Auftragsverarbeitungsvertrag (AVV)
Art. 28 Abs. 3 DSGVO – BeLogical SaaS-Plattform
1. Vertragsparteien
Verantwortlicher (Kunde): [Ihr Firmenname, Adresse]
Auftragsverarbeiter:
Ahmet Izler
Geldernerstraße 66B
41189 Mönchengladbach
2. Gegenstand und Dauer
| Art. 28 Abs. 3 lit. a | Auftrag |
|---|---|
| Gegenstand/Zweck | SaaS-Bereitstellung (CrmLogical, Hosting) |
| Dauer | Laufzeit des SaaS-Vertrags + 30 Tage |
2.1 Weisungsbindung (Art. 28 Abs. 3 lit. a DSGVO)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
3. Art und Umfang der Datenverarbeitung
| Art. 28 Abs. 3 lit. b | Details |
|---|---|
| Kategorien Betroffene | Mitarbeiter, Kunden, Leads des Kunden |
| Datenarten | Name, E-Mail, Telefon, Firmendaten, Nutzungslogs |
| Verarbeitungsart | Speicherung, Hosting, Backup, Analyse |
4. Technische/Organisatorische Maßnahmen
| Art. 28 Abs. 3 lit. b | Maßnahmen |
|---|---|
| Zugriffssteuerung | TLS/SSL, 2FA, IP-Whitelisting |
| Übertragungssicherheit | AES-256 Verschlüsselung |
| Datensicherung | Tägliche Backups, 30 Tage Retention |
| Audit-Recht | 1x/Jahr, 5 Werktage Vorlauf. Audits erfolgen während der üblichen Geschäftszeiten und dürfen den Geschäftsbetrieb nicht unangemessen beeinträchtigen. |
4.1 Vertraulichkeitsverpflichtung der Mitarbeiter (Art. 28 Abs. 3 lit. b DSGVO)
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5. Sub-Auftragsverarbeiter
| Dienstleister | Zustimmung |
|---|---|
| AWS (Amazon Web Services) | Ja – EU-SVK geregelt |
| Google Ireland (Analytics) | Ja – EU-Standort |
5.1 Subprozessor-Update-Klausel
Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen bei Sub-Auftragsverarbeitern. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
6. Betroffenenrechte, Vorfälle, Löschung und Rückgabe
Art. 28 Abs. 3 lit. e: Unterstützung bei Auskunft/Löschung. Datenvorfälle: Meldung innerhalb 48h.
Löschung und Rückgabe: Nach Abschluss der Verarbeitung gibt der Auftragsverarbeiter auf Wunsch des Verantwortlichen alle personenbezogenen Daten zurück oder löscht sie, sofern keine gesetzliche Aufbewahrungspflicht besteht.
6.1 Unterstützung bei TOMs & Compliance (Art. 28 Abs. 3 lit. f–h DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, insbesondere bei der Datensicherheit, Datenschutz-Folgenabschätzung und der Zusammenarbeit mit Aufsichtsbehörden.
7. Haftung & Gerichtsstand
Haftung gemäß AGB §10. Gerichtsstand: Mönchengladbach.
Unterschrift Kunde: _______________________
Datum: _______________________