Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 DSGVO zwischen dem Kunden (im Folgenden: "Verantwortlicher") und JuDi Connect, Julian Diel (im Folgenden: "Auftragsverarbeiter").
1. Gegenstand, Dauer und Spezifizierung
(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem zwischen den Parteien geschlossenen Hauptvertrag ("Nutzungsvertrag Instando") ergeben. Er findet Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder durch ihn beauftragte Unterauftragnehmer personenbezogene Daten des Verantwortlichen verarbeiten.
(2) Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrages.
2. Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
(2) Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).
3. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung und Wartung der Software-Plattform Instando. Dies umfasst:
- Bereitstellung der Cloud-Infrastruktur
- Technischer Support und Fehlerbehebung
- Datensicherung und Wiederherstellung
- Automatisierte Erstellung von Berichten und Analysen
4. Kategorien betroffener Personen und Daten
Betroffene Personen:
- Beschäftigte des Verantwortlichen
- Kunden, Interessenten und Lieferanten
- Externe Dienstleister und Kooperationspartner
Arten personenbezogener Daten:
- Personenstammdaten (Name, Vorname, Geburtsdatum)
- Kontaktdaten (E-Mail, Telefonnummer, Anschrift)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Leistungsinteresse)
- Gesundheitsdaten (Art. 9 Abs. 1 DSGVO - nur im Modul Arbeitsmedizin)
- IT-Nutzungsdaten (IP-Adressen, Log-Files)
5. Pflichten des Auftragsverarbeiters
(1) Weisungsgebundenheit: Der Auftragsverarbeiter darf Daten nur im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist.
(2) Vertraulichkeit: Der Auftragsverarbeiter sichert zu, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 S. 2 lit. b DSGVO).
(3) Sicherheit: Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage TOM).
(4) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung von Anträgen auf Ausübung von Betroffenenrechten sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.
6. Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt folgende Maßnahmen um:
- Zutrittskontrolle: Abgesicherte Rechenzentren (Hetzner), Biometrische Zugangskontrolle, Videoüberwachung.
- Zugriffskontrolle: Rollenbasierte Berechtigungskonzepte, Passwortrichtlinien, 2FA.
- Verschlüsselung: Übertragung via TLS 1.3, Festplattenverschlüsselung (AES-256).
- Verfügbarkeit: Redundante Speicherung, tägliche Off-site Backups.
- Trennungskontrolle: Logische Trennung der Mandantendaten in der Datenbank.
7. Unterauftragsverhältnisse
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter heranzuziehen. Derzeit werden folgende Sub-Dienstleister eingesetzt:
| Dienstleister | Leistung | Sitz |
|---|---|---|
| Hetzner Online GmbH | Hosting & Cloud | Deutschland |
| Stripe Payments Europe | Zahlung | Irland (EU) |
8. Kontrollrechte und Meldung von Verstößen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung.
(2) Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.
(3) Verstöße gegen Datenschutzvorschriften oder die vertraglichen Vereinbarungen meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich nach Bekanntwerden.
9. Beendigung und Löschung
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück, sofern nicht eine Verpflichtung zur Speicherung der Daten nach dem Unionsrecht oder dem Recht der Mitgliedstaaten besteht.
10. Haftung
Es gelten die Haftungsregelungen des Hauptvertrages, soweit nicht die unmittelbare Haftung gemäß Art. 82 DSGVO eingreift.