Auftragsverarbeitungsvertrag (AVV)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der SaaS-Web-App ApexLead-pro (CRM-System). Die Verarbeitung erfolgt ausschließlich auf Grundlage dieses Vertrags und der Weisungen des Verantwortlichen.

Die Dauer der Verarbeitung entspricht der Dauer der Nutzung der SaaS-Dienstleistung durch den Verantwortlichen.

Die Verarbeitung umfasst insbesondere:

• Speicherung und Verwaltung von CRM-Daten
• Nutzerverwaltung und Authentifizierung
• E-Mail-Benachrichtigungen
• Datei-Uploads und Dokumentenspeicherung
• System- und Sicherheitsprotokolle
• Zahlungsabwicklung über Stripe
• Technische Bereitstellung der Web-App

Zweck der Verarbeitung ist die Nutzung des CRM-Systems durch den Verantwortlichen.

Verarbeitete Datenarten:

• Stammdaten (Name, E-Mail, Unternehmensdaten)
• CRM-Daten (Kontakte, Leads, Notizen, Dateien)
• Nutzungsdaten (Logins, Aktionen, Zeitstempel)
• Zahlungsdaten (über Stripe)
• Technische Daten (IP-Adresse, Browser, Logfiles)
• Datei-Uploads (über Cloudflare R2)

Betroffene Personen:

• Kunden des Verantwortlichen
• Mitarbeiter des Verantwortlichen
• Sonstige Kontaktpersonen, deren Daten im CRM gespeichert werden

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er erteilt dem Auftragsverarbeiter Weisungen und informiert ihn unverzüglich über Fehler oder Unregelmäßigkeiten.

Der Auftragsverarbeiter verpflichtet sich:

• Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
• Alle Personen, die Zugang zu Daten haben, zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
• Datenschutzverletzungen unverzüglich zu melden
• Daten nach Vertragsende zu löschen oder zurückzugeben

Der Auftragsverarbeiter gewährleistet ein angemessenes Schutzniveau durch:

• TLS-Verschlüsselung
• Passwort-Hashing
• Zugriffsbeschränkungen
• Rollenbasierte Berechtigungen
• Verschlüsselte Datenübertragung zu R2 und Neon
• Regelmäßige Backups
• Monitoring und Logging
• Schutz vor unbefugtem Zugriff

Eine detaillierte TOM-Liste kann auf Anfrage bereitgestellt werden.

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Vercel Inc. – Hosting der Web-App
• Neon Tech, Inc. – Datenbankhosting (EU-Region)
• Cloudflare, Inc. – Datei-Speicher (R2)
• IONOS SE – E-Mail-Versand
• Stripe Payments Europe, Ltd. – Zahlungsabwicklung

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Änderungen werden rechtzeitig mitgeteilt.

Einige Unterauftragsverarbeiter (z. B. Stripe, Cloudflare, Vercel) können Daten in Drittländer übermitteln. Die Übermittlung erfolgt ausschließlich auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln gemäß Art. 46 DSGVO.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

• Auskunfts-, Lösch- und Berichtigungsanfragen
• Datenschutz-Folgenabschätzungen
• Meldungen von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jede Verletzung des Schutzes personenbezogener Daten, einschließlich aller relevanten Informationen zur Bewertung und Abhilfe.

Nach Beendigung des Vertragsverhältnisses:

• Werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
• Kann der Verantwortliche eine Datenexport-Datei anfordern
• Werden Backups nach Ablauf der Backup-Fristen automatisch gelöscht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieses Vertrags nachzuweisen. Audits können nach vorheriger Abstimmung durchgeführt werden.

Änderungen dieses Vertrags bedürfen der Schriftform.

Es gilt deutsches Recht.

Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.