Auftragsverarbeitungsvertrag

1. Begriffsbestimmungen

In diesem AVV haben die folgenden Begriffe die nachstehend festgelegten Bedeutungen. Nicht hier definierte Begriffe haben die in der DSGVO oder den Nutzungsbedingungen festgelegte Bedeutung.

• „Verantwortlicher" bezeichnet den Kunden, der die BakeWind-Plattform abonniert und die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt
• „Auftragsverarbeiter" bezeichnet Nicolás di Rago, operating as BakeWind, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
• „Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und vom Auftragsverarbeiter im Auftrag des Verantwortlichen über den Dienst verarbeitet werden
• „Verarbeitung" bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Speicherung, Veränderung, Abfrage, Verwendung, Offenlegung, Löschung oder Vernichtung
• „Betroffene Person" bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen
• „Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird
• „Datenschutzverletzung" bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt

2. Gegenstand & Laufzeit

Dieser AVV gilt für die gesamte Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der BakeWind-Bäckereiverwaltungsplattform.

Die Laufzeit dieses AVV ist an das Abonnement des Verantwortlichen für den Dienst gebunden. Dieser AVV bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, einschließlich der in den Nutzungsbedingungen festgelegten Aufbewahrungsfrist nach Beendigung.

3. Art & Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der BakeWind-Bäckereiverwaltungsplattform, einschließlich:

• Verwaltung von Kundendaten (Namen, Kontaktinformationen, Lieferadressen, Bestellpräferenzen)
• Bearbeitung und Abwicklung von Bäckereibestellungen, einschließlich Lieferlogistik
• Verwaltung von Mitarbeiter- und Personaldaten innerhalb der Organisation des Verantwortlichen
• Erstellung von Geschäftsanalysen und Betriebsberichten
• Versand transaktionaler Mitteilungen (Bestellbestätigungen, Benachrichtigungen, Warnungen)
• Aufrechterhaltung der Kontosicherheit und Authentifizierung
• Bereitstellung von Kundensupportleistungen

4. Arten personenbezogener Daten

Folgende Kategorien personenbezogener Daten können im Rahmen dieses AVV verarbeitet werden:

• Identitätsdaten: Namen, E-Mail-Adressen, Telefonnummern
• Kontaktdaten: Postanschriften, Lieferadressen
• Kontodaten: Anmeldedaten (gehashte Passwörter), Kontoeinstellungen
• Transaktionsdaten: Bestellverlauf, Zahlungsreferenzen, Lieferaufzeichnungen
• Beschäftigungsdaten: Mitarbeiternamen, Positionen, Abteilungszuordnungen, Arbeitspläne
• Nutzungsdaten: Anmeldezeitstempel, Funktionsnutzungsmuster, Sitzungsinformationen
• Technische Daten: IP-Adressen, Browsertyp, Geräteinformationen

5. Kategorien betroffener Personen

Die im Rahmen dieses AVV verarbeiteten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

• Bäckereikunden des Verantwortlichen (Personen, die Bestellungen aufgeben)
• Mitarbeiter und Angestellte des Verantwortlichen
• Geschäftskontakte und Lieferanten des Verantwortlichen
• Benutzer des BakeWind-Kontos des Verantwortlichen (Manager, Administratoren)

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine Verarbeitung ist nach EU- oder Mitgliedstaatsrecht erforderlich. Ist der Auftragsverarbeiter gesetzlich zur Verarbeitung personenbezogener Daten verpflichtet, informiert er den Verantwortlichen vor der Verarbeitung über die gesetzliche Anforderung, es sei denn, das Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
• Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• Geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich, aber nicht beschränkt auf: Verschlüsselung sensibler Daten im Ruhezustand, TLS/HTTPS-Verschlüsselung für Daten während der Übertragung, starkes Passwort-Hashing, rollenbasierte Zugriffskontrolle und regelmäßige Sicherheitsbewertungen. Die aktuellen technischen Maßnahmen sind im Service Level Agreement (Abschnitt 6) beschrieben und können mit der technologischen Entwicklung aktualisiert werden, sofern das Gesamtschutzniveau nicht verringert wird.
• Keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige allgemeine schriftliche Genehmigung des Verantwortlichen zu beauftragen, vorbehaltlich des Benachrichtigungs- und Einspruchsverfahrens in Abschnitt 7
• Den Verantwortlichen bei der Einhaltung der Pflichten bezüglich Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorheriger Konsultation der Aufsichtsbehörden zu unterstützen
• Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienstleistung zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht EU- oder Mitgliedstaatsrecht die Speicherung vorschreibt
• Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind, und Überprüfungen und Inspektionen zu ermöglichen und dazu beizutragen
• Ein Verzeichnis der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO zu führen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung des Verantwortlichen nach seiner Auffassung gegen die DSGVO oder andere EU- oder mitgliedstaatliche Datenschutzvorschriften verstößt.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH (Falkenstein, Deutschland) — Infrastruktur-Hosting und Datenspeicherung
• Stripe, Inc. (USA / EU) — Zahlungsabwicklung und Abonnementverwaltung
• Mailtrap / Railsware Products, Inc. (USA) — Transaktionaler E-Mail-Versand

