Nutzungsbedingungen Datenschutzerklärung Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

1. Definition der grundlegenden Begriffe

1.1. Die Begriffe „Anbieter“ und „Kunde“ haben dieselbe Bedeutung, die in den Nutzungsbedingungen definiert ist. Die Begriffe „DSGVO“, „Verantwortlicher“, „Auftragsverarbeiter“, „personenbezogene Daten“, „Verarbeitung“ und „geeignete technische und organisatorische Maßnahmen“ entsprechen den Definitionen in der Datenschutz-Grundverordnung.

1.2. Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Art und Weise der Verarbeitung personenbezogener Daten der Geschäftspartner des Kunden in Übereinstimmung mit den Anforderungen der DSGVO.

1.3. Der Anbieter ist in Bezug auf die personenbezogenen Daten der Geschäftspartner des Kunden der Auftragsverarbeiter, und der Kunde ist der Verantwortliche für diese Daten.

1.4. Der Anbieter ist nicht berechtigt, personenbezogene Daten im Widerspruch zu oder über den in diesen Bedingungen festgelegten Rahmen hinaus ohne direkte, ausdrückliche Zustimmung zu verarbeiten. Diese Zustimmung kann der Kunde beispielsweise per E-Mail oder in einer anderen Kommunikation mit dem Anbieter erteilen.

2. Welche Daten der Anbieter verarbeitet

2.1. Der Anbieter verwaltet die Daten, die der Kunde über die Protokolle SSH, SFTP, FTP oder über die vom Kunden betriebene Programmschnittstelle bzw. über ein Datenbankverwaltungstool auf die Server des Anbieters hochlädt. Diese Daten können auch personenbezogene Daten der Nutzer des Kunden enthalten.

2.2. Mit den vom Kunden gemäß Ziffer 2.1 hochgeladenen Daten nimmt der Anbieter keine Manipulationen vor, mit Ausnahme der in den Ziffern 3.3 und 3.4 beschriebenen Fälle.

3. Was der Anbieter mit den Daten macht und wie er sie verarbeitet

3.1. Personenbezogene Daten werden zum Zweck der Durchführung aller Tätigkeiten verarbeitet, die zur Bereitstellung von Speicherplatz für Webanwendungen erforderlich sind.

3.2. Der Kunde erteilt dem Anbieter die allgemeine Genehmigung, einen weiteren Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen. Der Anbieter muss seinen Subunternehmern in ihrer Position als Auftragsverarbeiter dieselben Verpflichtungen zum Schutz personenbezogener Daten auferlegen, wie sie in diesen Bedingungen festgelegt sind.

3.3. Liste der Subunternehmer des Anbieters:

  • DigitalOcean - Datenserver und Backups
  • AWS - Backups
  • BackBlaze - Backups
  • Fakturoid - Verarbeitung von Rechnungsdaten
  • Slack - interne Kommunikation
  • Mailgun - E-Mail-Kommunikation
  • Google - E-Mail-Kommunikation und Dokumente
  • Trello - interne Kommunikation
  • SmartSupp - Online-Chat

3.4. Der Anbieter führt mit den gemäß Ziffer 2.1 erlangten Daten des Kunden die folgenden Vorgänge durch:

  • Kopieren zwischen den Servern des Anbieters,
  • Speichern verschlüsselter Backups dieser Daten für bis zu 60 Tage,
  • Löschung.

3.5. Der Anbieter verpflichtet sich, den dem Kunden vorbehaltenen Speicherplatz nicht zu betreten, außer im Falle von:

  • Testen der Funktionsfähigkeit des Dienstes,
  • auf ausdrücklichen Wunsch des Kunden,
  • bei Änderungen der Konfiguration des Dienstes.

3.6. Der Anbieter verpflichtet sich, dass die Verarbeitung personenbezogener Daten insbesondere auf folgende Weise gesichert wird:

  • Der Anbieter hat technische und organisatorische Maßnahmen getroffen und wird diese aufrechterhalten, die dem Risikoniveau entsprechen, um unbefugten oder zufälligen Zugriff auf Daten, deren Änderung, Vernichtung, Verlust, unbefugte Übermittlung, sonstige unbefugte Verarbeitung sowie sonstigen Missbrauch zu verhindern.
  • Die zur Verarbeitung personenbezogener Daten berechtigten Personen des Anbieters sind verpflichtet, Vertraulichkeit über personenbezogene Daten und über Sicherheitsmaßnahmen zu wahren, deren Offenlegung die Sicherheit der Daten gefährden würde. Der Anbieter wird deren nachweisliche Verpflichtung zu dieser Pflicht sicherstellen. Der Anbieter stellt sicher, dass diese Verpflichtung der berechtigten Person auch nach Beendigung des Arbeitsverhältnisses oder eines sonstigen Verhältnisses zum Anbieter fortbesteht.
  • Der Anbieter stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass die Verpflichtungen aus diesem Vertrag und der DSGVO erfüllt wurden, und ermöglicht Audits, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Auditor durchgeführt werden.

4. Recht des Kunden auf Datenexport

4.1. Der Kunde hat das Recht, die vom Anbieter gespeicherten Daten jederzeit zu exportieren.

5. Datenlöschung

5.1. Die Daten auf den Servern werden unmittelbar nach der Kündigung der Dienste im Administrationsbereich gelöscht.

5.2. Innerhalb von 60 Tagen nach der Kündigung des Dienstes löscht der Anbieter die Daten auch aus den Backups der Anwendung.