Auftraggeber kann die Einhaltung dieses AVV überprüfen — durch Auskünfte, vorgelegte Nachweise/Prüfberichte oder, soweit erforderlich, Vor-Ort-Kontrollen zu angekündigten Zeiten ohne Betriebsstörung. Der Auftragnehmer kann den Nachweis vorrangig durch geeignete Dokumentation (Kryptokonzept, TOM-Beschreibung) und Zertifizierungen/Testate erbringen.

§ 10 Löschung und Rückgabe nach Vertragsende

Nach Beendigung löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Aufgrund der no-log-Architektur werden kryptographische Nutzdaten (Klartext, Schlüssel, Chiffrate) nicht persistiert und nur transient für die Dauer der jeweiligen Anfrage im Arbeitsspeicher verarbeitet; eine darüber hinausgehende Löschung dieser Daten ist technisch gegenstandslos. Betriebs-Metadaten gem. Anlage 1 werden nach Ablauf der dort genannten Speicherfristen gelöscht.

§ 11 Verarbeitungsstandort / Drittlandübermittlung

Die Verarbeitung der über die API übergebenen Daten (transiente Nutzdaten und zugehörige Betriebs-Metadaten) findet ausschließlich in Deutschland (Nürnberg), innerhalb der EU/EWR statt. Eine Drittlandübermittlung im Rahmen des Kerndienstes findet damit nicht statt.

Der Auftragnehmer hat seinen Unternehmenssitz in Japan; im Rahmen administrativer Zugriffe (Betrieb, Support, Abrechnungs-/Lizenzverwaltung) kann ein Zugriff aus Japan erfolgen. Abrechnungsrelevante Betriebs-Metadaten (insbesondere zugeordnete Kunden-E-Mail, Abonnement-Kennung und aggregierte Nutzungszähler) werden zur Vertrags- und Abrechnungsabwicklung an das vom Auftragnehmer aus Japan betriebene Abrechnungssystem übermittelt; kryptographische Nutzdaten (Klartext, Schlüssel, Chiffrate) werden dorthin nicht übermittelt. Für Übermittlungen aus der EU/EWR nach Japan besteht ein Angemessenheitsbeschluss der Europäischen Kommission (2019), sodass keine zusätzlichen Garantien erforderlich sind, soweit die Verarbeitung in dessen Anwendungsbereich fällt. Bei Einsatz weiterer Unterauftragsverarbeiter in Drittländern ohne Angemessenheitsbeschluss werden Standardvertragsklauseln (Art. 46) vereinbart.

§ 12 Haftung und Schlussbestimmungen

Die Haftung richtet sich nach Art. 82 DSGVO und dem Hauptvertrag. Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Es gilt das im Hauptvertrag vereinbarte Recht und der dort vereinbarte Gerichtsstand, soweit zulässig. Maßgeblich ist die deutsche Fassung dieses AVV.

Anlage 1 — Beschreibung der Verarbeitung

Art der VerarbeitungDurchführung kryptographischer Operationen (Ver-/Entschlüsseln, Signieren/Verifizieren) über die gehostete REST-API; transiente Verarbeitung im Arbeitsspeicher.
ZweckBereitstellung der vom Auftraggeber angeforderten Kryptografie-Dienstleistung.
NutzdatenDie vom Auftraggeber übergebenen Inhalte (Klartext/Chiffrate/Signaturdaten) — können personenbezogene Daten enthalten; nicht persistiert (no-log).
Betriebs-MetadatenGehashter API-Schlüssel, Schlüssel-Prefix, Plan, Aktiv-Status, Erstellungs-/Letzt-genutzt-/Ablauf-Zeitstempel, zugeordnete Kunden-E-Mail, Abonnement-Kennung sowie aggregierte Nutzungszähler (Anzahl abrechenbarer Anfragen je Abonnement, zur nutzungsbasierten Abrechnung verarbeitet und an das Abrechnungssystem übermittelt). Inhalte der Anfragen werden dabei nicht erfasst. Speicherung in Deutschland für die Dauer des API-Schlüssels/Vertragsverhältnisses; abrechnungsrelevante Daten gemäß gesetzlicher Aufbewahrungsfristen.
Kategorien BetroffenerVon den Inhalten des Auftraggebers abhängig; vom Auftraggeber zu bestimmen (z. B. dessen Kunden/Nutzer/Mitarbeiter).

Da der Auftragnehmer die Nutzdaten weder einsehen (no-log) noch deren Inhalt steuern kann, bestimmt der Auftraggeber Datenarten und Betroffenenkreise.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32)

  • Verschlüsselung: Der Kerndienst ist Verschlüsselung nach dem Stand der Technik (BSI TR-02102-1 / NIST FIPS-203/204/205-Algorithmen). Transportverschlüsselung per TLS.
  • No-log-Architektur: keine Persistenz von Klartext, Schlüsseln oder Chiffraten; Verarbeitung nur transient im Arbeitsspeicher für die Anfragedauer.
  • Vertraulichkeit/Zugangskontrolle: API-Key-basierte Authentisierung; serverseitige Tier-/Quota-Durchsetzung; rollenbasierte Zugriffskontrolle und SSH-Zugang nur mit Schlüsseln.
  • Integrität: authentifizierte Verschlüsselung (AEAD) in allen aktiven Verfahren; gehärteter Server, Patch-Management.
  • Verfügbarkeit/Belastbarkeit: verschlüsselte Backups mit Offsite-Replikation; Monitoring.
  • Überprüfung: Release-Gates, Tests und Leak-Scans; regelmäßige Reviews.

Anlage 3 — Unterauftragsverarbeiter & Standorte

UnterauftragsverarbeiterLeistungStandortTransfergrundlage
Hetzner Online GmbHServer-/Infrastrukturbetrieb (Crypto-API)Deutschland (Nürnberg) — EU/EWRinnerhalb EU
Let's Encrypt (ISRG)TLS-ZertifikateUSA / globalöffentliche Zertifikate, keine personenbezogenen Nutzdaten

Abschluss

Dieser AVV wird mit Abschluss des Hauptvertrags wirksam. Ort, Datum und Unterschriften der Parteien werden bei Vertragsschluss ergänzt.