Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen dem Kunden der AuftragsHub-SaaS-Plattform (nachfolgend „Verantwortlicher“) und

Zeyad Eissa, Lenteninsel 7, 44143 Dortmund
(nachfolgend „Auftragsverarbeiter“)

und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) im Rahmen der Nutzung der SaaS-Plattform AuftragsHub.

Dieser AVV wird mit der Nutzung der Plattform automatisch wirksam und ist Bestandteil der Allgemeinen Geschäftsbedingungen.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung der Leistungen der AuftragsHub-Plattform gemäß den Allgemeinen Geschäftsbedingungen. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages und endet mit dessen Beendigung. Nach Beendigung gelten die Regelungen zur Datenrückgabe und Löschung in § 8 dieses AVV.

§ 2 Art und Zweck der Verarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist die Bereitstellung der AuftragsHub-Plattform zur Verwaltung von Kunden, Aufträgen, Mitarbeitern, Rechnungen und zugehörigen Geschäftsprozessen des Verantwortlichen. Die Verarbeitung umfasst das Speichern, Ändern, Übermitteln (an vom Verantwortlichen beauftragte Empfänger), Sperren und Löschen personenbezogener Daten.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Verarbeitung werden folgende Datenarten betroffen sein:

• Stammdaten der Kunden des Verantwortlichen (Name, Anschrift, Kontaktdaten, ggf. Firmendaten)
• Stammdaten der Mitarbeiter des Verantwortlichen (Name, Kontaktdaten, Rolle, ggf. Lohndaten)
• Auftragsbezogene Daten (Angebote, Aufträge, Lieferscheine, Rechnungen, Zahlungen, Arbeitszeiten)
• Nutzungsdaten (Login-Zeiten, IP-Adressen, Session-Metadaten)
• Von B2C-Endkunden über das öffentliche Anfrage-Widget übermittelte Daten (Name, Kontaktdaten, Anfrageinhalt, hochgeladene Fotos)

§ 4 Kategorien betroffener Personen

• Mitarbeiter des Verantwortlichen
• Kunden und potenzielle Kunden des Verantwortlichen
• Lieferanten und Geschäftspartner des Verantwortlichen
• Endkunden, die das öffentliche Anfrage-Widget des Verantwortlichen nutzen

§ 5 Unterauftragsverarbeiter

Der Auftragsverarbeiter nimmt folgende Unterauftragsverarbeiter in Anspruch:

• Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland — Hosting der Plattform in deutschen Rechenzentren
• Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — Datei-Uploads und Speicherung über Cloudflare R2 (EU-Endpunkt). Datenübermittlung auf Grundlage der Standardvertragsklauseln der EU-Kommission.
• Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA — Fehlerüberwachung und Diagnose. Datenübermittlung auf Grundlage der Standardvertragsklauseln der EU-Kommission.
• SMTP-Dienstleister mit Servern innerhalb der Europäischen Union — transaktionale E-Mails

Der Verantwortliche stimmt der Beauftragung dieser Unterauftragsverarbeiter zu. Beabsichtigt der Auftragsverarbeiter, einen neuen Unterauftragsverarbeiter zu beauftragen oder einen bestehenden auszutauschen, wird dies dem Verantwortlichen mit einer Vorankündigung von mindestens 30 Tagen mitgeteilt. Der Verantwortliche hat das Recht, einer Änderung aus wichtigem Grund zu widersprechen; in diesem Fall steht ihm ein außerordentliches Kündigungsrecht zu.

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, die Vertraulichkeit zu wahren und die zur Wahrung der Sicherheit der Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen. Dazu gehören insbesondere:

• Verschlüsselung personenbezogener Daten während der Übertragung (TLS) und Speicherung
• Rollenbasierte Zugriffskontrollen und mandantenfähige Trennung der Daten
• Sichere Passwort-Speicherung mittels anerkannter Hash-Verfahren
• Regelmäßige Datensicherungen
• Protokollierung sicherheitsrelevanter Ereignisse und Fehlermeldungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO und bei Anfragen betroffener Personen (Art. 12 bis 22 DSGVO).

§ 7 Kontroll- und Informationsrechte

Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten des Auftragsverarbeiters zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung. Bei konkretem Anlass kann der Verantwortliche eine Prüfung der technisch-organisatorischen Maßnahmen vor Ort nach vorheriger Abstimmung durchführen.

§ 8 Löschung und Rückgabe

Nach Beendigung der Leistungserbringung werden alle personenbezogenen Daten auf Wunsch des Verantwortlichen entweder zurückgegeben (Export in einem gängigen maschinenlesbaren Format) oder gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Übergangsfrist für Export und Löschung beträgt dreißig (30) Tage ab Beendigung des Nutzungsvertrages.

§ 9 Ort der Datenverarbeitung

Die Verarbeitung personenbezogener Daten findet primär im Europäischen Wirtschaftsraum (EWR) statt. Soweit ein Unterauftragsverarbeiter Daten außerhalb des EWR verarbeitet (insbesondere die in § 5 genannten US-Anbieter), bestehen Standardvertragsklauseln (SCC) der EU-Kommission oder vergleichbare Schutzmaßnahmen gemäß Art. 46 DSGVO.

§ 10 Mitteilung bei Datenschutzverletzungen

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich benachrichtigen, wenn ihm eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO bekannt wird, und ihn bei der Erfüllung der Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen unterstützen.

§ 11 Kontakt

Für Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an info@auftragshub.de.