Auftragsverarbeitungsvertrag (AVV)

§ 2 – Begriffsbestimmungen

2.1. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

2.2. Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO), insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten.

2.3. Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Im Rahmen dieses AVV ist der Verantwortliche der Nutzer der DPP Hero Plattform.

2.4. Auftragsverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Im Rahmen dieses AVV ist der Auftragsverarbeiter DPP Hero.

2.5. Unterauftragsverarbeiter ist ein weiterer Auftragsverarbeiter, der vom Auftragsverarbeiter zur Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen hinzugezogen wird.

2.6. Betroffene Person ist die identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden (Art. 4 Nr. 1 DSGVO).

2.7. Weisung ist die auf einen bestimmten datenschutzrechtlichen Umgang mit personenbezogenen Daten gerichtete Anordnung des Verantwortlichen an den Auftragsverarbeiter. Weisungen werden in der Regel in Textform erteilt; mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 3 – Gegenstand und Dauer der Verarbeitung

3.1. Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung und des Betriebs der SaaS-Plattform DPP Hero gemäß dem Hauptvertrag.

3.2. Die Verarbeitung beginnt mit dem Inkrafttreten des Hauptvertrages (Registrierung und Nutzung der Plattform) und endet mit der vollständigen Beendigung des Hauptvertrages und der abschließenden Löschung oder Rückgabe aller personenbezogenen Daten gemäß § 16 dieses AVV.

3.3. Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages. Dieser AVV endet automatisch mit der Beendigung des Hauptvertrages, unbeschadet etwaiger Pflichten, die ihrer Natur nach über die Vertragsbeendigung hinaus fortgelten (insbesondere Löschungspflichten, Vertraulichkeitspflichten).

§ 4 – Art und Zweck der Verarbeitung

4.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erfüllung des Hauptvertrages, insbesondere:

(a) Bereitstellung der Plattform: Betrieb, Wartung und Weiterentwicklung der SaaS-Plattform DPP Hero, einschließlich Datenbankhosting, Anwendungshosting und Bereitstellung der Benutzeroberfläche;

(b) Nutzerkontenverwaltung: Registrierung, Authentifizierung, Sitzungsverwaltung und Verwaltung von Nutzerkonten;

(c) Produktdatenverarbeitung: Speicherung, Verarbeitung, Anzeige und Export der vom Verantwortlichen eingegebenen Produktdaten, einschließlich etwaiger darin enthaltener personenbezogener Daten (z. B. Kontaktpersonen, Zuliefererdaten);

(d) Dokumentenverwaltung: Speicherung und Bereitstellung der vom Verantwortlichen hochgeladenen Dokumente;

(e) Veröffentlichung: Bereitstellung veröffentlichter Produktdaten über öffentlich zugängliche URLs auf Veranlassung des Verantwortlichen;

(f) Kommunikation: Versand transaktionaler E-Mails (z. B. Registrierungsbestätigungen, Passwort-Zurücksetzungen, Benachrichtigungen);

(g) Zahlungsabwicklung: Abwicklung von Abonnementzahlungen und Rechnungserstellung;

(h) Sicherheit: Schutz der Plattform vor unbefugtem Zugriff, Missbrauch, Bot-Angriffen und DDoS-Attacken.

4.2. Eine Verarbeitung personenbezogener Daten zu anderen Zwecken ist nicht gestattet und findet nicht statt, es sei denn, der Verantwortliche hat dem ausdrücklich in Textform zugestimmt oder der Auftragsverarbeiter ist aufgrund einer unionsrechtlichen oder mitgliedstaatlichen Rechtsvorschrift zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).

