Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) ist Bestandteil des Vertrags über Dienstleistungen („Hauptvertrag“) zwischen

I. 5U AI B.V., eine private Gesellschaft mit beschränkter Haftung (besloten vennootschap met beperkte aansprakelijkheid) nach dem Recht der Niederlande gegründet, mit satzungsmäßigem Sitz (statutaire zetel) in Rotterdam, Niederlande, und ihren Büros in Anthonetta Kuijlstraat 49 B, 3066GS Rotterdam, Niederlande, eingetragen im Handelsregister unter der Nummer 97730726, (der „Auftragsverarbeiter“ oder „Verarbeiter“);

und

II. Der Kunde, nachfolgend „Kunde“ handelnd als „Verantwortlicher“

(zusammen die „Parteien“)

IN ANBETRACHT DESSEN:

A. Der Kunde handelt als Verantwortlicher.

B. Der Kunde möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Auftragsverarbeiter auslagern.

C. Die Parteien beabsichtigen, eine Vereinbarung zur Datenverarbeitung umzusetzen, die den Anforderungen des geltenden Rechtsrahmens in Bezug auf die Datenverarbeitung sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.

D. Die Parteien wollen ihre Rechte und Pflichten festlegen.

WERDEN HIERMIT FOLGENDE VEREINBARUNGEN GETROFFEN:

1 DEFINITIONEN UND AUSLEGUNG

1.1 Soweit hierin nicht anderweitig definiert, haben großgeschriebene Begriffe und Ausdrücke, die in dieser Vereinbarung verwendet werden, die folgende Bedeutung:

1.1.1 „Vereinbarung“ bezeichnet diese Vereinbarung zur Auftragsverarbeitung und alle Anhänge;

1.1.2 „Personenbezogene Daten des Kunden“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Auftragsverarbeiter im Auftrag des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;

1.1.3 „Beauftragter Auftragsverarbeiter“ bezeichnet einen Unterauftragsverarbeiter;

1.1.4 „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutz- oder Privatsphärengesetze eines anderen Landes;

1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;

1.1.6 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, in das nationale Recht jedes Mitgliedstaats umgesetzt und jeweils in ihrer geänderten, ersetzten oder abgelösten Fassung, einschließlich durch die DSGVO und Gesetze, die die DSGVO umsetzen oder ergänzen;

1.1.7 „DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;

1.1.8 „Datenübermittlung“ bezeichnet: eine Übermittlung personenbezogener Daten des Kunden vom Kunden an einen beauftragten Auftragsverarbeiter; oder eine Weiterübermittlung personenbezogener Daten des Kunden von einem beauftragten Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines beauftragten Auftragsverarbeiters, wobei eine solche Übermittlung in jedem Fall durch Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsvereinbarungen, die zur Behebung der durch Datenschutzgesetze auferlegten Übermittlungsbeschränkungen getroffen wurden) untersagt wäre;

1.1.9 „Dienstleistungen“ bezeichnet die KI-gestützten Automatisierungsdienste, die der Verarbeiter dem Kunden im Rahmen der Vereinbarung bereitstellt.

1.1.10 „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Verarbeiter oder in dessen Auftrag benannt wird, um personenbezogene Daten im Namen des Kunden im Zusammenhang mit der Vereinbarung zu verarbeiten.

2 VERARBEITUNG PERSONENBEZOGENER DATEN DES KUNDEN

2.1 Der Verarbeiter muss:

2.1.1 bei der Verarbeitung personenbezogener Daten des Kunden alle anwendbaren Datenschutzgesetze einhalten; und

2.1.2 personenbezogene Daten des Kunden nicht anders verarbeiten als gemäß den dokumentierten Weisungen des betreffenden Kunden.

