Vereinbarung zur Auftragsverarbeitung (AVV)

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) wird geschlossen zwischen dem Kunden als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO („Auftraggeber“) und [Betreiber/Firma eintragen], [Adresse eintragen], als Auftragsverarbeiter („Auftragnehmer“).

Die AVV ergänzt die Allgemeinen Geschäftsbedingungen und den Nutzungsvertrag ueber die Software-as-a-Service-Plattform Billdio.

Gegenstand der Verarbeitung ist die Bereitstellung, Wartung und Unterstützung der Plattform Billdio. Billdio ermöglicht dem Auftraggeber die Verwaltung von Geschäftsdaten, insbesondere Kunden, Rechnungen, Zahlungen, Produkten, Lagerdaten, Terminen, Mitarbeitern und sonstigen betriebsbezogenen Informationen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Vertragsende werden personenbezogene Daten nach Maßgabe des Vertrags gelöscht, anonymisiert oder zurückgegeben, sofern keine gesetzlichen Pflichten entgegenstehen.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung der vertraglich geschuldeten SaaS-Leistungen, zur technischen Sicherung, Wartung, Fehlerbehebung, Supportleistung und Datenwiederherstellung.

Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers erfolgt nicht, soweit der Auftragnehmer als Auftragsverarbeiter handelt.

Je nach Nutzung durch den Auftraggeber können insbesondere folgende Daten verarbeitet werden:

• Stammdaten von Kunden, Lieferanten, Ansprechpartnern und Mitarbeitern,
• Kontaktinformationen wie Namen, Anschriften, Telefonnummern und E-Mail-Adressen,
• Rechnungs-, Zahlungs-, Buchhaltungs- und Vertragsdaten,
• Produkt-, Lager-, Fahrzeug-, Termin- und Auftragsdaten,
• Benutzerkonten, Rollen, Berechtigungen und Aktivitätsdaten,
• hochgeladene Dateien, Logos, Bilder oder Dokumente,
• technische Protokolldaten und Sicherheitsereignisse.

Betroffene Personen können insbesondere sein:

• Kunden und Interessenten des Auftraggebers,
• Mitarbeiter und Benutzer des Auftraggebers,
• Lieferanten, Ansprechpartner und Geschäftspartner,
• sonstige Personen, deren Daten der Auftraggeber in Billdio verarbeitet.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. Weisungen können sich aus dem Nutzungsvertrag, dieser AVV, den Einstellungen in der Plattform oder schriftlichen Einzelweisungen ergeben.

Hält der Auftragnehmer eine Weisung fuer datenschutzrechtswidrig, weist er den Auftraggeber unverzüglich darauf hin.

Der Auftragnehmer verpflichtet alle zur Verarbeitung befugten Personen auf Vertraulichkeit oder stellt sicher, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO. Dazu gehören insbesondere:

• Zugriffsschutz durch rollenbasierte Benutzerkonten und Authentifizierung,
• Transportverschlüsselung per HTTPS/TLS,
• Mandantentrennung innerhalb der Anwendung,
• verschlüsselte Speicherung und Zugriffskontrollen fuer Infrastrukturkomponenten,
• regelmäßige Backups und Wiederherstellungsprozesse,
• Protokollierung sicherheitsrelevanter Ereignisse,
• Patch- und Update-Prozesse fuer Systemkomponenten,
• beschränkter administrativer Zugriff nach dem Need-to-know-Prinzip.

Die Maßnahmen können dem technischen Fortschritt entsprechend angepasst werden, solange das Sicherheitsniveau nicht wesentlich unterschritten wird.

Der Auftraggeber genehmigt den Einsatz von Unterauftragsverarbeitern, soweit diese zur Bereitstellung der Plattform erforderlich sind und angemessene Datenschutzverpflichtungen eingegangen sind.

Aktuell vorgesehene Kategorien bzw. Anbieter:

• Cloud-Hosting und Infrastruktur: Amazon Web Services (AWS), EU-Region,
• Zahlungsabwicklung: Stripe,
• E-Mail-Versand und technische Kommunikation: [Dienstleister eintragen],
• Domain, DNS, Monitoring oder Support-Dienste: [Dienstleister eintragen].

Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Erfüllung seiner Pflichten nach der DSGVO, insbesondere bei Betroffenenrechten, Meldungen von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und Nachweispflichten.

Soweit die Unterstützung über den vertraglich geschuldeten Umfang hinausgeht, kann sie nach Aufwand vergütet werden, sofern der Auftraggeber den Mehraufwand zu vertreten hat.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die vom Auftraggeber verarbeitete Daten betrifft.

Die Meldung enthält, soweit verfügbar, Art der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen und getroffene oder vorgeschlagene Maßnahmen.

Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV und der gesetzlichen Vorgaben im angemessenen Umfang zu kontrollieren. Kontrollen sind rechtzeitig anzukündigen und so durchzuführen, dass der Betrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigt wird.

Der Auftragnehmer kann geeignete Nachweise, Dokumentationen oder Zertifikate zur Verfügung stellen, soweit diese vorhanden sind.

Nach Ende des Vertrags löscht oder anonymisiert der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers, sofern keine gesetzlichen Aufbewahrungsfristen oder berechtigten Nachweisinteressen entgegenstehen.

Der Auftraggeber kann während der Vertragslaufzeit Exportfunktionen nutzen, um Daten herunterzuladen.

Im Übrigen gelten die Regelungen des Nutzungsvertrags und der AGB. Bei Widersprüchen zwischen dieser AVV und den AGB gehen die datenschutzrechtlichen Regelungen dieser AVV vor.