Auftragsverarbeitungsvertrag (AVV)

Paragraph 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der Nutzung der Cloud-Software "BISpicy Warenwirtschaft".

(2) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(3) Art der Verarbeitung:

• Erhebung, Speicherung und Verwendung von Kundenstammdaten
• Verarbeitung von Bestelldaten und Transaktionen
• Erstellung von Rechnungen und Lieferscheinen
• Übermittlung an Versanddienstleister zur Auftragserfüllung

Paragraph 2 Kategorien betroffener Personen und Daten

2.1 Kategorien betroffener Personen

• Kunden/Endkunden des Auftraggebers
• Lieferanten des Auftraggebers
• Mitarbeiter des Auftraggebers
• Ansprechpartner bei Geschäftspartnern

2.2 Kategorien personenbezogener Daten

Datenkategorie	Beispiele
Kontaktdaten	Name, Adresse, E-Mail, Telefonnummer
Vertragsdaten	Bestellungen, Rechnungen, Kundennummern
Zahlungsdaten	Bankverbindung, Zahlungshistorie (verschlüsselt)
Versanddaten	Lieferadressen, Sendungsnummern

Paragraph 3 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

1. Weisungsgebundenheit: Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
2. Vertraulichkeit: Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
3. Sicherheitsmaßnahmen: Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
4. Unterauftragnehmer: Weitere Auftragsverarbeiter nur mit vorheriger Genehmigung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO)
5. Unterstützung: Den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO zu unterstützen
6. Löschung: Nach Beendigung alle personenbezogenen Daten zu löschen oder zurückzugeben
7. Nachweispflicht: Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen

Paragraph 4 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

4.1 Vertraulichkeit

• Zutrittskontrolle: Rechenzentren mit physischer Zugangskontrolle (DigitalOcean EU)
• Zugangskontrolle: Passwortgeschützte Benutzerkonten, 2-Faktor-Authentifizierung optional
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem
• Trennungskontrolle: Mandantentrennung durch separate Datenbanken

4.2 Integrität

• Weitergabekontrolle: TLS 1.3 Verschlüsselung aller Datenübertragungen
• Eingabekontrolle: Protokollierung aller Dateneingaben und -änderungen

4.3 Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: 99,9% Uptime-Garantie, redundante Systeme
• Wiederherstellbarkeit: Tägliche automatische Backups, getestete Restore-Verfahren

4.4 Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsaudits
• Penetrationstests durch externe Dienstleister
• Überwachung der Systeme rund um die Uhr

Paragraph 5 Unterauftragnehmer

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

Unterauftragnehmer	Standort	Verarbeitungszweck
DigitalOcean, LLC	EU (Frankfurt)	Cloud-Hosting, Datenspeicherung
Stripe, Inc.	EU (Dublin)	Zahlungsabwicklung
DHL Paket GmbH	Deutschland	Versanddienstleistungen (auf Weisung)
DPD Deutschland GmbH	Deutschland	Versanddienstleistungen (auf Weisung)
GLS Germany GmbH & Co. OHG	Deutschland	Versanddienstleistungen (auf Weisung)
Hermes Germany GmbH	Deutschland	Versanddienstleistungen (auf Weisung)
UPS Deutschland Inc. & Co. OHG	Deutschland	Versanddienstleistungen (auf Weisung)

(2) Der Auftragnehmer informiert den Auftraggeber vor Beauftragung weiterer Unterauftragnehmer. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.

(3) Hinweis zu Versanddienstleistern: Die Übermittlung von Empfängerdaten an Versanddienstleister erfolgt ausschließlich auf ausdrückliche Weisung des Auftraggebers (durch Erstellung eines Versandlabels in der Software) zur Erfüllung des Versandauftrags.

Paragraph 6 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen (Art. 12-22 DSGVO):

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

(2) Der Auftragnehmer stellt eine Export-Funktion bereit, die alle personenbezogenen Daten in maschinenlesbarem Format (CSV/JSON) exportiert.

Paragraph 7 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Betroffene Datenkategorien und ungefähre Anzahl
• Wahrscheinliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

Paragraph 8 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages werden alle personenbezogenen Daten:

• Auf Wunsch des Auftraggebers in einem gängigen Format exportiert und übergeben
• Nach Ablauf von 30 Tagen unwiderruflich gelöscht

(2) Ausnahmen gelten für Daten, die aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden müssen (z.B. Rechnungen: 10 Jahre).

Paragraph 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages zu überprüfen.

(2) Der Auftragnehmer stellt hierfür bereit:

• Nachweise über technische und organisatorische Maßnahmen
• Aktuelle Zertifizierungen und Audit-Berichte
• Auf Anfrage: Vor-Ort-Inspektionen (nach Terminvereinbarung)

Paragraph 10 Schlussbestimmungen

(1) Anwendbares Recht: Es gilt deutsches Recht unter Berücksichtigung der DSGVO.

(2) Änderungen: Änderungen dieses Vertrages bedürfen der Textform.

(3) Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.