GDPR Policy
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
1. Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung der Cloud-Software Aureus CRM (CRM- und Betriebsmanagement-Plattform).
Die Verarbeitung erfolgt gemäß Art. 28 DSGVO sowie ergänzend den einschlägigen Vorschriften des Bundesdatenschutzgesetzes (BDSG).
Die Dauer dieses Vertrages richtet sich nach der Vertragslaufzeit des Hauptvertrags über die Nutzung der Cloud-Software.
2. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere:
- Speicherung und Verwaltung von Kunden- und Mitarbeiterdaten,
- Nutzung der Software zur Auftragsplanung, Rechnungsstellung, Angebotsverwaltung, Kommunikation,
- technischer Betrieb, Support und Wartung der Plattform,
- Sicherung und Wiederherstellung von Daten.
3. Art der Daten und Kategorien betroffener Personen
Arten personenbezogener Daten:
- Stammdaten (Name, Adresse, E-Mail, Telefonnummer),
- Vertrags- und Zahlungsdaten,
- Log- und Nutzungsdaten,
- weitere Daten, die vom Verantwortlichen in die Software eingegeben werden.
Betroffene Personen:
- Kunden und Interessenten des Verantwortlichen,
- Mitarbeiter des Verantwortlichen,
- Geschäftspartner des Verantwortlichen.
4. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich.
Der Verantwortliche ist berechtigt, die Einhaltung der in diesem Vertrag getroffenen Maßnahmen beim Auftragsverarbeiter zu kontrollieren. Kontrollen erfolgen mit angemessener Ankündigungsfrist und können durch Auditberichte nachgewiesen werden.
Weisungen des Verantwortlichen erfolgen schriftlich oder in Textform (z. B. per E-Mail). Im Streitfall gilt die schriftliche Form (Brief, unterschriebenes Dokument) als vorrangig.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
1. Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten,
2. Personen, die mit der Verarbeitung befasst sind, zur Vertraulichkeit zu verpflichten,
3. die Sicherheit nach Art. 32 DSGVO zu gewährleisten,
4. den Verantwortlichen bei der Wahrung der Betroffenenrechte (Art. 12–23 DSGVO) zu unterstützen,
5. Meldepflichten bei Datenschutzverletzungen nach Art. 33, 34 DSGVO einzuhalten,
6. Daten nach Beendigung des Vertrags zu löschen oder zurückzugeben, einschließlich aller Backups nach Ablauf der definierten Aufbewahrungsfristen, unverzüglich spätestens jedoch innerhalb von 30 Tagen,
7. die Einhaltung dieser Verpflichtungen schriftlich nachweisen zu können.
6. Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter setzt unter anderem folgende Maßnahmen ein:
- Verschlüsselung: Während der Übertragung mittels TLS sowie bei der Speicherung (z. B. AES).
- Zugriff nur über HTTPS mit gültigem SSL-Zertifikat.
- Zugangskontrolle: Rollenbasierte Zugriffskontrolle; Protokollierung und regelmäßige Überprüfung.
- Zwei-Faktor-Authentifizierung (2FA) für kritische Benutzerkonten.
Backup- und Aufbewahrungspolitik:
- Server-Backups täglich, Aufbewahrung 30 Tage.
- Datenbank-Backups täglich, Aufbewahrung 90 Tage.
- Anwendungsdateien alle 15 Tage, Aufbewahrung 60 Tage.
Nach Vertragsende werden Backups unverzüglich nach Ablauf der jeweiligen Fristen automatisiert gelöscht.
- Protokollierung aller Zugriffe und Rechteänderungen.
- Physische Sicherheit: ISO 27001 zertifizierte Rechenzentren.
7. Einsatz von Subunternehmern
Der Auftragsverarbeiter darf Subunternehmer (z. B. Hosting-Anbieter, E-Mail-Dienste wie Brevo, Zahlungsdienstleister wie Stripe/PayPal) einsetzen.
Der Auftragsverarbeiter stellt sicher, dass Subunternehmer vertraglich denselben Datenschutzpflichten unterliegen.
Eine aktuelle und verbindliche Liste der Subunternehmer ist diesem Vertrag als Anlage beigefügt (Anlage 1). Der Verantwortliche wird über Änderungen rechtzeitig informiert und hat das Recht, innerhalb von 14 Tagen Widerspruch einzulegen.
8. Rechte der Betroffenen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts-, Löschungs-, Berichtigungs- oder Datenübertragbarkeitsanfragen.
9. Haftung
Die Verantwortung für die Rechtmäßigkeit der Verarbeitung verbleibt beim Verantwortlichen. Der Auftragsverarbeiter haftet für Verstöße gegen die DSGVO oder das BDSG, soweit diese auf seine Pflichtverletzungen zurückzuführen sind. Im Übrigen richtet sich die Haftung nach den im Hauptvertrag vereinbarten Regelungen.
10. Vertragsende
Nach Beendigung der Leistungen wird der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. Dies gilt ausdrücklich auch für sämtliche erstellten Backups nach Ablauf der Aufbewahrungsfristen.
11. Schlussbestimmungen
Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des Vertrags im Übrigen unberührt.
Gerichtsstand ist Frankfurt am Main. Es gilt ausschließlich deutsches Recht unter Ausschluss des UN-Kaufrechts (CISG).
Ort, Datum
<!-- [if !supportLineBreakNewLine]-->
<!--[endif]-->
|
__________________________ |
__________________________ |
|
|
|