Auftragsverarbeitungs-vertrag (AVV)

§1 Gegenstand und Dauer des Vertrags

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen cloudbasierte Softwaredienstleistungen (SaaS), die den Zugriff auf Projekt-, Kunden-, Mitarbeiter- und Abrechnungsdaten ermöglichen.

(2) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Rahmen der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

(3) Der Vertrag beginnt mit Nutzung der Craftly-Dienste und endet mit Beendigung der Kundenbeziehung.

§2 Art und Zweck der Datenverarbeitung

• Verarbeitungsarten: Erheben, Erfassen, Organisation, Speicherung, Änderung, Auslesen, Abfrage, Verwendung, Offenlegung durch Übermittlung, Abgleich, Löschung, Einschränkung, Vernichtung.
• Zweck: Betrieb und Bereitstellung der SaaS-Lösung „Craftly“ zur Projektverwaltung, Zeiterfassung, Angebotserstellung, Abrechnung und Mitarbeiterorganisation.
• Betroffene Daten: Vor- und Nachnamen, Kontaktdaten, Zeiterfassungen, Adressen, Kundendaten, Projektdaten, Vertragsdaten, Rechnungsinformationen, Kommentare, Nutzungsdaten, Login-Daten.
• Betroffene Personen: Kunden, Mitarbeiter, Projektbeteiligte, Nutzer der Plattform, Dienstleister des Verantwortlichen.

§3 Weisungsrecht des Verantwortlichen

(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Mündliche Weisungen sind schriftlich zu bestätigen.

(2) Der Verantwortliche ist berechtigt, Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Änderungen sind ebenfalls schriftlich zu dokumentieren.

§4 Rechte und Pflichten des Auftragsverarbeiters

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
• Einsatz nur zur Verschwiegenheit verpflichteter Mitarbeiter.
• Unterstützung des Verantwortlichen bei Auskunfts-, Berichtigungs-, Lösch- und Einschränkungsersuchen.
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO.
• Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden.
• Nach Ende der Verarbeitung: Löschung oder Rückgabe sämtlicher Daten, je nach Entscheidung des Verantwortlichen.

§5 Subunternehmer

(1) Der Auftragsverarbeiter darf Subunternehmer einsetzen, sofern diese entsprechend vertraglich zur Einhaltung der DSGVO verpflichtet wurden.

(2) Aktuell eingesetzte Subunternehmer:

• Google Cloud / Firebase – Hosting, Datenbanken
• Hubspot Germany GmbH – CRM, Kommunikation
• Stripe Payments Europe Ltd. – Zahlungsabwicklung
• Mailgun Technologies – E-Mail-Kommunikation
• Sentry / Datadog – Fehler- und Performanceanalyse

(3) Der Verantwortliche wird über Änderungen rechtzeitig informiert. Ein Widerspruch ist möglich.

§6 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, nach vorheriger Ankündigung und in angemessenem Umfang Prüfungen und Inspektionen beim Auftragsverarbeiter durchzuführen oder durch Dritte durchführen zu lassen.

(2) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Auskünfte zu erteilen, Nachweise zu erbringen und Einsicht in die relevanten Dokumente zu gewähren.

(3) Als Nachweis dienen insbesondere Auditberichte, ISO/IEC 27001-Zertifikate oder gleichwertige externe Prüfberichte.

§7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat die in Art. 32 DSGVO geforderten Maßnahmen ergriffen. Dazu zählen insbesondere:

• Zutrittskontrolle (z. B. Schlüsselsysteme, Sicherheitsdienste)
• Zugangskontrolle (z. B. Passwörter, Zwei-Faktor-Authentifizierung)
• Zugriffskontrolle (z. B. Berechtigungskonzepte, Rollenprinzip)
• Weitergabekontrolle (z. B. Verschlüsselung bei Übertragungen)
• Eingabekontrolle (z. B. Protokollierung von Zugriffen und Eingaben)
• Auftragskontrolle (z. B. AV-Verträge mit Unterauftragsverarbeitern)
• Verfügbarkeitskontrolle (z. B. Backups, Notfallkonzepte)
• Trennungskontrolle (z. B. Mandantentrennung, Datenbanksegregation)

Die Maßnahmen werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst.

§8 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über alle Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Daten, betroffene Personen, etwaige Folgen sowie getroffene Gegenmaßnahmen.

§9 Datenlöschung und Rückgabe

Nach Beendigung des Vertragsverhältnisses wird der Auftragsverarbeiter sämtliche personenbezogenen Daten entweder löschen oder dem Verantwortlichen auf Wunsch zurückgeben. Davon ausgenommen sind Daten, die gesetzlichen Aufbewahrungspflichten unterliegen.

§10 Geheimhaltung

(1) Der Auftragsverarbeiter verpflichtet sich zur Vertraulichkeit hinsichtlich aller im Rahmen dieses Vertrags erlangten Informationen, auch über das Vertragsende hinaus.

(2) Diese Pflicht besteht auch gegenüber Subunternehmern und eingesetzten Mitarbeitern.

§11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Beide Parteien haften nur im Rahmen ihrer jeweiligen Verantwortlichkeit für Schäden, die aus einer unrechtmäßigen Verarbeitung entstehen.

§12 Drittländer

Eine Verarbeitung personenbezogener Daten in Drittländern erfolgt ausschließlich unter Einhaltung der gesetzlichen Vorgaben nach Kapitel V DSGVO, insbesondere unter Verwendung von Standardvertragsklauseln und weiteren geeigneten Garantien.

Aktuell genutzte Dienste mit Drittlandübertragung:
– Firebase (Google LLC, USA),
– Stripe (USA),
– Hubspot (USA),
– Mailgun (USA)

§13 Schlussbestimmungen

(1) Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.

(2) Sollten einzelne Regelungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

(3) Dieser AVV gilt ergänzend zu den AGB der Booqer UG. Im Zweifel gehen die Bestimmungen dieses Vertrags vor.