§ 5 – Art der personenbezogenen Daten

5.1. Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

(a) Kontodaten der Nutzer: E-Mail-Adresse, Name, Passwort (gehasht), Spracheinstellung, Zeitzone, Zwei-Faktor-Authentifizierungsdaten (TOTP-Seeds);

(b) Organisationsdaten: Firmenname, Geschäftsadresse, USt-IdNr., Land, Website, Telefonnummer;

(c) Kontaktdaten in Produktdaten: Namen, E-Mail-Adressen, Telefonnummern und Adressen von Kontaktpersonen des Verantwortlichen (z. B. Ansprechpartner für den Produktpass, Sicherheitsbeauftragte);

(d) Zuliefererdaten in Produktdaten: Namen, Firmennamen, Adressen, E-Mail-Adressen und Kontaktdaten von Zulieferern und Geschäftspartnern des Verantwortlichen, soweit diese als Teil der Produktdaten eingegeben werden;

(e) Technische Nutzungsdaten: IP-Adressen, Browser-Informationen, Zugriffszeiten, Geräteinformationen, Sitzungsdaten;

(f) Zahlungsdaten: Rechnungsadresse, Zahlungsmethode (Metadaten, keine vollständigen Kreditkartennummern), Abonnementstatus, Transaktionshistorie;

(g) Kommunikationsdaten: E-Mail-Adressen und Inhalte transaktionaler E-Mails;

(h) Daten aus Share-Links: E-Mail-Adressen und von Dritten (z. B. Zulieferern) über Share-Links übermittelte Produktdaten, soweit diese personenbezogene Daten enthalten.

5.2. Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ist nicht Gegenstand dieses AVV. Der Verantwortliche wird solche Daten nicht in die Plattform eingeben. Sollte der Verantwortliche dennoch besondere Kategorien personenbezogener Daten eingeben, trägt er hierfür die alleinige datenschutzrechtliche Verantwortung.

§ 6 – Kategorien betroffener Personen

6.1. Von der Verarbeitung sind folgende Kategorien betroffener Personen betroffen:

(a) Nutzer des Verantwortlichen: Mitarbeiter, Bevollmächtigte und sonstige Personen, die vom Verantwortlichen zur Nutzung der Plattform autorisiert wurden;

(b) Kontaktpersonen des Verantwortlichen: In den Produktdaten benannte Ansprechpartner, Sicherheitsbeauftragte und sonstige Kontaktpersonen des Verantwortlichen;

(c) Zulieferer und Geschäftspartner: Natürliche Personen bei Zulieferern, Vorlieferanten und sonstigen Geschäftspartnern des Verantwortlichen, deren Kontaktdaten in die Produktdaten eingegeben werden;

(d) Empfänger von Share-Links: Natürliche Personen, denen der Verantwortliche Share-Links zur Dateneingabe übermittelt;

(e) Sonstige betroffene Personen: Natürliche Personen, deren personenbezogene Daten der Verantwortliche im Rahmen der Plattformnutzung in die Produktdaten oder Dokumente eingibt.

§ 7 – Pflichten und Rechte des Verantwortlichen

7.1. Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen, verantwortlich (Art. 24 DSGVO).

7.2. Der Verantwortliche legt Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrages und dieses AVV fest. Er erteilt dem Auftragsverarbeiter Weisungen gemäß § 9 dieses AVV.

7.3. Der Verantwortliche stellt sicher, dass:

(a) für die Verarbeitung der personenbezogenen Daten eine geeignete Rechtsgrundlage vorliegt (insbesondere Art. 6 Abs. 1 DSGVO);

(b) die betroffenen Personen ordnungsgemäß über die Datenverarbeitung informiert werden (Art. 13, 14 DSGVO), insbesondere über die Einbeziehung von DPP Hero als Auftragsverarbeiter und den Einsatz von Unterauftragsverarbeitern;

(c) er die Einwilligung betroffener Personen einholt, soweit diese als Rechtsgrundlage erforderlich ist;

(d) die in die Plattform eingegebenen personenbezogenen Daten zutreffend und aktuell sind;

(e) er keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO in die Plattform eingibt.

