Vertrag zur Auftragsverarbeitung (AVV)

I. Präambel

Die Vertragsparteien haben im Rahmen ihrer Leistungsvereinbarung beschlossen, einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zu schließen, um die datenschutzrechtlichen Pflichten zu konkretisieren und die Rechte und Pflichten im Umgang mit personenbezogenen Daten festzulegen.

II. Anwendungsbereich

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen, unter Einhaltung der Datenschutzgesetze, insbesondere der DSGVO.

III. Gegenstand und Dauer der Auftragsverarbeitung

Die Details zu Gegenstand, Art, Zweck und Dauer der Auftragsverarbeitung, sowie der räumliche Anwendungsbereich sind im Anhang dieses Vertrags spezifiziert. Die Verarbeitung findet ausschließlich in der EU oder im EWR statt.

IV. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zur Einhaltung der gesetzlichen Datenschutzvorschriften, zur Verarbeitung der Daten ausschließlich nach dokumentierten Weisungen des Auftraggebers und zur Gewährleistung der Sicherheit der Verarbeitung. Ein Datenschutzbeauftragter ist benannt.

V. Rechte und Pflichten des Auftraggebers

Der Auftraggeber trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung und ist für die Einhaltung der Datenschutzgesetze verantwortlich.

VI. Weisungen

Die Verarbeitung erfolgt ausschließlich nach vorher festgelegten Weisungen des Auftraggebers. Änderungen oder Ergänzungen bedürfen der Schriftform.

VII. Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

VIII. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter zu überprüfen.

IX. Subunternehmen

Die Beauftragung von Subunternehmern ist unter bestimmten Bedingungen zulässig. Eine Liste der aktuellen Subunternehmer ist diesem Vertrag beigefügt.

X. Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung hat der Auftraggeber das Recht auf Rückgabe oder Löschung der personenbezogenen Daten. Auftraggeber können jederzeit eine Kopie der gespeicherten Daten unter help@hello-pine.com anfragen.

XI. Haftung

Die Haftung für Schäden richtet sich nach den gesetzlichen Vorschriften der DSGVO.

XII. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Es gilt das Recht der Bundesrepublik Deutschland.

Anlage: Technische und Organisatorische Sicherheitsmaßnahmen

Im Einklang mit dem aktuellen Stand der Technik, den Implementierungskosten und der Natur, dem Umfang, den Umständen sowie den Zielen der Datenverarbeitung, zusätzlich zu den variierenden Wahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten von Personen, ergreifen der Verantwortliche und der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen, um ein dem Risiko entsprechendes Schutzniveau zu sichern. Diese Maßnahmen umfassen unter anderem:


1.1 Sicherstellung der Vertraulichkeit

1.1.1 Zutrittskontrolle

Implementierte Maßnahmen verhindern, dass Unbefugte physischen Zugang zu Datenverarbeitungseinrichtungen erhalten, die personenbezogene Daten verarbeiten oder nutzen.

Maßnahmen beinhalten:

  • Kein unbefugter Zutritt zu Datenverarbeitungsanlagen.
  • Sicherung der Büroflächen durch ein Schließsystem.
  • Speicherung von Kundendaten erfolgt sowohl extern bei Dienstleistern als auch intern.


1.1.2 Zugangskontrolle

Implementierte Maßnahmen verhindern die unbefugte Nutzung von Datenverarbeitungssystemen.

Maßnahmen beinhalten:

  • Schutz aller IT-Systeme mit sicheren Passwörtern.
  • Automatische Sperrung des Desktops bei Arbeitsplatzverlassen.
  • Kunden legen eigenständig gesicherte Zugänge zu ihren Accounts an, mit einer Mindestpasswortlänge von 8 Zeichen.


1.1.3 Zugriffskontrolle

Maßnahmen stellen sicher, dass nur Berechtigte auf die ihnen zugeordneten Daten zugreifen können und dass Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

Maßnahmen beinhalten:

  • Softwareseitige Sicherung gegen unbefugten Datenzugriff.
  • Protokollierung von Logins.
  • Protokollierung der Einsichtnahme durch Hello Pine Mitarbeiter in Kundenanfragen.


1.1.4 Trennungskontrolle

Maßnahmen ermöglichen die getrennte Verarbeitung von Daten zu unterschiedlichen Zwecken.

Maßnahmen beinhalten:

  • Getrennte Datenverarbeitungssysteme.
  • Mandantenfähigkeit des Systems zur Datenisolierung.
  • Trennung von Produktions- und Testumgebungen.

1.2 Sicherstellung der Integrität

1.2.1 Weitergabekontrolle

Maßnahmen schützen personenbezogene Daten während der Übertragung oder Speicherung vor unbefugtem Zugriff.

Maßnahmen beinhalten:

  • Verschlüsselte Datenübertragungen.
  • 2-Faktor-Authentifizierung bei Subunternehmen.


1.2.2 Eingabekontrolle

Maßnahmen ermöglichen die Überprüfung und Feststellung, wer Daten eingeben, ändern oder entfernen kann.

Maßnahmen beinhalten:

  • Direkte Datenverarbeitung durch den Kunden.


1.3 Pseudonymisierung und Verschlüsselung

1.3.1 Pseudonymisierung

Maßnahmen zur Pseudonymisierung von Daten sind implementiert.

