Muster des AVVs (Vertrag zur Auftragsverarbeitung)
I Präambel
Die Vertragsparteien sind mit der Leistungsvereinbarung und deren Durchführung einen Auftragsverarbeitungsvertrag (nachstehend „Vertrag" genannt) im Sinne des Art. 28 EU-Datenschutz-Grundverordnung (nachstehend „DSGVO" genannt) eingegangen. Um in Ergänzung zu der Leistungsvereinbarung die hieraus resultierenden datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien hinsichtlich der Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers gemäß den gesetzlichen Verpflichtungen zu konkretisieren, schließen die Vertragsparteien den nachfolgenden Vertrag.
II Anwendungsbereich
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter, allein verantwortlich („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO). Dieser Vertrag findet Anwendung auf alle Tätigkeiten des Auftragsverarbeiters, bei denen durch den Auftragsverarbeiter oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
III Gegenstand und Dauer der Auftragsverarbeitung
- Gegenstand und Spezifizierung der Auftragsverarbeitung – Der Auftragsverarbeiter verarbeitet im Rahmen dieses Auftrages personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages. Aus der Leistungsvereinbarung ergeben sich Gegenstand und Dauer der Auftragsverarbeitung. Eine Spezifizierung, sowie Art und Zweck der Auftragsverarbeitung, werden im Anhang „Gegenstand der Auftragsverarbeitung" konkretisiert.
- Räumlicher Anwendungsbereich – Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
- Dauer der Auftragsverarbeitung – Der Vertrag beginnt mit Unterzeichnung beider Vertragsparteien. Die Laufzeit richtet sich nach der Laufzeit des zugrundeliegenden Vertragsverhältnisses.
IV Pflichten des Auftragsverarbeiters
- Einhaltung des geltenden Rechts – Die Pflichten des Auftragsverarbeiters bei der Datenverarbeitung ergeben sich aus diesem Vertrag und dem anwendbaren Recht, insbesondere dem BDSG und der DSGVO.
- Verarbeitung nur nach Weisung – Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Auftraggebers nur auf dokumentierte Weisung, die durch die Leistungsbeschreibung definiert ist. Der Auftraggeber kann zusätzliche Weisungen aussprechen, soweit dies zur Einhaltung des anwendbaren Datenschutzrechts erforderlich ist.
- Verpflichtung zur Vertraulichkeit – Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
- Unterstützung bei der Wahrung der Betroffenenrechte – Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Bearbeitung von Betroffenenrechten (Korrektur, Löschung, Sperrung, Kapitel III DSGVO). Ersuchen werden unverzüglich weitergeleitet.
- Unterstützung bei der Einhaltung von Art. 32–36 DSGVO – Der Auftragsverarbeiter unterstützt den Auftraggeber bei Sicherheit der Verarbeitung, Datenschutz-Folgeabschätzung und Konsultation mit Aufsichtsbehörden.
- Bestellung eines Datenschutzbeauftragten – Bestellt: Marc Oliver Giel, Lagerstraße 11a, 64807 Dieburg, E-Mail: giel@datamog.de . Betroffenenanfragen an: privacy@billbee.io .
V Rechte und Pflichten des Auftraggebers
- Der Auftraggeber ist allein für die Einhaltung aller Datenschutzgesetze (insbesondere DSGVO und BDSG) verantwortlich sowie dafür, dass die Datenverarbeitung und Datenweitergabe rechtmäßig sind und die gesetzlichen Rechte der betroffenen Personen gewahrt werden („Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO).
- Der Auftraggeber ist verantwortlich dafür, dass die vertraglich vereinbarten TOM für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
- Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- Inspektionen durch den Auftraggeber oder beauftragte Prüfer finden zu üblichen Geschäftszeiten nach Anmeldung statt. Der Auftragsverarbeiter darf eine Verschwiegenheitserklärung verlangen.
- Der Auftraggeber behält sämtliche Rechte an den verarbeiteten personenbezogenen und sonstigen Daten.
VI Weisungen
- Der Auftragsverarbeiter – und jede ihm unterstellte Person – darf die personenbezogenen Daten nur im Rahmen von Weisungen des Auftraggebers verarbeiten.