7.4. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

§ 8 – Pflichten des Auftragsverarbeiters

8.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen gemäß § 9 dieses AVV, es sei denn, er ist nach dem Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

8.2. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

8.3. Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 1 zu diesem AVV dokumentiert.

8.4. Der Auftragsverarbeiter setzt Unterauftragsverarbeiter nur unter den in § 12 dieses AVV festgelegten Bedingungen ein.

8.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. e, f DSGVO). Näheres regelt § 14 dieses AVV.

8.6. Der Auftragsverarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO). Näheres regelt § 16 dieses AVV.

8.7. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei (Art. 28 Abs. 3 lit. h DSGVO). Näheres regelt § 13 dieses AVV.

8.8. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt (Art. 28 Abs. 3 Unterabs. 2 DSGVO).

§ 9 – Weisungen

9.1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen. Der Hauptvertrag (einschließlich AGB) und dieser AVV stellen die grundlegenden Weisungen dar.

9.2. Weisungen sind grundsätzlich in Textform (E-Mail an privacy@dpphero.com) zu erteilen. Mündliche Weisungen sind im Ausnahmefall zulässig und sind vom Verantwortlichen unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter dokumentiert alle erhaltenen Weisungen.

9.3. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung einer solchen Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

9.4. Der Auftragsverarbeiter verwendet die personenbezogenen Daten nicht für eigene Zwecke und gibt die Daten nicht an Dritte weiter, es sei denn, der Verantwortliche hat dem in Textform zugestimmt oder der Auftragsverarbeiter ist hierzu gesetzlich verpflichtet.

§ 10 – Vertraulichkeit

10.1. Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten des Verantwortlichen haben, der Vertraulichkeit verpflichtet sind. Dies umfasst sowohl eigene Beschäftigte als auch freie Mitarbeiter und sonstige Hilfspersonen.

10.2. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der jeweiligen Tätigkeit und dieses AVV fort.

10.3. Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung personenbezogener Daten betrauten Personen in die einschlägigen Datenschutzvorschriften eingewiesen und über die besonderen Datenschutzanforderungen im Rahmen dieses AVV informiert wurden. Entsprechende Schulungen werden in angemessenen Abständen durchgeführt und dokumentiert.

§ 11 – Technische und organisatorische Maßnahmen (TOM)

11.1. Der Auftragsverarbeiter trifft vor Beginn der Verarbeitung und danach fortlaufend die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten des Verantwortlichen zu gewährleisten. Die Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

11.2. Die zum Zeitpunkt des Vertragsschlusses geltenden technischen und organisatorischen Maßnahmen sind in Anlage 1 zu diesem AVV im Einzelnen beschrieben.

11.3. Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen während der Vertragslaufzeit anzupassen und weiterzuentwickeln, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen teilt der Auftragsverarbeiter dem Verantwortlichen in Textform mit.

11.4. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter eine aktuelle Übersicht der getroffenen technischen und organisatorischen Maßnahmen zur Verfügung.

§ 12 – Unterauftragsverarbeitung

12.1. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 2 zu diesem AVV aufgeführt.

12.2. Der Auftragsverarbeiter informiert den Verantwortlichen vor jeder beabsichtigten Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform (E-Mail an die vom Verantwortlichen hinterlegte E-Mail-Adresse). Die Mitteilung enthält den Namen des Unterauftragsverarbeiters, dessen Sitz, den Verarbeitungszweck und den Serverstandort.

12.3. Der Verantwortliche kann der Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters innerhalb von vierzehn (14) Tagen nach Zugang der Mitteilung aus sachlichen, datenschutzrechtlich begründeten Gründen in Textform widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Genehmigung als erteilt.

12.4. Widerspricht der Verantwortliche der Hinzuziehung eines Unterauftragsverarbeiters, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine Einigung erzielt werden, ist jede Partei berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von dreißig (30) Tagen zum Monatsende zu kündigen.