Maßnahmen beinhalten:

  • Übertragung personenbezogener Daten in ein spezielles System zur Pseudonymisierung.


1.3.2 Verschlüsselung

  • Maßnahmen gewährleisten die Verschlüsselung von Daten.

Maßnahmen beinhalten:

  • Einsatz aktueller Verschlüsselungstechnologien für Datenübertragung und -speicherung.


1.4 Sicherstellung von Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit

1.4.1 Verfügbarkeit

Maßnahmen schützen Daten vor zufälligem Verlust oder Zerstörung.

Maßnahmen beinhalten:

  • Tägliche Sicherung auf externen Systemen.
  • USV-gesicherte Subunternehmensysteme.
  • Redundante Systemauslegung.


1.4.2 Belastbarkeit

Maßnahmen schützen Systeme vor zufälligem Verlust oder Zerstörung.

Maßnahmen beinhalten:

  • Aktualisierung von Sicherheitspatches.


1.4.3 Wiederherstellbarkeit

Maßnahmen gewährleisten die Wiederherstellbarkeit von Daten und Systemen.

Maßnahmen beinhalten:

  • Vollständige Systemwiederherstellung aus Backups innerhalb von zwei Stunden.


1.5 Regelmäßige Überprüfung, Bewertung und Evaluierung

1.5.1 Auftragskontrolle

Maßnahmen stellen sicher, dass Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden.

Maßnahmen beinhalten:

  • Abschluss von Auftragsdatenverarbeitungs- und Standardvertragsklauseln.
  • Sorgfältige Auswahl und Verpflichtung der Auftragnehmer.


1.5.2 Datenschutz-Management

Maßnahmen umfassen die Evaluation und Organisation des Datenschutzes.

Maßnahmen beinhalten:

  • Regelmäßige Datenschutzschulungen.


1.5.3 Incident-Response-Management

Maßnahmen zur Vorbeugung und Reaktion auf Sicherheitsvorfälle sind implementiert.

Maßnahmen beinhalten:

  • Einsatz und Aktualisierung von Firewall, Spamfiltern und Virenscannern.
  • Patch-Management.


1.5.4 Datenschutzfreundliche Voreinstellungen

Maßnahmen gewährleisten Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.

Maßnahmen beinhalten:

  • Zweckerforderliche Datenerhebung.



Anlage – Subunternehmen

Amazon Web Services EMEA SARL (https://aws.amazon.com/de)

  • 38 Avenue John F. Kennedy, 1855 Luxembourg
  • Auftragsinhalt: Bereitstellung der Webanwendung (EC2, Beanstalk), Speicherung von Listen (S3), Anonymisierter Error Log (Cloudwatch)
  • Ort der Datenverarbeitung: Europäische Union
  • Grundsätze der Datenübermittlung: Art. 46 Abs. 2 lit. c) DSGVO EU-Standardvertragsklauseln gem. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021
  • DPA mit Amazon: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf


Slack Technologies, Inc. (https://www.slack.com/)

  • 500 Howard Street, San Francisco, CA 94105, USA
  • Auftragsinhalt: Internes Tool zur Kommunikation, vereinzelt Endkundendaten im Rahmen unseres Kundensupports
  • Ort der Datenverarbeitung: Europäische Union
  • Grundsätze der Datenübermittlung: Art. 46 Abs. 2 lit. c) DSGVO EU-Standardvertragsklauseln gem. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021
  • DPA mit Slack: https://www.slack.axdraft.com/


Stripe, Inc. (https://stripe.com)

Shopify International Limited

  • 151 O’Connor Street, Ground floor, Ottawa, ON, K2P 2L8, Kanada
  • Auftragsinhalt: Übermittlung von Lagerbeständen, Preisen und Produktdaten an Marktplätze. Übermittlung von Bestellungen, Retouren, Versandinformationen und Retouren zum Zweck der Bestellausführung an Endkunden.
  • Ort der Datenverarbeitung: Kanada / Europäische Union
  • Grundsätze der Datenübermittlung: EU-Standardvertragsklauseln
  • DPA: https://www.shopify.com/de/legal/impressum#1-definitionen


Google LLC (Google Analytics)


Microsoft Corporation (Microsoft Clarity)


HubSpot, Inc.

  • Auftragsinhalt: Marketing, Vertriebs- und Kundenservicetechnologie
  • Ort der Datenverarbeitung: USA / Europäische Union
  • Grundsätze der Datenübermittlung: EU-Standardvertragsklauseln
  • DPA: https://legal.hubspot.com/de/dpa


Wildbit, LLC (Postmark)

  • Auftragsinhalt: E-Mail-Zustelldienst für Systembenachrichtigungen
  • Ort der Datenverarbeitung: USA
  • Grundsätze der Datenübermittlung: EU-Standardvertragsklauseln
  • DPA: https://postmarkapp.com/dpa


OpenAI, LP

hello@hello-pine.com‭+49 40 52472192
Los geht's
AnmeldenRegistrierenDemo buchen
Ressources
TutorialsBlog Artikel
Produkt
PreispläneBewertungenIntegrationenProduktdemo
Unternehmen
Über unsJobsKontakt
©2024 - Made with 💜 in Hamburg ⚓
AGBsDatenschutzAuftragsverarbeitungImpressum