- Weisungen werden anfänglich durch die Leistungsvereinbarung festgelegt; mündliche Weisungen sind nur in Eilfällen gestattet und unverzüglich schriftlich zu bestätigen.
- Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er eine Weisung für rechtswidrig hält.
- Einzelweisungen außerhalb des Leistungsumfangs werden als Antrag auf Leistungsänderung behandelt.
- Der Auftraggeber nennt dem Auftragsverarbeiter weisungsberechtigte Ansprechpartner unverzüglich nach Vertragsabschluss.
- Weisungen in Textform sind zu senden an: support@billbee.io
VII Technisch-organisatorische Maßnahmen
- Der Auftragsverarbeiter gestaltet den Arbeitsalltag so, dass er den besonderen Anforderungen des Datenschutzes gerecht wird (Art. 32 DSGVO).
- Der Auftragsverarbeiter hat TOM zu treffen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherstellen.
- Die TOM unterliegen dem technischen Fortschritt; alternative adäquate Maßnahmen sind zulässig, sofern das Sicherheitsniveau nicht unterschritten wird.
- Bei Akzeptanz des Vertrags werden die im Anhang „Technisch-organisatorische Maßnahmen" dokumentierten Maßnahmen Grundlage des Vertrags.
VIII Kontrollrechte
- Der Auftraggeber hat das Recht, Überprüfungen durchzuführen oder durchführen zu lassen (max. alle 12 Monate, soweit nicht aus dringenden Gründen häufiger erforderlich).
- Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten nach Art. 28 DS-GVO überzeugen kann.
- Nachweis der Maßnahmen kann erfolgen durch: Einhaltung genehmigter Verhaltensregeln (Art. 40), Zertifizierung (Art. 42), Testate unabhängiger Instanzen, oder IT-Sicherheits-/Datenschutzaudit.
- Für die Ermöglichung von Kontrollen kann der Auftragnehmer eine angemessene Vergütung verlangen.
IX Subunternehmen
- Der Auftraggeber erteilt die allgemeine Genehmigung zur Beauftragung von Subunternehmen (Liste im Anhang „Subunternehmen").
- Der Auftragsverarbeiter hat die Subunternehmen sorgfältig auszuwählen und vor der Beauftragung zu prüfen.
- Neue oder andere Subunternehmen sind dem Auftraggeber vor Beginn der Verarbeitung in Textform mitzuteilen. Der Auftraggeber hat ein Einspruchsrecht aus datenschutzrechtlichen Gründen.
- Verträge mit Subunternehmen sind datenschutzkonform zu gestalten.
- Nebenleistungen (z.B. Telekommunikation, Reinigung) gelten nicht als Subunternehmensverhältnisse im Sinne dieser Regelungen.
X Löschung und Rückgabe nach Beendigung der Verarbeitung
- Mit Beendigung der Auftragsverarbeitung hat der Auftraggeber das Recht auf Herausgabe der Daten in maschinenlesbarem Format oder auf Löschung.
- Das Herausgabeverlangen ist innerhalb von 30 Tagen nach Vertragsbeendigung geltend zu machen.
- Der Auftragsverarbeiter ist berechtigt, die Daten nach Ablauf von 30 Tagen zu löschen.
- Nach Datenherausgabe ist der Auftragsverarbeiter berechtigt, die Daten unverzüglich zu löschen.
- Ausgenommen sind Daten, zu deren Aufbewahrung der Auftragsverarbeiter gesetzlich verpflichtet ist.
XI Haftung
Auftraggeber und Auftragnehmer haften gemeinsam im Außenverhältnis als Gesamtschuldner gegenüber der betroffenen Person. Der Auftraggeber übernimmt zunächst die volle Entschädigung; erst beim zweiten Mal fordert er vom Auftragsverarbeiter den Teil, der dessen Verantwortung entspricht. Der Auftragnehmer haftet ausschließlich für Schäden, bei denen er:
- a. seinen DSGVO-Pflichten nicht nachgekommen ist, oder
- b. unter Nichtbeachtung oder gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.