2.2 Der Kunde weist den Verarbeiter an, personenbezogene Daten des Kunden zu verarbeiten.

3 PERSONAL DES VERARBEITERS

Der Verarbeiter unternimmt angemessene Schritte, um die Zuverlässigkeit aller Mitarbeiter, Beauftragten oder Auftragnehmer eines beauftragten Auftragsverarbeiters sicherzustellen, die Zugriff auf die personenbezogenen Daten des Kunden haben können, und stellt in jedem Fall sicher, dass der Zugriff streng auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten des Kunden kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist und um die anwendbaren Gesetze im Zusammenhang mit den Aufgaben dieser Person gegenüber dem beauftragten Auftragsverarbeiter einzuhalten; ferner stellt er sicher, dass alle derartigen Personen Vertraulichkeitsverpflichtungen oder beruflichen bzw. gesetzlichen Geheimhaltungspflichten unterliegen.

4 SICHERHEIT

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen setzt der Verarbeiter in Bezug auf die personenbezogenen Daten des Kunden angemessene technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich gegebenenfalls der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Verarbeiter insbesondere die durch die Verarbeitung entstehenden Risiken, insbesondere durch eine Verletzung des Schutzes personenbezogener Daten.

5 UNTERAUFTRAGSVERARBEITUNG

5.1 Allgemeine Genehmigung. Der Kunde erteilt dem Verarbeiter eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter für die Erbringung der Dienstleistungen einzusetzen. Die in Anlage 1 (Zugelassene Unterauftragsverarbeiter) aufgeführten Unterauftragsverarbeiter sind vorab genehmigt.

5.2 Mitteilung über Änderungen. Der Verarbeiter informiert den Kunden mindestens 30 Kalendertage im Voraus per (i) E-Mail an die Mitteilungsadresse in §12.2 und (ii) Veröffentlichung einer aktualisierten Liste unter der in Anlage 1 angegebenen URL über jede beabsichtigte Ergänzung oder Ersetzung von Unterauftragsverarbeitern.

5.3 Widerspruchsrecht. Der Kunde kann innerhalb der Mitteilungsfrist aus angemessenen, dokumentierten datenschutzrechtlichen Gründen widersprechen. Wenn der Kunde widerspricht, werden die Parteien die Angelegenheit nach Treu und Glauben erörtern. Wird innerhalb von 15 Geschäftstagen keine Einigung erzielt, kann der Kunde die betroffene Funktion aussetzen oder nur den betroffenen Teil der Dienstleistungen (oder, sofern dies vernünftigerweise nicht trennbar ist, die Vereinbarung) kündigen und erhält eine anteilige Rückerstattung der im Voraus gezahlten, ungenutzten Gebühren für den gekündigten Teil.

5.4 Informationen. Auf Anfrage stellt der Verarbeiter relevante Informationen über die Datenschutzmaßnahmen eines Unterauftragsverarbeiters zur Verfügung, damit der Kunde die Einhaltung bewerten kann

6 RECHTE BETROFFENER PERSONEN

6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Verarbeiter den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des Kunden, wie vom Kunden vernünftigerweise verstanden, um auf Anfragen zur Ausübung der Rechte betroffener Personen nach den Datenschutzgesetzen zu reagieren.

6.2 Der Verarbeiter informiert den Kunden unverzüglich, wenn er eine Anfrage einer betroffenen Person nach einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Kunden erhält; und stellt sicher, dass er auf diese Anfrage nur aufgrund dokumentierter Weisungen des Kunden oder soweit erforderlich nach geltendem Recht, dem der Verarbeiter unterliegt, reagiert; in diesem Fall informiert der Verarbeiter den Kunden soweit nach geltendem Recht zulässig vor der Antwort des beauftragten Auftragsverarbeiters über diese rechtliche Anforderung.

7 VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

7.1 Der Verarbeiter informiert den Kunden ohne unangemessene Verzögerung, sobald der Verarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die personenbezogene Daten des Kunden betrifft, und stellt dem Kunden ausreichende Informationen zur Verfügung, damit der Kunde etwaige Verpflichtungen zur Meldung oder Unterrichtung betroffener Personen über die Verletzung des Schutzes personenbezogener Daten nach den Datenschutzgesetzen erfüllen kann.

7.2 Der Verarbeiter arbeitet mit dem Kunden zusammen und unternimmt angemessene kommerzielle Schritte, wie sie vom Kunden angeordnet werden, um die Untersuchung, Eindämmung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu unterstützen.

