Auftragsverarbeitungsvertrag (AVV)

Geplante Gliederung:

1. 1. Gegenstand & Dauer der Auftragsverarbeitung

   • Verweis auf den zugrundeliegenden Hauptvertrag
   • Laufzeit: solange der Hauptvertrag aktiv ist

2. 2. Art und Zweck der Verarbeitung

   • Bereitstellung der Casablanca-Software
   • Account-Verwaltung, Abrechnung, Support

3. 3. Art der personenbezogenen Daten

   • Stammdaten (Name, E-Mail, Firmenname)
   • Vertrags- und Abrechnungsdaten
   • Kommunikationsdaten

4. 4. Kategorien betroffener Personen

   • Mitarbeiter:innen des Auftraggebers, Endnutzer der Software

5. 5. Rechte und Pflichten des Verantwortlichen

   • Weisungsrechte
   • Auskunfts- und Kontrollrechte

6. 6. Pflichten des Auftragsverarbeiters (Art. 28 DSGVO)

   • Verarbeitung nur auf dokumentierte Weisung
   • Verschwiegenheit der Mitarbeitenden
   • Technisch-organisatorische Maßnahmen (TOM)
   • Mithilfe bei Betroffenenanfragen
   • Unterstützung bei Datenschutz-Folgenabschätzungen
   • Meldung von Datenpannen
   • Rückgabe oder Löschung nach Vertragsende
   • Nachweis der Einhaltung

7. 7. Technische und organisatorische Maßnahmen

   • Zugangskontrolle, Zutrittskontrolle, Zugriffskontrolle
   • Weitergabekontrolle (TLS-Verschlüsselung)
   • Eingabekontrolle (Logging)
   • Auftragskontrolle, Verfügbarkeitskontrolle, Trennbarkeit

8. 8. Subunternehmer (Sub-Auftragsverarbeiter)

   • Stripe Payments Europe Ltd. (Zahlungen)
   • Resend (Mail)
   • Railway (Hosting EU)
   • Upstash (Rate-Limit, EU)
   • Allgemeine Genehmigung mit Widerspruchsrecht

9. 9. Ort der Verarbeitung

   • EU/EWR-Region (Railway EU)
   • Drittlandübermittlung nur mit Garantien (SCC, DPF)

10. 10. Schlussbestimmungen

    • Anwendbares Recht, Gerichtsstand, Salvatorische Klausel