Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO).

Bereits Sliplane-Kunde? Sie können Ihren AVV direkt im Compliance Tab Ihres Teams unterschreiben und die unterzeichnete Kopie dort herunterladen.

Diese Seite ist die öffentlich einsehbare Referenzfassung des Auftragsverarbeitungsvertrags zwischen Ihnen (dem Verantwortlichen) und Sliplane, Lukas Mauser, Freienwalder Str. 3, 13359 Berlin (dem Auftragsverarbeiter).

1. Gegenstand, Laufzeit, verarbeitete personenbezogene Daten und Kategorien betroffener Personen

Gegenstand

Gegenstand dieses AVV ist die Beauftragung des Auftragsverarbeiters durch den Verantwortlichen sowie die Erteilung von Weisungen zur Verarbeitung personenbezogener Daten. Die durch den Auftragsverarbeiter durchgeführte Verarbeitung beschränkt sich strikt auf die zur Erfüllung des zugrunde liegenden Hauptvertrags erforderlichen Tätigkeiten.

Laufzeit

Die Laufzeit dieses AVV entspricht der des Hauptvertrags.

Kategorien personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten
  • Kommunikationsdaten (z. B. Telefon, E-Mail)
  • Vertragsdaten
  • Logdaten

Kategorien betroffener Personen

Die erhobenen und verarbeiteten personenbezogenen Daten betreffen:

  • Kunden und Interessenten des Verantwortlichen
  • Mitarbeiter und Personal des Verantwortlichen
  • Lieferanten des Verantwortlichen

2. Datenübermittlung ins Ausland

(1) Der Auftragsverarbeiter übermittelt personenbezogene Daten ausschließlich unter Einhaltung von Art. 45 ff. DSGVO. Der Auftragsverarbeiter stellt sicher, dass die Übermittlung sicher und mit angemessenen Garantien nach dem aktuellen Stand der Technik erfolgt.

(2) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht auf Server außerhalb des EWR zu übermitteln, es sei denn, die im Hauptvertrag erworbenen Produkte befinden sich außerhalb des EWR und ihre Nutzung erfordert eine Verarbeitung außerhalb des EWR.

3. Technische und organisatorische Maßnahmen

(1) Vor Abschluss dieses AVV verpflichtet sich der Auftragsverarbeiter, alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen und dem Verantwortlichen ein Dokument zur Verfügung zu stellen, das diese Maßnahmen detailliert beschreibt (Anlage 1) und sich konkret auf diese Vereinbarung bezieht.

(2) Der Auftragsverarbeiter garantiert, dass er alle nach Art. 28 Abs. 3 lit. c und Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen umgesetzt hat, insbesondere im Zusammenhang mit Art. 5 Abs. 1 und 2 DSGVO. Diese Maßnahmen müssen die Datensicherheit und ein angemessenes Schutzniveau hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme gewährleisten. Gemäß Art. 32 Abs. 1 DSGVO sind bei der Bewertung der Angemessenheit folgende Aspekte zu berücksichtigen: der Stand der Technik, die Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.

(3) Technische und organisatorische Maßnahmen unterliegen dem technologischen Fortschritt und der Entwicklung. Der Auftragsverarbeiter darf alternative geeignete Maßnahmen ergreifen, die den aktuellen Standards entsprechen, sofern das Sicherheitsniveau nicht reduziert wird. Wesentliche Änderungen sind zu dokumentieren.

4. Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter verpflichtet sich, im Rahmen des zumutbar Möglichen vollumfänglich mitzuwirken, um den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte ausüben, zu unterstützen.

(2) Insbesondere verpflichtet sich der Auftragsverarbeiter:

(i) jede Anfrage einer betroffenen Person zur Ausübung ihrer Rechte unverzüglich an den Verantwortlichen weiterzuleiten und

(ii) den Verantwortlichen, soweit möglich und angemessen, in die Lage zu versetzen, die zur Erfüllung solcher Anfragen erforderlichen technischen und organisatorischen Maßnahmen zu konzipieren und umzusetzen.

(3) Auch wenn die Verantwortung für die Beantwortung von Anfragen beim Verantwortlichen verbleibt, kann der Auftragsverarbeiter mit der Bearbeitung bestimmter Anfragen beauftragt werden, sofern dies keinen unzumutbaren Aufwand verursacht und der Verantwortliche detaillierte schriftliche Weisungen erteilt.

