Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO - Stand: Dezember 2024

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Nutzungsbedingungen für InventarPro und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.

Auftragsverarbeiter:
BUBLITZ Einrichtungen für Unternehmen e.K.
Inhaber: Sven Bublitz
Klaus-Groth-Straße 8-10
23843 Bad Oldesloe
E-Mail: datenschutz@bublitz-einrichtungen.de

Verantwortlicher:
Der bei InventarPro registrierte Kunde (nachfolgend "Auftraggeber")

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung der cloudbasierten Inventarverwaltungssoftware InventarPro.

1.2 Dauer

Die Verarbeitung erfolgt für die Dauer des Nutzungsverhältnisses. Nach Vertragsende werden die Daten gemäß den Nutzungsbedingungen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung von Inventardaten in der Cloud-Datenbank
  • Bereitstellung der Daten über die Webanwendung
  • Erstellung von Backups zur Datensicherung
  • Technischer Support bei Anfragen

2.2 Zweck

Zweck der Verarbeitung ist ausschließlich die Erbringung der vereinbarten Dienstleistung (Inventarverwaltung).

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten können im Rahmen der Nutzung verarbeitet werden:

  • Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer von Ansprechpartnern
  • Nutzungsdaten: Login-Zeiten, IP-Adressen, Geräte-Informationen
  • Inventardaten: Standortbezeichnungen, Zuordnungen zu Personen/Abteilungen

Der Auftraggeber ist verantwortlich dafür, dass nur erforderliche Daten eingegeben werden (Datenminimierung).

4. Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Mitarbeiter des Auftraggebers
  • Administratoren und Nutzer der Software
  • Ggf. externe Ansprechpartner (Lieferanten, Wartungsdienstleister)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur gemäß dokumentierter Weisungen des Auftraggebers zu verarbeiten
  • Beschäftigte zur Vertraulichkeit zu verpflichten
  • Angemessene technische und organisatorische Maßnahmen zu ergreifen
  • Unterauftragsverarbeiter nur mit Genehmigung einzusetzen
  • Den Auftraggeber bei Betroffenenrechten zu unterstützen
  • Datenschutzverletzungen unverzüglich zu melden
  • Nach Vertragsende alle Daten zu löschen oder zurückzugeben

6. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

UnternehmenLeistungStandort
Turso (ChiselStrike Inc.)Datenbank-HostingEU (Frankfurt)
Vercel Inc.Anwendungs-HostingEU
Microsoft (Azure)E-Mail-VersandEU

Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Änderungen werden mit angemessener Frist mitgeteilt.

7. Technische und Organisatorische Maßnahmen (TOMs)

7.1 Zutrittskontrolle

Server werden in zertifizierten Rechenzentren betrieben (ISO 27001).

7.2 Zugangskontrolle

Zugang nur mit Benutzername/Passwort. Passwort-Hashing mit bcrypt. SSL/TLS-Verschlüsselung.

7.3 Zugriffskontrolle

Rollenbasierte Berechtigungen. Protokollierung von Zugriffen.

7.4 Weitergabekontrolle

Verschlüsselte Datenübertragung (HTTPS). Keine Weitergabe an unberechtigte Dritte.

7.5 Eingabekontrolle

Protokollierung von Änderungen mit Zeitstempel und Benutzer.

7.6 Verfügbarkeitskontrolle

Regelmäßige Backups. Redundante Infrastruktur. Wiederherstellungsverfahren.

7.7 Trennungskontrolle

Mandantentrennung durch eindeutige Firmen-UUIDs.

8. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Dies kann erfolgen durch:

  • Einholen von Auskünften
  • Einsichtnahme in Zertifikate und Prüfberichte
  • Nach vorheriger Abstimmung: Vor-Ort-Prüfungen

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über Datenschutzverletzungen. Die Meldung enthält mindestens:

  • Beschreibung der Verletzung
  • Betroffene Datenkategorien und ungefähre Anzahl
  • Ergriffene oder vorgeschlagene Maßnahmen
  • Kontaktdaten für Rückfragen

10. Schlussbestimmungen

Dieser AVV ist Bestandteil der Nutzungsbedingungen für InventarPro. Bei Widersprüchen gehen die Regelungen dieses AVV vor.

Änderungen bedürfen der Textform.

Kontakt für Datenschutzfragen:
E-Mail: datenschutz@bublitz-einrichtungen.de