8 FOLGENABSCHÄTZUNG

8.1 Datenschutz-Folgenabschätzung und vorherige Konsultation Der Verarbeiter unterstützt den Kunden angemessen bei etwaigen Datenschutz-Folgenabschätzungen sowie bei vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde vernünftigerweise für nach Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen eines anderen Datenschutzgesetzes erforderlich hält, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Kunden durch die beauftragten Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den beauftragten Auftragsverarbeitern zur Verfügung stehenden Informationen.

9 LÖSCHUNG ODER RÜCKGABE PERSONENBEZOGENER DATEN DES KUNDEN

9.1 Vorbehaltlich dieses Abschnitts 9 löscht der Verarbeiter unverzüglich und in jedem Fall innerhalb von 10 Geschäftstagen ab dem Datum der Einstellung sämtlicher Dienstleistungen, die die Verarbeitung personenbezogener Daten des Kunden umfassen (das „Beendigungsdatum“), und veranlasst die Löschung aller Kopien dieser personenbezogenen Daten des Kunden.

10 PRÜFUNGSRECHTE

10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Verarbeiter dem Kunden auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser Vereinbarung nachzuweisen, und gestattet und unterstützt Audits, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch die beauftragten Auftragsverarbeiter.

10.2 Informations- und Prüfungsrechte des Kunden entstehen nach Abschnitt 10.1 nur insoweit, als die Vereinbarung ihm nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.

11 DATENÜBERMITTLUNG

11.1 Internationale Datenübermittlungen. Der Verarbeiter darf personenbezogene Daten des Kunden außerhalb des EWR (einschließlich in die Vereinigten Staaten) an die in Anlage 1 aufgeführten zugelassenen Unterauftragsverarbeiter sowie an jeden ersetzenden oder zusätzlichen Unterauftragsverarbeiter übertragen, über den gemäß § Subprocessing informiert wurde, sofern der Verarbeiter einen geeigneten Übermittlungsmechanismus nach Kapitel V der DSGVO sicherstellt, einschließlich des Abschlusses und der Einhaltung der EU-Standardvertragsklauseln (Durchführungsbeschluss der Kommission (EU) 2021/914), Modul 3 (Auftragsverarbeiter-zu-Auftragsverarbeiter) oder Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter), je nach Anwendbarkeit, und gegebenenfalls ergänzende Maßnahmen umsetzt.

12 ALLGEMEINE BESTIMMUNGEN

12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und die Informationen, die sie über die andere Partei und deren Geschäftstätigkeit im Zusammenhang mit dieser Vereinbarung erhält („Vertrauliche Informationen“), vertraulich behandeln und darf diese Vertraulichen Informationen ohne vorherige schriftliche Zustimmung der anderen Partei nicht verwenden oder offenlegen, außer soweit:

(a) eine Offenlegung gesetzlich vorgeschrieben ist;

(b) die betreffenden Informationen bereits öffentlich zugänglich sind.

12.2 Kontaktstellen für Mitteilungen. Für Zwecke von Mitteilungen (einschließlich Mitteilungen über Unterauftragsverarbeiteränderungen nach §5.2):

12.1.1 E-Mail des Verarbeiters: legal@5u.ai; Postanschrift: Anthonetta Kuijlstraat 49-B, 3066GS Rotterdam, Niederlande

Jede Partei kann ihre Kontaktstellen für Mitteilungen durch schriftliche Mitteilung an die andere Partei aktualisieren.

13 ANWENDBARES RECHT UND GERICHTSSTAND

13.1 Diese Vereinbarung unterliegt dem Recht der Niederlande.

13.2 Jeder Streitfall, der sich im Zusammenhang mit dieser Vereinbarung ergibt und den die Parteien nicht gütlich beilegen können, wird der ausschließlichen Zuständigkeit der Gerichte von Rotterdam, Niederlande, unterbreitet, unbeschadet der nach dem anwendbaren Verfahrensrecht verfügbaren Rechtsmittel.

ANLAGE 1: ZUGELASSENE UNTERAUFTRAGSVERARBEITER