5. Zusätzliche Pflichten des Auftragsverarbeiters

Zusätzlich zur Einhaltung dieses AVV verpflichtet sich der Auftragsverarbeiter, alle gesetzlichen Anforderungen der Art. 28–33 DSGVO zu erfüllen. Insbesondere garantiert der Auftragsverarbeiter die Einhaltung folgender Punkte:

Datenschutzbeauftragter (DSB)

Aktueller Datenschutzbeauftragter ist: Lukas Mauser, Freienwalder Str. 3, 13359 Berlin, support@sliplane.io.

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich über jeden Wechsel des Datenschutzbeauftragten informieren.

Vertraulichkeit

Verarbeitungen im Rahmen dieses AVV dürfen nur durch Personen (z. B. Mitarbeiter, Beauftragte, Personal) erfolgen, die über den ordnungsgemäßen Umgang mit Daten informiert und vertraglich auf die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 32 DSGVO verpflichtet wurden. Der Auftragsverarbeiter und alle ihm unterstellten Personen mit Zugriff auf personenbezogene Daten dürfen diese Daten nur auf Weisung des Verantwortlichen verarbeiten, sofern nicht gesetzlich etwas anderes vorgeschrieben ist.

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter wird alle angemessenen Maßnahmen nach Art. 32 DSGVO umsetzen und einhalten. Er wird interne Prozesse und Sicherheitsmaßnahmen regelmäßig überprüfen, um die Einhaltung des Datenschutzrechts und den Schutz der Rechte betroffener Personen sicherzustellen. Dem Verantwortlichen wird im Rahmen der Auditrechte gemäß Abschnitt 7 die Möglichkeit eingeräumt, diese Maßnahmen zu überprüfen.

Zusammenarbeit mit Aufsichtsbehörden

Der Verantwortliche und der Auftragsverarbeiter werden auf Anfrage mit Aufsichtsbehörden zusammenarbeiten. Der Verantwortliche ist unverzüglich über etwaige Prüfungen oder Maßnahmen einer Aufsichtsbehörde im Zusammenhang mit diesem AVV zu informieren. Werden Ermittlungen gegen den Auftragsverarbeiter eingeleitet, wird dieser sich bemühen, den Verantwortlichen zu unterstützen.

6. Unterauftragsverarbeiter

(1) Der Verantwortliche ermächtigt den Auftragsverarbeiter, Teile der Verarbeitung an Unterauftragsverarbeiter weiterzugeben. Solche Unterauftragsverarbeiter sind vertraglich zu denselben Pflichten zu verpflichten, wie sie in diesem AVV festgelegt sind, gemäß Art. 28 Abs. 4 DSGVO.

(2) Zum Zeitpunkt der Unterzeichnung beauftragt der Auftragsverarbeiter folgende Unterauftragsverarbeiter unter diesen Bedingungen:

#UnterauftragsverarbeiterAdresse/LandÜbertragene Tätigkeit
1Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandHosting der Sliplane- und Kundeninfrastruktur im EWR
2Impossible Cloud GmbHFriesenweg 12, 22763 Hamburg, DeutschlandVerschlüsselte Offsite-Backups von Kundendaten
3BunnyWay d.o.o.Dunajska cesta 165, 1000 Ljubljana, SlowenienDDoS-Schutz der Sliplane-Infrastruktur
4DataCamp Limited9 Coldbath Square, London, Vereinigtes KönigreichHosting von Servern außerhalb des EWR
5Latitude.shRua Cubatão, 929, São Paulo, SP, 04013-043, BrasilienHosting von Servern außerhalb des EWR

(3) Personenbezogene Daten dürfen nur dann an Unterauftragsverarbeiter übermittelt werden, wenn alle Anforderungen aus Absatz (1) erfüllt sind.

(4) Der Auftragsverarbeiter wird eine aktualisierte Liste der Unterauftragsverarbeiter führen und den Verantwortlichen über Änderungen informieren, sodass dieser Einspruch erheben kann. Im Falle eines Einspruchs ist der Auftragsverarbeiter berechtigt, den Vertrag mit sofortiger Wirkung zu kündigen.

(5) Der Auftragsverarbeiter bleibt für die Tätigkeiten der Unterauftragsverarbeiter vollumfänglich verantwortlich und haftbar.

(6) Sofern ein Unterauftragsverarbeiter außerhalb der EU/des EWR tätig ist, hat der Auftragsverarbeiter die Einhaltung der Bestimmungen zu internationalen Datenübermittlungen gemäß Abschnitt 2 dieses AVV sicherzustellen.

7. Audits

(1) Der Verantwortliche ist berechtigt, Audits durchzuführen oder einen Auditor zu beauftragen, um die Einhaltung dieses AVV anhand von Stichproben zu prüfen, wobei der Auftragsverarbeiter vorab zu informieren ist.

