Flux_bot
18eb396b1e
📋 Dokumente: - DSGVO.md - Technische & organisatorische Maßnahmen - privacy-policy.md - Datenschutzerklärung - avv-template.md - Auftragsverarbeitungsvertrag ✅ Abgedeckt: - Art. 15-22: Betroffenenrechte - Art. 28: Auftragsverarbeitung - Art. 30: Verarbeitungsverzeichnis - Art. 32: Technische Maßnahmen 🔒 Löschkonzept inkludiert
3.4 KiB
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Zwischen
Auftraggeber (Verantwortlicher):
[Kunde]
[Adresse]
(nachfolgend "Auftraggeber")
und
Auftragnehmer (Auftragsverarbeiter):
Kronos Solution
[Adresse]
(nachfolgend "Auftragnehmer")
§ 1 Gegenstand und Dauer
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von Pulse CRM.
(2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM).
§ 2 Art und Zweck der Verarbeitung
Zweck: Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten)
Art der Verarbeitung:
- Speicherung
- Abruf
- Änderung
- Löschung
§ 3 Art der Daten
- Kontaktdaten (Name, E-Mail, Telefon, Adresse)
- Firmendaten
- Kommunikationshistorie
- Geschäftliche Informationen (Deals, Notizen)
§ 4 Kategorien betroffener Personen
- Kunden des Auftraggebers
- Interessenten
- Ansprechpartner bei Geschäftspartnern
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers.
(2) Der Auftragnehmer gewährleistet:
- Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
- Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
- Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)
- Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO)
- Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)
§ 6 Unterauftragnehmer
Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
| Unterauftragnehmer | Leistung | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting | Deutschland |
| Resend Inc. | E-Mail-Versand | EU |
Änderungen werden dem Auftraggeber mitgeteilt.
§ 7 Technische und organisatorische Maßnahmen
Der Auftragnehmer hat folgende Maßnahmen implementiert:
Vertraulichkeit
- Zugangs- und Zutrittskontrolle
- Berechtigungskonzept (RBAC)
- Verschlüsselung (TLS 1.3, AES-256)
Integrität
- Eingabekontrolle (Audit-Logs)
- Weitergabekontrolle
Verfügbarkeit
- Backup-Konzept
- Wiederherstellbarkeit
Belastbarkeit
- DDoS-Schutz
- Redundante Systeme
§ 8 Kontrollrechte
Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen:
- Durch schriftliche Auskünfte
- Durch Vor-Ort-Audits (mit Ankündigung)
- Durch Zertifikate und Berichte
§ 9 Mitteilungspflichten
Der Auftragnehmer informiert den Auftraggeber unverzüglich bei:
- Datenschutzverletzungen (Art. 33 DSGVO)
- Änderungen bei Unterauftragnehmern
- Anfragen von Betroffenen
- Anfragen von Behörden
§ 10 Beendigung
Nach Beendigung des Hauptvertrags:
- Löschung aller Daten innerhalb von 30 Tagen
- Auf Wunsch: Datenexport vor Löschung
- Nachweis der Löschung auf Anfrage
§ 11 Schlussbestimmungen
(1) Dieser Vertrag unterliegt deutschem Recht.
(2) Änderungen bedürfen der Schriftform.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Auftraggeber:
Ort, Datum: _____________________
Unterschrift: _____________________
Name: _____________________
Auftragnehmer:
Ort, Datum: _____________________
Unterschrift: _____________________
Name: _____________________
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Siehe: /docs/DSGVO.md Abschnitt "Technische Maßnahmen"