Die Parteien stellen sich jeweils von der Haftung frei, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Schaden verantwortlich sind.
XII Schlussbestimmungen
- Änderungen und Ergänzungen bedürfen einer schriftlichen Vereinbarung (auch in Textform möglich).
- Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist der Sitz des Auftragsverarbeiters. Die Befugnis, auch das Gericht an einem anderen gesetzlichen Gerichtsstand anzurufen, bleibt hiervon unberührt.
- Dieser Vertrag ersetzt alle vorherigen Zusicherungen, Absprachen und Vereinbarungen zwischen den Parteien.
Anhang: Gegenstand der Auftragsverarbeitung
Art der Daten: Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten, Kundenhistorie, Vertragsabrechnungs- und Zahlungsdaten, Artikeldaten, Bestelldaten, Käuferdaten.
Art und Zweck der Datenverarbeitung: Billbee bietet eine Auftragsabwicklung, Warenwirtschaft und Automatisierungslösung für Verkäufer, die Produkte über einen oder mehrere (Online)-Kanäle verkaufen. Billbee stellt zu diesem Zweck Schnittstellen zu Quellsystemen (Shops, Marktplätze, etc.), eigene, direkt in Billbee implementierte Funktionen und Schnittstellen zu Drittsystemen (Buchhaltung, Versanddienstleister, etc.) bereit.
Kategorie der betroffenen Personen: Auftraggeber (Shopbetreiber) und deren Beschäftigte; Kunden (des Shopbetreibers) und deren Beschäftigte; Lieferanten (des Shopbetreibers) und deren Beschäftigte.
Anhang: Technisch-Organisatorische Maßnahmen
1.1 Gewährleistung der Vertraulichkeit
1.1.1 Zutrittskontrolle – Kein unbefugter Zutritt zu Datenverarbeitungsanlagen. Die Büroräume sind mit einer Schließanlage gesichert. Alle Anlagen, auf denen Kundendaten gespeichert werden, befinden sich bei Subunternehmen sowie in den eigenen Büroräumen.
1.1.2 Zugangskontrolle – Keine unbefugte Systembenutzung. Alle eigenen IT-Anlagen sind mit sicheren Kennwörtern gesichert. Beim Verlassen des Arbeitsplatzes wird der Desktop gesperrt. Kunden richten sich einen eigenen, durch Passwort gesicherten Zugang ein. Das System erzwingt eine Mindestlänge von 12 Zeichen, mindestens einen Groß- und einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen (!@$%^&*+#).
1.1.3 Zugriffskontrolle – Daten sind softwareseitig gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen gesichert. Benutzer können Berechtigungen für Mitarbeiterebene festlegen. Logins werden protokolliert. Billbee-Mitarbeiter können auf Kundenaufforderung Einsicht nehmen; Zugriffe werden protokolliert.
1.1.4 Trennungskontrolle – Getrennte Verarbeitung von Daten unterschiedlicher Zwecke. Das System ist mandantenfähig. Jeder Kunde kann nur auf seine eigenen Daten zugreifen. Trennung von Produktiv- und Testumgebung.
1.2 Gewährleistung der Integrität
1.2.1 Weitergabekontrolle – Zugriff auf alle Systeme bei Subunternehmen ist per VPN gesichert. Alle Datenübertragungen zwischen Billbee und externen Systemen finden ausschließlich über verschlüsselte Verbindungen statt.
1.2.2 Eingabekontrolle – Die Datenverarbeitung erfolgt direkt durch den Kunden. Billbee protokolliert, durch welchen Mitarbeiter eine Dateneingabe oder Veränderung vorgenommen wurde.
1.3 Pseudonymisierung und Verschlüsselung
1.3.1 Pseudonymisierung – Personenbezogene Daten werden zur längerfristigen Speicherung pseudonymisiert in ein dafür vorgesehenes System übertragen.
1.3.2 Verschlüsselung – Daten werden bei der elektronischen Übertragung verschlüsselt übertragen. Verschlüsselungsverfahren folgen nach aktuellem Stand der Technik. Daten werden nur verschlüsselt gespeichert.
