# Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ## Zwischen **Auftraggeber (Verantwortlicher):** [Kunde] [Adresse] (nachfolgend "Auftraggeber") **und** **Auftragnehmer (Auftragsverarbeiter):** Kronos Solution [Adresse] (nachfolgend "Auftragnehmer") --- ## § 1 Gegenstand und Dauer (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von **Pulse CRM**. (2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM). ## § 2 Art und Zweck der Verarbeitung **Zweck:** Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten) **Art der Verarbeitung:** - Speicherung - Abruf - Änderung - Löschung ## § 3 Art der Daten - Kontaktdaten (Name, E-Mail, Telefon, Adresse) - Firmendaten - Kommunikationshistorie - Geschäftliche Informationen (Deals, Notizen) ## § 4 Kategorien betroffener Personen - Kunden des Auftraggebers - Interessenten - Ansprechpartner bei Geschäftspartnern ## § 5 Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers. (2) Der Auftragnehmer gewährleistet: - Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) - Technische und organisatorische Maßnahmen (Art. 32 DSGVO) - Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO) - Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO) - Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO) - Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO) ## § 6 Unterauftragnehmer Der Auftragnehmer setzt folgende Unterauftragnehmer ein: | Unterauftragnehmer | Leistung | Standort | |--------------------|----------|----------| | Hetzner Online GmbH | Hosting | Deutschland | | Resend Inc. | E-Mail-Versand | EU | Änderungen werden dem Auftraggeber mitgeteilt. ## § 7 Technische und organisatorische Maßnahmen Der Auftragnehmer hat folgende Maßnahmen implementiert: ### Vertraulichkeit - Zugangs- und Zutrittskontrolle - Berechtigungskonzept (RBAC) - Verschlüsselung (TLS 1.3, AES-256) ### Integrität - Eingabekontrolle (Audit-Logs) - Weitergabekontrolle ### Verfügbarkeit - Backup-Konzept - Wiederherstellbarkeit ### Belastbarkeit - DDoS-Schutz - Redundante Systeme ## § 8 Kontrollrechte Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen: - Durch schriftliche Auskünfte - Durch Vor-Ort-Audits (mit Ankündigung) - Durch Zertifikate und Berichte ## § 9 Mitteilungspflichten Der Auftragnehmer informiert den Auftraggeber unverzüglich bei: - Datenschutzverletzungen (Art. 33 DSGVO) - Änderungen bei Unterauftragnehmern - Anfragen von Betroffenen - Anfragen von Behörden ## § 10 Beendigung Nach Beendigung des Hauptvertrags: - Löschung aller Daten innerhalb von 30 Tagen - Auf Wunsch: Datenexport vor Löschung - Nachweis der Löschung auf Anfrage ## § 11 Schlussbestimmungen (1) Dieser Vertrag unterliegt deutschem Recht. (2) Änderungen bedürfen der Schriftform. (3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. --- **Auftraggeber:** Ort, Datum: _____________________ Unterschrift: _____________________ Name: _____________________ --- **Auftragnehmer:** Ort, Datum: _____________________ Unterschrift: _____________________ Name: _____________________ --- ## Anlage 1: Technische und organisatorische Maßnahmen (TOM) Siehe: `/docs/DSGVO.md` Abschnitt "Technische Maßnahmen"