12.5. Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem mindestens die gleichen Datenschutzpflichten auferlegt, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Insbesondere muss der Unterauftragsverarbeiter hinreichende technische und organisatorische Maßnahmen treffen, damit die Verarbeitung den Anforderungen der DSGVO genügt.

12.6. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters in vollem Umfang verantwortlich. Kommt ein Unterauftragsverarbeiter seinen datenschutzrechtlichen Pflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters (Art. 28 Abs. 4 Satz 2 DSGVO).

12.7. Drittlandtransfers. Soweit Unterauftragsverarbeiter personenbezogene Daten in Drittländern (außerhalb des EWR) verarbeiten, stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau durch geeignete Garantien gewährleistet wird. Dies umfasst insbesondere:

(a) einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO (insbesondere EU-U.S. Data Privacy Framework);

(b) Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO;

(c) ergänzende Maßnahmen gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDSA), soweit erforderlich.

§ 13 – Kontrollrechte des Verantwortlichen

13.1. Der Verantwortliche ist berechtigt, die Einhaltung der Bestimmungen dieses AVV und der datenschutzrechtlichen Vorschriften durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die hierfür erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).

13.2. Der Verantwortliche kann Überprüfungen einschließlich Inspektionen durchführen oder durch einen vom Verantwortlichen beauftragten und vom Auftragsverarbeiter akzeptierten Prüfer durchführen lassen. Der Auftragsverarbeiter kann die Zustimmung zu einem Prüfer nur aus wichtigem Grund (insbesondere Wettbewerber, fehlende Sachkunde, fehlende Vertraulichkeitsverpflichtung) verweigern. Inspektionen vor Ort sind unter Einhaltung der folgenden Bedingungen zulässig:

(a) Ankündigung mindestens vierzehn (14) Werktage im Voraus in Textform;

(b) Durchführung während der üblichen Geschäftszeiten;

(c) keine unverhältnismäßige Störung des Geschäftsbetriebs des Auftragsverarbeiters;

(d) Wahrung der Vertraulichkeit (insbesondere hinsichtlich der Daten anderer Kunden des Auftragsverarbeiters).

13.3. Der Auftragsverarbeiter kann die Kontrollrechte des Verantwortlichen auch dadurch erfüllen, dass er:

(a) ein aktuelles Testat, einen Bericht oder Berichtsauszug einer unabhängigen Stelle (z. B. Wirtschaftsprüfer, Datenschutzauditor, IT-Sicherheitsprüfer) zur Verfügung stellt;

(b) aktuelle Audit-Berichte oder SOC-Reports seiner Unterauftragsverarbeiter vorlegt;

(c) die in Anlage 1 dokumentierten technischen und organisatorischen Maßnahmen in ihrer jeweils aktuellen Fassung zur Verfügung stellt.

13.4. Die Kosten der Überprüfung trägt der Verantwortliche, sofern die Überprüfung nicht aufgrund eines Verstoßes des Auftragsverarbeiters gegen diesen AVV veranlasst ist. Der Auftragsverarbeiter ist berechtigt, für Unterstützungsleistungen bei Vor-Ort-Inspektionen, die über die bloße Zurverfügungstellung von Dokumenten hinausgehen, eine angemessene Vergütung auf Stundenbasis zu verlangen.

§ 14 – Unterstützungspflichten

14.1. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Anfragen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO (Art. 28 Abs. 3 lit. e DSGVO). Dies umfasst insbesondere:

(a) Auskunftsrecht (Art. 15 DSGVO): Bereitstellung der zur Auskunftserteilung erforderlichen Informationen;

(b) Recht auf Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger Daten auf Weisung des Verantwortlichen;

(c) Recht auf Löschung (Art. 17 DSGVO): Löschung personenbezogener Daten auf Weisung des Verantwortlichen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht;

(d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung auf Weisung des Verantwortlichen;

(e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format (insbesondere JSON-Export).

