Rechtliches
Auftragsverarbeitungsvertrag (AVV)
Stand: 18. Juni 2026
Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO bei der Nutzung der gehosteten SaQura Crypto-/REST-API (crypto.saqura.de; Alias crypto.kyototech.co.jp). Er ist Bestandteil des zwischen den Parteien geschlossenen Nutzungs-/Lizenzvertrags („Hauptvertrag"). Bei Widersprüchen geht dieser AVV in datenschutzrechtlichen Fragen vor.
Parteien
Verantwortlicher („Auftraggeber") ist der Kunde gemäß Hauptvertrag (Firma, Anschrift und Vertretung werden bei Vertragsschluss eingetragen).
Auftragsverarbeiter („Auftragnehmer"):
KyotoTech LLC (合同会社KyotoTech)Kyō-machi 2-237-202, Fushimi-ku, Kyoto 612-8083, Japan
Kontakt Datenschutz: support@kyototech.co.jp
EU-Vertreter des Auftragnehmers gemäß Art. 27 DSGVO: DataRep (Data Protection Representative Limited), Altmarkt 10 B/D, 01067 Dresden, Deutschland — datarequest@datarep.com (Betreff: „KyotoTech; SaQura"). Postalische Anfragen bitte an „DataRep" adressieren.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers ausschließlich zur Erbringung der gehosteten SaQura-Kryptografie-Dienste (Ver-/Entschlüsselung, Signatur/Verifikation und zugehörige kryptographische Operationen über die REST-API), näher beschrieben in Anlage 1. Die Dauer entspricht der Laufzeit des Hauptvertrags; die Pflichten zu Löschung/Rückgabe (§ 10) und Vertraulichkeit bestehen darüber hinaus fort.
§ 2 Art, Umfang, Zweck; Datenarten; Betroffene
Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
§ 3 Pflichten des Auftragnehmers (Art. 28 Abs. 3)
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers und sichert insbesondere zu:
- (a) Weisungsbindung — Verarbeitung nur auf dokumentierte Weisung, sofern nicht gesetzlich anders verpflichtet; in diesem Fall vorherige Mitteilung, soweit rechtlich zulässig.
- (b) Vertraulichkeit — zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet.
- (c) Sicherheit — Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2.
- (d) Unterauftragsverarbeiter — Einsatz nur unter den Bedingungen von § 6.
- (e) Betroffenenrechte — Unterstützung des Auftraggebers durch geeignete Maßnahmen bei Anträgen Betroffener (Art. 12–23), soweit möglich.
- (f) Art. 32–36 — Unterstützung bei Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorheriger Konsultation, soweit möglich.
- (g) Löschung/Rückgabe — nach Wahl des Auftraggebers nach Ende der Erbringung gemäß § 10.
- (h) Nachweis/Audit — Bereitstellung der erforderlichen Informationen und Ermöglichung von Überprüfungen gemäß § 9.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
§ 4 Weisungsrecht
Weisungen erfolgen grundsätzlich in Textform; mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungsberechtigte und Empfänger werden bei Vertragsschluss benannt.
§ 5 Technische und organisatorische Maßnahmen (Art. 32)
Der Auftragnehmer trifft die in Anlage 2 beschriebenen Maßnahmen. Diese können weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen werden dokumentiert.
§ 6 Unterauftragsverhältnisse
Der Auftraggeber genehmigt den Einsatz der in Anlage 3 gelisteten Unterauftragsverarbeiter (allgemeine Genehmigung gem. Art. 28 Abs. 2). Beabsichtigte Änderungen/Hinzufügungen teilt der Auftragnehmer mindestens 30 Tage vorab mit; der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Der Auftragnehmer erlegt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten vertraglich auf (Art. 28 Abs. 4) und bleibt verantwortlich.
§ 7 Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber angemessen, insbesondere durch die no-log-Architektur (Anlage 2) und auf Anfrage durch Auskunft über die für eine Verarbeitung relevanten Umstände. Mehraufwand über die vertragliche Grundleistung hinaus kann nach Aufwand berechnet werden.
§ 8 Meldung von Verletzungen
Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, jede Verletzung des Schutzes personenbezogener Daten in seinem Verantwortungsbereich mit den nach Art. 33 Abs. 3 erforderlichen Informationen, soweit verfügbar. Die Meldepflicht gegenüber Aufsichtsbehörde/Betroffenen verbleibt beim Auftraggeber.
§ 9 Kontrollrechte
Der Auftraggeber kann die Einhaltung dieses AVV überprüfen — durch Auskünfte, vorgelegte Nachweise/Prüfberichte oder, soweit erforderlich, Vor-Ort-Kontrollen zu angekündigten Zeiten ohne Betriebsstörung. Der Auftragnehmer kann den Nachweis vorrangig durch geeignete Dokumentation (Kryptokonzept, TOM-Beschreibung) und Zertifizierungen/Testate erbringen.
§ 10 Löschung und Rückgabe nach Vertragsende
Nach Beendigung löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Aufgrund der no-log-Architektur werden kryptographische Nutzdaten (Klartext, Schlüssel, Chiffrate) nicht persistiert und nur transient für die Dauer der jeweiligen Anfrage im Arbeitsspeicher verarbeitet; eine darüber hinausgehende Löschung dieser Daten ist technisch gegenstandslos. Betriebs-Metadaten gem. Anlage 1 werden nach Ablauf der dort genannten Speicherfristen gelöscht.
