Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Betreiber-Cockpit-Software-as-a-Service (nachfolgend „Dienst").

(2) Die Verarbeitung beginnt mit Aktivierung des Kontos und endet mit dessen Löschung oder der Kündigung des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet folgende Datenkategorien:

• Kontaktdaten der Nutzer (Name, E-Mail-Adresse)
• Organisations- und Unternehmensangaben
• Betriebliche Daten (Anlagen, Standorte, Wartungspläne, Wartungsprotokolle)
• Technische Zugriffsdaten und Audit-Logs
• Daten von Wartungsfirmen und deren Mitarbeitern (Name, E-Mail, Kontaktdaten)

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung, des Betriebs und der Weiterentwicklung des Dienstes sowie zur Einhaltung gesetzlicher Pflichten.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherstellung der Vertraulichkeit durch Verpflichtung aller mit der Verarbeitung beauftragten Personen (Art. 28 Abs. 3 lit. b DSGVO)
• Ergreifung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (§ 6 dieses Vertrags)
• Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
• Löschung oder Rückgabe aller Daten nach Abschluss der Verarbeitung (Art. 28 Abs. 3 lit. g DSGVO)
• Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung (Art. 28 Abs. 3 lit. h DSGVO)

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

• Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
• Alle Weisungen zur Datenverarbeitung schriftlich oder in dokumentierter elektronischer Form zu erteilen
• Die Rechtmäßigkeit der Weitergabe von Daten an den Auftragsverarbeiter sicherzustellen

§ 5 Unterauftragsverarbeitung

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO):

Änderungen der Unterauftragsverarbeiter werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten angekündigt. Der Verantwortliche kann Einwände erheben.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

• Verschlüsselung: HTTPS/TLS für alle Datenübertragungen
• Authentifizierung: JWT-basierte Sessions, bcrypt-Passwort-Hashing
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC)
• Protokollierung: Lückenlose Audit-Protokollierung aller Zugriffe
• Verfügbarkeit: Regelmäßige Datenbankbackups
• Integrität: Eingabevalidierung und Parameterisierung gegen SQL-Injection

§ 7 Datenlöschung und Rückgabe

Nach Beendigung des Nutzungsvertrags oder auf ausdrücklichen Wunsch des Verantwortlichen werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder dem Verantwortlichen in einem gängigen Format (JSON/CSV) zur Verfügung gestellt. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 8 Meldepflichten bei Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, per E-Mail an die im Konto hinterlegte Adresse.

§ 9 Änderungen dieses AVV

Wesentliche Änderungen dieses AVV werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Bei wesentlichen Änderungen ist eine erneute Akzeptanz beim nächsten Login erforderlich.

§ 10 Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist Wetzlar.