14.2. Richtet eine betroffene Person ein Ersuchen auf Ausübung ihrer Rechte unmittelbar an den Auftragsverarbeiter, leitet der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter wird das Ersuchen nicht eigenständig beantworten, es sei denn, der Verantwortliche hat ihn hierzu ausdrücklich angewiesen.

14.3. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß:

(a) Art. 32 DSGVO (Sicherheit der Verarbeitung);

(b) Art. 33, 34 DSGVO (Meldung und Benachrichtigung bei Datenschutzverletzungen; vgl. § 15);

(c) Art. 35 DSGVO (Datenschutz-Folgenabschätzung);

(d) Art. 36 DSGVO (vorherige Konsultation der Aufsichtsbehörde).

14.4. Der Auftragsverarbeiter ist berechtigt, für Unterstützungsleistungen nach § 14.1 und § 14.3, die über den üblichen Umfang hinausgehen oder einen unangemessenen Aufwand verursachen, eine angemessene Vergütung zu verlangen.

§ 15 – Meldung von Datenschutzverletzungen

15.1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO), die personenbezogene Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden, unverzüglich nach Kenntniserlangung, in der Regel innerhalb von vierundzwanzig (24) Stunden (Art. 33 Abs. 2 DSGVO).

15.2. Die Meldung enthält mindestens folgende Angaben, soweit diese zum Zeitpunkt der Meldung verfügbar sind:

(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datensätze;

(b) den Namen und die Kontaktdaten des Ansprechpartners des Auftragsverarbeiters für Rückfragen;

(c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung;

(d) eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

15.3. Soweit die Informationen nicht gleichzeitig bereitgestellt werden können, stellt der Auftragsverarbeiter die Informationen ohne unangemessene weitere Verzögerung schrittweise bereit (Art. 33 Abs. 4 DSGVO analog).

15.4. Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen. Die Dokumentation wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

15.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung der betroffenen Personen (Art. 34 DSGVO), soweit dies erforderlich ist.

15.6. Die Meldung erfolgt an den Verantwortlichen per E-Mail an die vom Verantwortlichen im Nutzerkonto hinterlegte E-Mail-Adresse. Ergänzend kann eine Benachrichtigung über das Dashboard erfolgen. Der Verantwortliche stellt sicher, dass die hinterlegte E-Mail-Adresse stets aktuell und erreichbar ist.

§ 16 – Löschung und Rückgabe von Daten

16.1. Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nach Ablauf der im Hauptvertrag festgelegten Aufbewahrungsfrist (derzeit dreißig (30) Kalendertage nach Vertragsende, vgl. § 9.6 AGB), sofern nicht nach dem Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung besteht.

16.2. Der Verantwortliche ist verpflichtet, vor Ablauf der Aufbewahrungsfrist gemäß § 16.1 eine Sicherung seiner Daten über die in der Plattform vorgesehenen Exportfunktionen (insbesondere JSON-Export, PDF-Export) vorzunehmen. Der Auftragsverarbeiter weist den Verantwortlichen rechtzeitig auf die bevorstehende Löschung hin.

16.3. Auf Weisung des Verantwortlichen gibt der Auftragsverarbeiter die personenbezogenen Daten vor der Löschung in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zurück, soweit dies technisch möglich ist.

16.4. Die Löschung umfasst sämtliche Kopien der personenbezogenen Daten, einschließlich Sicherungskopien (Backups), soweit deren Löschung technisch möglich und zumutbar ist. Soweit Sicherungskopien aufgrund technischer Gegebenheiten (z. B. automatisierte Backup-Zyklen) nicht sofort gelöscht werden können, werden diese im Rahmen des regulären Backup-Rotationszyklus gelöscht. Bis zur endgültigen Löschung bleiben die Schutzpflichten dieses AVV bestehen.

16.5. Der Auftragsverarbeiter bestätigt dem Verantwortlichen auf Anfrage die vollständige Löschung der personenbezogenen Daten in Textform.