§ 11 Verarbeitungsstandort / Drittlandübermittlung
Die Verarbeitung der über die API übergebenen Daten (transiente Nutzdaten und zugehörige Betriebs-Metadaten) findet ausschließlich in Deutschland (Nürnberg), innerhalb der EU/EWR statt. Eine Drittlandübermittlung im Rahmen des Kerndienstes findet damit nicht statt.
Der Auftragnehmer hat seinen Unternehmenssitz in Japan; im Rahmen administrativer Zugriffe (Betrieb, Support, Abrechnungs-/Lizenzverwaltung) kann ein Zugriff aus Japan erfolgen. Abrechnungsrelevante Betriebs-Metadaten (insbesondere zugeordnete Kunden-E-Mail, Abonnement-Kennung und aggregierte Nutzungszähler) werden zur Vertrags- und Abrechnungsabwicklung an das vom Auftragnehmer aus Japan betriebene Abrechnungssystem übermittelt; kryptographische Nutzdaten (Klartext, Schlüssel, Chiffrate) werden dorthin nicht übermittelt. Für Übermittlungen aus der EU/EWR nach Japan besteht ein Angemessenheitsbeschluss der Europäischen Kommission (2019), sodass keine zusätzlichen Garantien erforderlich sind, soweit die Verarbeitung in dessen Anwendungsbereich fällt. Bei Einsatz weiterer Unterauftragsverarbeiter in Drittländern ohne Angemessenheitsbeschluss werden Standardvertragsklauseln (Art. 46) vereinbart.
§ 12 Haftung und Schlussbestimmungen
Die Haftung richtet sich nach Art. 82 DSGVO und dem Hauptvertrag. Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Es gilt das im Hauptvertrag vereinbarte Recht und der dort vereinbarte Gerichtsstand, soweit zulässig. Maßgeblich ist die deutsche Fassung dieses AVV.
Anlage 1 — Beschreibung der Verarbeitung
| Art der Verarbeitung | Durchführung kryptographischer Operationen (Ver-/Entschlüsseln, Signieren/Verifizieren) über die gehostete REST-API; transiente Verarbeitung im Arbeitsspeicher. |
| Zweck | Bereitstellung der vom Auftraggeber angeforderten Kryptografie-Dienstleistung. |
| Nutzdaten | Die vom Auftraggeber übergebenen Inhalte (Klartext/Chiffrate/Signaturdaten) — können personenbezogene Daten enthalten; nicht persistiert (no-log). |
| Betriebs-Metadaten | Gehashter API-Schlüssel, Schlüssel-Prefix, Plan, Aktiv-Status, Erstellungs-/Letzt-genutzt-/Ablauf-Zeitstempel, zugeordnete Kunden-E-Mail, Abonnement-Kennung sowie aggregierte Nutzungszähler (Anzahl abrechenbarer Anfragen je Abonnement, zur nutzungsbasierten Abrechnung verarbeitet und an das Abrechnungssystem übermittelt). Inhalte der Anfragen werden dabei nicht erfasst. Speicherung in Deutschland für die Dauer des API-Schlüssels/Vertragsverhältnisses; abrechnungsrelevante Daten gemäß gesetzlicher Aufbewahrungsfristen. |
| Kategorien Betroffener | Von den Inhalten des Auftraggebers abhängig; vom Auftraggeber zu bestimmen (z. B. dessen Kunden/Nutzer/Mitarbeiter). |
Da der Auftragnehmer die Nutzdaten weder einsehen (no-log) noch deren Inhalt steuern kann, bestimmt der Auftraggeber Datenarten und Betroffenenkreise.
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32)
- Verschlüsselung: Der Kerndienst ist Verschlüsselung nach dem Stand der Technik (BSI TR-02102-1 / NIST FIPS-203/204/205-Algorithmen). Transportverschlüsselung per TLS.
- No-log-Architektur: keine Persistenz von Klartext, Schlüsseln oder Chiffraten; Verarbeitung nur transient im Arbeitsspeicher für die Anfragedauer.
- Vertraulichkeit/Zugangskontrolle: API-Key-basierte Authentisierung; serverseitige Tier-/Quota-Durchsetzung; rollenbasierte Zugriffskontrolle und SSH-Zugang nur mit Schlüsseln.
- Integrität: authentifizierte Verschlüsselung (AEAD) in allen aktiven Verfahren; gehärteter Server, Patch-Management.
- Verfügbarkeit/Belastbarkeit: verschlüsselte Backups mit Offsite-Replikation; Monitoring.
- Überprüfung: Release-Gates, Tests und Leak-Scans; regelmäßige Reviews.
Anlage 3 — Unterauftragsverarbeiter & Standorte
| Unterauftragsverarbeiter | Leistung | Standort | Transfergrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Server-/Infrastrukturbetrieb (Crypto-API) | Deutschland (Nürnberg) — EU/EWR | innerhalb EU |
| Let's Encrypt (ISRG) | TLS-Zertifikate | USA / global | öffentliche Zertifikate, keine personenbezogenen Nutzdaten |
Abschluss
Dieser AVV wird mit Abschluss des Hauptvertrags wirksam. Ort, Datum und Unterschriften der Parteien werden bei Vertragsschluss ergänzt.