Login Kostenlos testen

Vereinbarung zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

zwischen

Schimanski Digital UG (haftungsbeschränkt)
Vertreten durch: Tammo Schimanski
Gutenbergstraße 17
28865 Lilienthal
Deutschland

– nachfolgend „Auftragsverarbeiter“ –

und

dem jeweiligen Kunden der Software „susiplan“

– nachfolgend „Verantwortlicher“ –

1. Gegenstand der Verarbeitung

Der Auftragsverarbeiter stellt dem Verantwortlichen die webbasierte Software „susiplan“ zur organisatorischen Ressourcenplanung als Software-as-a-Service (SaaS) bereit.

Im Rahmen der Nutzung kann es zur Verarbeitung personenbezogener Daten kommen, die durch den Verantwortlichen in die Software eingegeben werden.

Die Verarbeitung erfolgt ausschließlich im Auftrag des Verantwortlichen.

2. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertrags über die Nutzung der Software.

Nach Vertragsende erfolgt die Löschung der Daten gemäß Abschnitt 10 dieser Vereinbarung.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Speicherung

  • Organisation

  • Bereitstellung

  • Nutzung innerhalb der Software

  • Sicherung durch Backups

Zweck der Verarbeitung ist ausschließlich die Bereitstellung der SaaS-Software zur organisatorischen Ressourcenplanung.

4. Art der personenbezogenen Daten

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Daten verarbeitet werden:

  • Vorname

  • Nachname

  • E-Mail-Adresse

  • Rollen innerhalb der Software

  • Buchungs- und Organisationsdaten

Es werden keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet.

5. Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

  • Mitarbeiter des Verantwortlichen

  • Nutzer der Software

  • sonstige durch den Verantwortlichen angelegte Personen

6. Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Weisungen können in Textform (z. B. E-Mail) erteilt werden.

7. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen zur Vertraulichkeit verpflichtet sind.

8. Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Die Maßnahmen sind in Anlage 2 dieser Vereinbarung beschrieben.

9. Subunternehmer

Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen.

Aktuell eingesetzte Subunternehmer sind in Anlage 3 aufgeführt.

Der Auftragsverarbeiter stellt sicher, dass mit Subunternehmern entsprechende Datenschutzvereinbarungen abgeschlossen werden.

Der Verantwortliche wird über wesentliche Änderungen der Subunternehmer informiert.

10. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter personenbezogene Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Der Verantwortliche kann innerhalb von 30 Tagen nach Vertragsende die Bereitstellung seiner Daten verlangen.

11. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei:

  • der Beantwortung von Betroffenenanfragen

  • Datenschutz-Folgenabschätzungen

  • Sicherheitsmeldungen

12. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.

13. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage geeignete Nachweise zur Verfügung, insbesondere Dokumentationen zu technischen und organisatorischen Maßnahmen sowie Informationen zu eingesetzten Subunternehmern.

Eine Vor-Ort-Kontrolle kann nur aus wichtigem Grund, nach vorheriger angemessener Ankündigung und während der üblichen Geschäftszeiten erfolgen, sofern dadurch der Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt wird.

Der Auftragsverarbeiter kann die Kontrolle auch durch geeignete Nachweise oder Zertifikate ersetzen.

14. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie nach den Regelungen des zugrunde liegenden Hauptvertrags.

Anlage 1 – Beschreibung der Verarbeitung

Zweck

Bereitstellung der SaaS-Software „susiplan“ zur organisatorischen Ressourcenplanung.

Datenkategorien

  • Vorname

  • Nachname

  • E-Mail-Adresse

  • Rollen

  • Organisations- und Buchungsdaten

Betroffene Personen

  • Mitarbeiter

  • Nutzerkonten innerhalb der Software

Anlage 2 – Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten.

1. Zutrittskontrolle

  • Betrieb der Serverinfrastruktur in professionellen Rechenzentren

  • physische Zugangskontrollen der Rechenzentren

  • Zugang nur für autorisierte Personen

2. Zugangskontrolle

  • Zugriff auf Systeme nur über individuelle Benutzerkonten

  • Passwortgeschützte Authentifizierung

  • Zugriff auf Administrationssysteme nur für autorisierte Personen

3. Zugriffskontrolle

  • rollenbasiertes Berechtigungssystem innerhalb der Anwendung

  • Zugriff auf personenbezogene Daten nur im Rahmen der jeweiligen Berechtigung

4. Weitergabekontrolle

  • verschlüsselte Datenübertragung über HTTPS/TLS

  • Zugriff auf Daten nur über gesicherte Verbindungen

5. Eingabekontrolle

  • Nachvollziehbarkeit von Änderungen innerhalb der Anwendung

  • Protokollierung sicherheitsrelevanter Systemereignisse

6. Auftragskontrolle

  • Verarbeitung personenbezogener Daten ausschließlich auf Weisung des Verantwortlichen

  • vertragliche Regelung der Auftragsverarbeitung gemäß Art. 28 DSGVO

7. Verfügbarkeitskontrolle

  • regelmäßige Datensicherungen (Backups)

  • Schutz der Infrastruktur vor Ausfällen

  • Monitoring der Systemverfügbarkeit

8. Trennungsgebot

  • logische Trennung der Daten verschiedener Kunden

– getrennte Speicherung und Verarbeitung innerhalb der Anwendung

Anlage 3 – Subunternehmer

Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen bei eingesetzten Subunternehmern.

Der Auftragsverarbeiter setzt folgende Subunternehmer ein:

Hetzner Online GmbH
Hosting der Serverinfrastruktur
Deutschland

Stripe, Inc.
Zahlungsabwicklung
USA / EU