16.6. Gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche Aufbewahrungsfristen gemäß § 147 AO, § 257 HGB) bleiben unberührt. In diesen Fällen werden die betreffenden Daten für die Dauer der gesetzlichen Aufbewahrungsfrist gesperrt und nach deren Ablauf gelöscht.

§ 17 – Haftung

17.1. Die Haftung der Parteien im Zusammenhang mit diesem AVV richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Haftungsregelungen des Hauptvertrages (AGB), soweit dieser AVV keine abweichenden Regelungen enthält.

17.2. Jede Partei haftet gegenüber betroffenen Personen für den gesamten Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde (Art. 82 Abs. 1 DSGVO). Der Auftragsverarbeiter haftet jedoch nur, soweit er seinen speziell den Auftragsverarbeitern durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder über die rechtmäßigen Weisungen des Verantwortlichen hinausgegangen ist oder gegen diese Weisungen gehandelt hat (Art. 82 Abs. 2 DSGVO).

17.3. Hat eine Partei Schadensersatz für den gesamten Schaden geleistet, hat sie im Innenverhältnis Anspruch auf Ausgleich gegenüber der anderen Partei in Höhe des Anteils, der deren Anteil an der Verantwortung für den Schaden entspricht (Art. 82 Abs. 5 DSGVO).

17.4. Die Haftungsbegrenzungen des Hauptvertrages (insbesondere § 18 AGB) gelten ergänzend, soweit sie nicht im Widerspruch zu zwingenden Haftungsvorschriften der DSGVO stehen. Zwingende Haftungsansprüche betroffener Personen nach Art. 82 DSGVO können vertraglich nicht beschränkt werden.

§ 18 – Laufzeit und Kündigung

18.1. Dieser AVV tritt mit Abschluss des Hauptvertrages (Registrierung und Nutzung der Plattform) in Kraft und gilt für die Dauer des Hauptvertrages.

18.2. Eine isolierte Kündigung dieses AVV ist nicht möglich. Eine Kündigung des Hauptvertrages umfasst automatisch auch die Beendigung dieses AVV.

18.3. Die in diesem AVV enthaltenen Pflichten, die ihrer Natur nach über die Vertragsbeendigung hinaus fortgelten, bleiben unberührt. Dies betrifft insbesondere die Löschungspflichten (§ 16), die Vertraulichkeitspflichten (§ 10) und die Haftungsregelungen (§ 17).

18.4. Das Recht zur außerordentlichen Kündigung des Hauptvertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund für eine außerordentliche Kündigung durch den Verantwortlichen liegt insbesondere vor, wenn der Auftragsverarbeiter seinen Pflichten aus diesem AVV oder der DSGVO wiederholt oder schwerwiegend nicht nachkommt.

§ 19 – Schlussbestimmungen

19.1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

19.2. Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame Bestimmung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt und den Anforderungen der DSGVO genügt.

19.3. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Für Streitigkeiten aus oder im Zusammenhang mit diesem AVV gelten die Gerichtsstandsregelungen des Hauptvertrages (§ 27 AGB) entsprechend.

19.4. Im Falle von Widersprüchen zwischen den Sprachfassungen dieses AVV ist die deutsche Fassung maßgeblich.

19.5. Der Verantwortliche kann DPP Hero für datenschutzspezifische Anfragen (insbesondere Auskunft, Löschung, Berichtigung, Fragen zum AVV) unter folgender Adresse kontaktieren:

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen. Die Maßnahmen berücksichtigen den Stand der Technik sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung personenbezogener Daten im Rahmen der SaaS-Plattform DPP Hero.

