Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
§1 Gegenstand und Dauer der Verarbeitung
(1) Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.
(2) Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Plattform Inreeltime.
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
§2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere:
- Speicherung von Lead-Daten
- Verarbeitung von WhatsApp-Nachrichten
- CRM-Statusverarbeitung
- Workflow-Automatisierung
- Terminvereinbarung
- Kalenderintegration
- Technische Protokollierung
Zweck ist ausschließlich die Bereitstellung der SaaS-Plattform.
§3 Kategorien betroffener Personen
- Interessenten / Leads
- Kunden des Verantwortlichen
- Mitarbeiter des Verantwortlichen
- Kommunikationspartner
§4 Arten personenbezogener Daten
- Name
- Telefonnummer
- E-Mail-Adresse
- Unternehmensdaten
- Kommunikationsinhalte
- Terminmetadaten
- IP-Adresse
- Nutzungsdaten
§5 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen erfolgen grundsätzlich über die Nutzung der Plattform.
§6 Vertraulichkeit
(1) Der Auftragsverarbeiter verpflichtet alle zur Datenverarbeitung befugten Personen zur Vertraulichkeit.
(2) Diese Verpflichtung besteht auch nach Beendigung des Vertrags fort.
§7 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Hierzu zählen insbesondere:
- TLS-Verschlüsselung (HTTPS)
- Verschlüsselte Speicherung sensibler Tokens
- Rollen- und Rechtekonzept
- Multi-Tenant-Datenisolation
- Regelmäßige Sicherheitsupdates
- Zugriffsbeschränkung auf Administrationssysteme
- Protokollierung sicherheitsrelevanter Ereignisse
- Backup-Strategie mit verschlüsselter Speicherung
§8 Subunternehmer
(1) Der Verantwortliche stimmt dem Einsatz folgender Subunternehmer zu:
- Hosting-Anbieter (EU)
- Meta Platforms Ireland Ltd.
- Google Ireland Ltd.
- Microsoft Ireland Ltd.
- Stripe Payments Europe Ltd.
(2) Bei Drittlandübermittlungen erfolgen geeignete Garantien gemäß Art. 46 DSGVO.
(3) Der Auftragsverarbeiter informiert über wesentliche Änderungen der Subunternehmer.
§9 Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:
- Beantwortung von Betroffenenanfragen
- Erfüllung von Meldepflichten bei Datenschutzverletzungen
- Durchführung von Datenschutz-Folgenabschätzungen (soweit erforderlich)
§10 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Datenschutzverletzungen.
(2) Die Information erfolgt ohne schuldhaftes Zögern.
§11 Löschung und Rückgabe von Daten
(1) Nach Vertragsende werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
(2) Auf Wunsch erhält der Verantwortliche vor Löschung einen Datenexport.
§12 Kontrollrechte
(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen.
(2) Ein Audit ist nach angemessener Vorankündigung möglich, sofern keine Betriebsgeheimnisse gefährdet werden.
§13 Haftung
Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags.
§14 Schlussbestimmungen
(1) Es gilt deutsches Recht.
(2) Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.