Auftragsverarbeitungsvertrag (AVV)
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der Haertel & Vickers Digital Services GbR (nachfolgend „Auftragsverarbeiter“) geschlossenen Hauptvertrag (Nutzung der Baukasten-Software/SaaS) ergeben. Dieser AVV findet Anwendung auf alle Tätigkeiten, bei denen der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet.
§ 1 Gegenstand, Dauer und Spezifizierung
(1) Gegenstand und Dauer: Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages.
(2) Spezifizierung der Verarbeitung: Die Verarbeitung umfasst folgende Daten und Kategorien:
| Art der Daten | Kategorien Betroffener | Zweck der Verarbeitung |
|---|---|---|
| Kontaktdaten: Namen, E-Mail, Telefon | Website-Nutzer (Kontaktformular) | Bereitstellung & Weiterleitung von Anfragen |
| Kommunikationsdaten: Textinhalte | Website-Nutzer (Kontaktformular) | Technische Datenhaltung & Verarbeitung |
| Logdaten: IP-Adressen, Zeitstempel, Browser | Website-Besucher | Hosting, Sicherheit, Fehlerbehebung |
| Shopdaten: Bestelldaten, Adressen (exkl. voller Finanzdaten) | Endkunden des Shops | Abwicklung von Bestellungen im Online-Shop |
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
(2) Der Verantwortliche ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenerhebung (Art. 4 Nr. 7 DSGVO), allein verantwortlich.
§ 3 Pflichten des Auftragsverarbeiters
(1) Weisungsbindung: Der Auftragsverarbeiter verarbeitet Daten nur im Rahmen des Auftrages. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.
(2) TOM: Der Auftragsverarbeiter trifft technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die aktuellen Maßnahmen sind unter flora1.de/tom einsehbar.
(3) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Betroffenenanfragen und Meldepflichten (Art. 33-36 DSGVO) gegen gesonderte Vergütung.
(4) Vertraulichkeit: Alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
(5) Meldung: Verletzungen des Schutzes personenbezogener Daten werden dem Verantwortlichen unverzüglich mitgeteilt.
(6) Löschung: Nach Beendigung des Auftrags werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten in den Verarbeitungsergebnissen. Er nennt einen Ansprechpartner für Datenschutzfragen.
§ 5 Anfragen betroffener Personen
Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Verantwortlichen weiterleiten. Die Haftung für die fristgerechte Beantwortung liegt beim Verantwortlichen.
§ 6 Kontrollrechte
Der Verantwortliche hat das Recht, Inspektionen durchzuführen oder durchführen zu lassen. Diese sind mit einer Frist von 14 Tagen anzumelden und erfolgen gegen Vergütung des Aufwandes. Der Auftragsverarbeiter kann den Nachweis auch durch Zertifikate oder Prüfberichte erbringen.
§ 7 Subunternehmer (weitere Auftragsverarbeiter)
(1) Der Verantwortliche stimmt der Hinzuziehung der unter flora1.de/subunternehmen gelisteten Subunternehmer zu.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über die Hinzuziehung neuer Subunternehmer per E-Mail oder im Dashboard. Der Verantwortliche kann innerhalb von 4 Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen.
(3) Bei Verarbeitung in Drittländern (z.B. USA) garantiert der Auftragsverarbeiter ein angemessenes Schutzniveau (z.B. EU-U.S. Data Privacy Framework).
§ 8 Haftung und Schadensersatz
(1) Die Haftung im Außenverhältnis gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.
(2) Im Innenverhältnis zwischen den Parteien gilt die Haftungsbeschränkung des Hauptvertrages (AGB) in vollem Umfang. Der Auftragsverarbeiter haftet nicht für Schäden, die durch weisungswidriges Handeln des Verantwortlichen entstehen.