1. Zutrittskontrolle

• Cloud-basierte Infrastruktur: DPP Hero betreibt keine eigenen physischen Server oder Rechenzentren. Sämtliche Datenverarbeitung erfolgt über Cloud-Dienste (Supabase/AWS eu-central-1, Vercel, Cloudflare).
• Rechenzentren der Unterauftragsverarbeiter: Die eingesetzten Unterauftragsverarbeiter (insbesondere Supabase auf AWS eu-central-1 in Frankfurt) betreiben zertifizierte Rechenzentren mit physischen Zugangskontrollen (Zutrittskontrollsysteme, Videoüberwachung, Sicherheitspersonal) gemäß deren eigenen Sicherheitsstandards (SOC 2, ISO 27001).

2. Zugangskontrolle

• Passwortrichtlinien: Nutzerpasswörter werden ausschließlich als kryptographische Hashes (bcrypt) gespeichert. DPP Hero hat keinen Zugriff auf Klartext-Passwörter.
• Zwei-Faktor-Authentifizierung (2FA/TOTP): Optionale zeitbasierte Einmalpasswörter (TOTP) als zweiter Authentifizierungsfaktor. TOTP-Seeds werden verschlüsselt serverseitig gespeichert.
• Sitzungsverwaltung: JWT-basierte Authentifizierung mit Access Tokens (ca. 1 Stunde Gültigkeit) und Refresh Tokens (ca. 7 Tage). Cookies mit HttpOnly-, Secure- und SameSite=Lax-Attributen.
• Brute-Force-Schutz: IP-basiertes Rate-Limiting für Anmelde-, Registrierungs- und Passwort-Zurücksetzungsvorgänge. Ergänzend Cloudflare Turnstile als Bot-Schutz.
• Administrative Zugänge: Administrativer Zugang zu Infrastrukturkomponenten (Supabase Dashboard, Vercel Dashboard) ist auf autorisierte Personen beschränkt und durch 2FA gesichert.

3. Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC): Nutzer können nur auf Daten ihrer eigenen Organisation zugreifen. Die Zugriffskontrolle wird sowohl auf Anwendungsebene als auch auf Datenbankebene durchgesetzt.
• Row Level Security (RLS): Auf Datenbankebene (Supabase/PostgreSQL) stellen Row Level Security Policies sicher, dass Datenbankabfragen ausschließlich Datensätze der jeweiligen Organisation zurückgeben.
• Least Privilege: API-Endpunkte und Datenbankzugriffe folgen dem Prinzip der minimalen Rechtevergabe.
• API-Schlüssel-Management: Supabase API-Schlüssel werden als Umgebungsvariablen verwaltet und nicht im Quellcode gespeichert. Der Service-Role-Key wird ausschließlich serverseitig verwendet.

4. Trennungskontrolle

• Logische Mandantentrennung: Die Daten unterschiedlicher Organisationen werden durch logische Trennung mittels organization_id voneinander getrennt. Row Level Security (RLS) Policies stellen die Isolation auf Datenbankebene sicher.
• Zweckbindung: Personenbezogene Daten werden ausschließlich für den jeweiligen Verarbeitungszweck verwendet. Eine Zusammenführung von Daten unterschiedlicher Organisationen findet nicht statt.
• Getrennte Umgebungen: Entwicklungs-, Staging- und Produktionsumgebungen sind voneinander getrennt. Produktionsdaten werden nicht in Entwicklungsumgebungen verwendet.

5. Pseudonymisierung und Verschlüsselung

• Transportverschlüsselung: Sämtliche Datenübertragungen zwischen Client und Server erfolgen über TLS 1.2+ (HTTPS). HSTS-Header erzwingen die verschlüsselte Verbindung.
• Verschlüsselung im Ruhezustand: Datenbankdaten werden bei Supabase/AWS mit AES-256 verschlüsselt gespeichert (Encryption at Rest).
• Passwort-Hashing: Nutzerpasswörter werden mittels bcrypt gehasht und gesalzen gespeichert.
• Kryptographische Signaturen: HMAC-SHA256 wird für die Integritätsprüfung von Produktdaten und die Verifikation von Webhook-Signaturen eingesetzt.
• Pseudonymisierung: Interne Identifikatoren (Benutzer-IDs, Organisations-IDs, Produkt-IDs) werden als UUIDs (v4) generiert und enthalten keine personenbezogenen Informationen.