1.4 Gewährleistung der Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit
1.4.1 Verfügbarkeit – Billbee sichert alle Kundendaten im Fünf-Minuten-Takt auf mindestens zwei externen Systemen. Die Systeme der Subunternehmen sind per USV gegen Stromausfall gesichert. Eine Firewall schützt den Zugriff von außen. Alle Systeme sind redundant ausgelegt.
1.4.2 Belastbarkeit – Einspielen von aktuellen Sicherheitsupdates auf allen Applikationsservern und Entwicklersystemen.
1.4.3 Wiederherstellbarkeit – Vollständige Wiederherstellung des Betriebes aus einem aktuellen Backup innerhalb von ca. zwei Stunden.
1.5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
1.5.1 Auftragskontrolle – Abschluss der notwendigen Auftragsdatenvereinbarungen und Standard-Vertragsklauseln; Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten; Verpflichtung der Mitarbeiter auf das Datengeheimnis; Sicherstellung der Vernichtung von Daten nach Beendigung eines Auftrags.
1.5.2 Datenschutz-Management – Datenschutz-Management; Bestellung eines externen Datenschutzbeauftragten; Einhaltung der Informationspflichten gemäß Art. 13 und 14 DSGVO; Dokumentation aller Verfahrensweisen; Datenschutzfolgeabschätzungen (bei Bedarf); regelmäßige Sensibilisierung der Mitarbeiter; Überprüfung der Wirksamkeit der TOMs (mind. jährlich); Verpflichtung der Mitarbeiter auf das Datengeheimnis.
1.5.3 Incident-Response-Management – Dokumentation von Sicherheitsvorfällen; Einsatz von Firewall, Spamfilter und Virenscanner (jeweils mit regelmäßiger Aktualisierung); Patch- und Schwachstellenmanagement.
1.5.4 Datenschutzfreundliche Voreinstellungen – Personenbezogene Daten werden nur zweckerforderlich erhoben (Privacy by Design / Privacy by Default).
Anlage – Subunternehmen
Amazon Web Services EMEA SARL (https://aws.amazon.com/de/)
38 Avenue John F. Kennedy
1855 Luxembourg
Auftragsinhalt: Speicherung der Auftragsdokumente (S3), E-Mail Empfang und Versand (SES)
Ort der Datenverarbeitung: Europäische Union
Grundsätze der Datenübermittlung: Art. 46 Abs. 2 lit. c) DSGVO EU-Standardvertragsklauseln gem. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021
DPA mit Amazon: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf
Datadog, Inc. (https://www.datadoghq.com/)
620 8th Avenue, Floor 45
New York, NY 10018, USA
Auftragsinhalt: Überwachung und Monitoring der Billbee Infrastruktur und Anwendung
Ort der Datenverarbeitung: Deutschland
DPA mit datadog: https://www.datadoghq.com/legal/data-processing-addendum/
Help Scout PBC (https://www.helpscout.com/)
100 City Hall Plaza, 5th Floor
Boston, MA 02108, USA
Auftragsinhalt: Internes Supporttool, Endkundendaten nur dann, wenn sie aktiv übermittelt werden
Ort der Datenverarbeitung: USA
DPA mit Helpscout: https://www.helpscout.com/company/legal/dpa/
Hetzner Online GmbH (https://www.hetzner.de/)
Industriestr. 25
91710 Gunzenhausen
Auftragsinhalt: Unterbringung der primären Server-Systeme zum Betrieb der Anwendung
Ort der Datenverarbeitung: Deutschland
Slack Technologies, Inc. (https://www.slack.com/)
500 Howard Street
San Francisco, CA 94105, USA
Auftragsinhalt: Internes Kommunikationstool, vereinzelt Endkundendaten im Rahmen des Supports
Ort der Datenverarbeitung: Europäische Union
DPA mit Slack: https://www.slack.axdraft.com/
TWL-KOM GmbH (https://twl-kom.de/)
Donnersbergweg 4
67059 Ludwigshafen
Auftragsinhalt: Externes Backup der Server-Systeme und Datenbanken
Ort der Datenverarbeitung: Deutschland