(2) Der Auftragsverarbeiter wird dem Verantwortlichen die erforderlichen Informationen und Nachweise zur Umsetzung der Sicherheitsmaßnahmen zur Verfügung stellen.

(3) Als Nachweis kommen unter anderem in Betracht:

  • Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO)
  • Zertifizierung nach einem genehmigten Verfahren (Art. 42 DSGVO)
  • aktuelle Prüfberichte oder Zertifikate unabhängiger Stellen
  • Zertifizierungen durch IT-Sicherheits- oder Datenschutzauditoren

(4) Der Auftragsverarbeiter kann dem Verantwortlichen für Audits ein angemessenes Entgelt in Rechnung stellen.

8. Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO, insbesondere bei:

  • der Sicherstellung angemessener Sicherheitsmaßnahmen unter Berücksichtigung der Verarbeitungsrisiken
  • der unverzüglichen Erkennung von Datenschutzverletzungen
  • der zeitnahen Meldung solcher Verletzungen an den Verantwortlichen
  • der Beantwortung von Anfragen betroffener Personen

(2) Der Auftragsverarbeiter kann ein angemessenes Entgelt für Unterstützungsleistungen verlangen, die nicht in der Leistungsbeschreibung enthalten sind oder nicht durch eigenes Verschulden verursacht wurden.

9. Weisungen des Verantwortlichen

(1) Der Auftragsverarbeiter darf personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten, sofern nicht gesetzlich etwas anderes vorgeschrieben ist.

(2) Verlangt der Verantwortliche Änderungen, die zu DSGVO-Verstößen führen könnten, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren und kann von der Umsetzung absehen.

10. Haftung

(1) Jede Partei stellt die andere von Schäden oder Aufwendungen frei, die aus einem eigenen schuldhaften Verstoß gegen diesen AVV resultieren, einschließlich Verstößen durch gesetzliche Vertreter, Subunternehmer, Mitarbeiter oder Beauftragte. Jede Partei stellt die andere zudem von Ansprüchen Dritter aus solchen Verstößen frei.

(2) Art. 82 DSGVO bleibt unberührt.

11. Löschung und Rückgabe personenbezogener Daten

(1) Der Auftragsverarbeiter darf ohne Kenntnis und Zustimmung des Verantwortlichen keine Kopien der Daten anfertigen, mit Ausnahme erforderlicher Backups oder gesetzlich vorgeschriebener Aufbewahrung.

(2) Nach Beendigung des Vertrags muss der Auftragsverarbeiter alle personenbezogenen Daten gemäß DSGVO entweder löschen oder an den Verantwortlichen zurückgeben, sofern keine weiteren gesetzlichen Aufbewahrungspflichten bestehen.

(3) Der Auftragsverarbeiter darf Informationen aufbewahren, die zum Nachweis der rechtmäßigen Verarbeitung über das Vertragsende hinaus erforderlich sind.

(4) Solche Unterlagen werden gemäß den geltenden Gesetzen aufbewahrt. Der Auftragsverarbeiter kann die Unterlagen an den Verantwortlichen übergeben und sich dadurch von der Aufbewahrungspflicht befreien.

12. Gerichtsstand

Die Parteien vereinbaren als Gerichtsstand das für den Geschäftssitz des Auftragsverarbeiters in Berlin-Wedding zuständige Gericht.

Anlage 1: Technische und organisatorische Maßnahmen (gemäß Art. 32 DSGVO)

Absicherung interner Verwaltungssysteme

  • regelmäßige Sicherheitsupdates
  • fachgerechter Einsatz von Schutzwerkzeugen (Firewalls, Verschlüsselung)
  • Zugriffskontrolle für Verwaltungssysteme
  • regelmäßige Backups an einem physisch getrennten, unabhängigen Ort
  • Infrastruktur-Monitoring
  • kein physischer Zugang zur Infrastruktur
  • DDoS-Schutz
  • DSGVO-konforme Löschung der Daten nach Vertragsende

Absicherung von Kundenservern

  • regelmäßige Sicherheitsupdates
  • fachgerechter Einsatz von Schutzwerkzeugen (Firewalls, Verschlüsselung)
  • Infrastruktur-Monitoring
  • Zugriffskontrolle für die Infrastruktur
  • kein physischer Zugang zur Infrastruktur
  • Updates und Sicherheit der bereitgestellten Software liegen in der Verantwortung des Verantwortlichen
  • DSGVO-konforme Löschung der Daten nach Vertragsende
  • bei entsprechender Beauftragung: regelmäßige Backups an einem physisch getrennten, unabhängigen Ort