6. Verfügbarkeitskontrolle

• Automatisierte Backups: Supabase erstellt automatische tägliche Backups der Datenbank. Zusätzlich steht Point-in-Time Recovery (PITR) zur Verfügung.
• Redundanz: Die Anwendung wird über das Vercel Edge-Netzwerk bereitgestellt. Die Datenbank wird in der AWS-Region eu-central-1 (Frankfurt) mit redundanter Infrastruktur betrieben.
• Monitoring: Die Infrastrukturkomponenten werden durch die jeweiligen Unterauftragsverarbeiter überwacht (Supabase Dashboard, Vercel Analytics, Cloudflare Dashboard).
• DDoS-Schutz: Cloudflare bietet DDoS-Schutz und Web Application Firewall (WAF) für die Plattform.

7. Belastbarkeit

• Auto-Scaling: Die Anwendung nutzt Vercel Serverless Functions und Supabase, die automatisch skalieren und Lastspitzen abfangen.
• Edge-Distribution: Statische Inhalte werden über das globale Vercel Edge-Netzwerk ausgeliefert, um Latenz zu minimieren und Verfügbarkeit zu maximieren.
• Rate Limiting: IP-basiertes Rate-Limiting schützt kritische Endpunkte vor Überlastung durch automatisierte Anfragen.

8. Wiederherstellbarkeit

• Point-in-Time Recovery (PITR): Supabase bietet Point-in-Time Recovery für die PostgreSQL-Datenbank, die eine Wiederherstellung auf einen beliebigen Zeitpunkt ermöglicht.
• Tägliche Backups: Automatisierte tägliche Backups der Datenbank durch Supabase mit konfigurierbarer Aufbewahrungsdauer.
• Notfallprozesse: Im Falle eines Datenverlusts oder Systemausfalls können Datenbanken aus Backups wiederhergestellt werden. Wiederherstellungszeiten richten sich nach dem jeweiligen Unterauftragsverarbeiter.
• Deployment-Rollback: Vercel ermöglicht sofortiges Rollback auf vorherige Anwendungsversionen bei fehlerhaften Deployments.

9. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Jährliche Überprüfung: Die technischen und organisatorischen Maßnahmen werden mindestens jährlich überprüft und bei Bedarf an den Stand der Technik angepasst.
• Monitoring der Unterauftragsverarbeiter: Die Sicherheitszertifizierungen und Compliance-Status der Unterauftragsverarbeiter (insbesondere SOC 2, ISO 27001) werden regelmäßig überprüft.
• Schwachstellenmanagement: Abhängigkeiten und eingesetzte Software-Bibliotheken werden regelmäßig auf bekannte Schwachstellen geprüft und aktualisiert.
• Datenschutzmanagement: Es wird ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO geführt. Änderungen an Verarbeitungstätigkeiten werden dokumentiert.

Anlage 2 – Genehmigte Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter sind vom Verantwortlichen gemäß § 12 dieses AVV zum Zeitpunkt des Vertragsschlusses genehmigt:

Hinweise zu Drittlandtransfers

Die US-amerikanischen Unterauftragsverarbeiter (Supabase, Vercel, Stripe, Resend, Cloudflare) sind unter dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vom 10. Juli 2023) zertifiziert. Ergänzend bestehen mit allen US-Unterauftragsverarbeitern Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als Rückfallmechanismus. Soweit technisch möglich, erfolgt die Datenverarbeitung in EU-Regionen (insbesondere Supabase in aws eu-central-1 Frankfurt, Vercel Serverless Functions in fra1 Frankfurt, Resend E-Mail-Versand in aws eu-west-1 Irland).