Auftragsverarbeitungsvertrag (AVV)

Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung der Software „Swiflo". Die Dauer entspricht der Laufzeit des Hauptvertrags.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (Verwaltung, Priorisierung und Bearbeitung von Vertriebs-Kontakten/„Leads") und nur auf dokumentierte Weisung des Verantwortlichen.

Art der Daten: insbesondere Stamm- und Kontaktdaten der vom Verantwortlichen verwalteten Leads (z. B. Name, Telefonnummer, E-Mail-Adresse), vom Verantwortlichen erfasste Zusatzfelder, Notizen und Kontakt-/Gesprächshistorie.

Kategorien betroffener Personen: Interessenten und Kontakte (Leads) des Verantwortlichen sowie dessen Mitarbeiter (Nutzer).

Der Auftragsverarbeiter verpflichtet sich insbesondere,

• Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
• die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
• geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen (Anlage 1);
• Unterauftragsverarbeiter nur nach Maßgabe von Ziffer 5 einzusetzen;
• den Verantwortlichen bei der Erfüllung von Betroffenenrechten sowie seinen Pflichten nach Art. 32–36 DSGVO angemessen zu unterstützen;
• nach Wahl des Verantwortlichen alle Daten nach Ende der Verarbeitung zu löschen oder zurückzugeben;
• dem Verantwortlichen die zum Nachweis erforderlichen Informationen zur Verfügung zu stellen.

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Vertragsdauer auf dem Stand der Technik.

Der Verantwortliche stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Der Auftragsverarbeiter stellt sicher, dass mit diesen Verträge mit Datenschutzpflichten nach Art. 28 DSGVO bestehen. Über beabsichtigte Änderungen (Hinzuziehung/Austausch) informiert der Auftragsverarbeiter den Verantwortlichen; dieser kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei den Pflichten nach Art. 33, 34 DSGVO.

Verarbeitungen erfolgen ausschließlich im Rahmen der Weisungen des Verantwortlichen. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter die verarbeiteten Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann seine Daten zudem über die in der Software bereitgestellten Funktionen exportieren bzw. löschen.

Der Auftragsverarbeiter weist die Einhaltung der Pflichten auf Anfrage in geeigneter Weise nach (z. B. durch Bereitstellung von Informationen, Selbstauskünften oder Zertifikaten der eingesetzten Dienstleister) und ermöglicht angemessene Überprüfungen.

Soweit Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten, erfolgt dies nur auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln und/oder Data Privacy Framework). Einzelheiten in Anlage 2.

Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf die Datenverarbeitung vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

• Verschlüsselte Datenübertragung (TLS/HTTPS).
• Zugriffskontrolle über Authentifizierung; rollen- und mandantenbasierte Trennung der Daten (Row Level Security).
• Datenhaltung in der EU (Server-Region Frankfurt) beim Datenbank-Dienstleister.
• Vergabe von Berechtigungen nach dem Need-to-know-Prinzip; Geheimhaltung von Zugangsdaten/Schlüsseln.
• Protokollierung sicherheitsrelevanter Zugriffe; Maßnahmen zur Verfügbarkeit und Wiederherstellbarkeit.
• Umsetzung von Betroffenenrechten und Löschkonzepten innerhalb der Anwendung.

• Supabase Inc. (USA; Datenverarbeitung in der EU, Region Frankfurt) – Datenbank, Authentifizierung, Realtime. Garantie für Drittland: EU-Standardvertragsklauseln.
• Vercel Inc. (USA) – Hosting/Bereitstellung der Anwendung. Garantie für Drittland: Data Privacy Framework, Standardvertragsklauseln.
• Stripe, Inc. (USA) – Zahlungsabwicklung. Garantie für Drittland: Data Privacy Framework.
• Meta Platforms Ireland Ltd. (Irland) – nur bei verbundener Facebook-Seite: Übermittlung von Anzeigen-Leads. Garantie für Drittland: Data Privacy Framework, Standardvertragsklauseln.