Der Auftragsverarbeiter informiert den Verantwortlichen per E-Mail mindestens 30 Tage im Voraus über beabsichtigte Hinzufügungen oder Austausch von Unterauftragsverarbeitern. Die Benachrichtigung nennt den neuen Unterauftragsverarbeiter, seinen Standort und die betreffenden Verarbeitungstätigkeiten.

Der Verantwortliche kann dem neuen Unterauftragsverarbeiter innerhalb von 30 Tagen nach Erhalt der Benachrichtigung schriftlich widersprechen. Widerspricht der Verantwortliche, unternimmt der Auftragsverarbeiter angemessene Anstrengungen, einen alternativen Unterauftragsverarbeiter oder eine Konfiguration bereitzustellen, die den beanstandeten Unterauftragsverarbeiter vermeidet. Ist keine zumutbare Alternative verfügbar, kann jede Partei den betroffenen Teil des Dienstes mit einer Frist von 30 Tagen schriftlich und ohne Vertragsstrafe kündigen. Widerspricht der Verantwortliche nicht innerhalb der 30-Tage-Frist, gilt der neue Unterauftragsverarbeiter als akzeptiert.

Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auf wie in diesem AVV. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.

8. Internationale Datenübermittlungen

Die primäre Verarbeitung personenbezogener Daten erfolgt auf Servern innerhalb der Europäischen Union (Hetzner, Falkenstein, Deutschland).

Werden personenbezogene Daten an Unterauftragsverarbeiter außerhalb des EU/EWR-Raums übermittelt, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Kapitel V der DSGVO vorhanden sind. Die konkreten Übermittlungsmechanismen je Unterauftragsverarbeiter sind:

• Hetzner Online GmbH — Keine internationale Datenübermittlung. Alle Daten verbleiben in der EU (Falkenstein, Deutschland).
• Stripe, Inc. — Stripe ist im Rahmen des EU-US-Datenschutzrahmens (Data Privacy Framework, DPF) zertifiziert. Übermittlungen sind zusätzlich durch Standardvertragsklauseln (SVK, Durchführungsbeschluss der Kommission 2021/914, Modul 3: Auftragsverarbeiter an Unterauftragsverarbeiter) abgesichert. Stripe verarbeitet Zahlungsdaten sowohl in EU- als auch in US-Einrichtungen.
• Mailtrap / Railsware Products, Inc. — Übermittlungen sind durch Standardvertragsklauseln (SVK, Modul 3: Auftragsverarbeiter an Unterauftragsverarbeiter) abgesichert. Transaktionale E-Mail-Inhalte (Empfänger-E-Mail, Betreff, Text) werden zur Zustellung an US-amerikanische Infrastruktur übermittelt.

Der Auftragsverarbeiter beobachtet die regulatorische Entwicklung bezüglich internationaler Datenübermittlungen und wird bei Bedarf zusätzliche ergänzende Maßnahmen umsetzen, sofern dies durch Leitlinien der Aufsichtsbehörden oder gerichtliche Entscheidungen erforderlich wird.

9. Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß der DSGVO, einschließlich Auskunftsrecht, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht.

Erhält der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person, leitet er diese unverzüglich an den Verantwortlichen weiter und beantwortet die Anfrage nicht ohne vorherige schriftliche Weisung des Verantwortlichen, es sei denn, dies ist gesetzlich vorgeschrieben.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Datenschutzverletzung bekannt wird, die im Rahmen dieses AVV verarbeitete personenbezogene Daten betrifft.

Die Benachrichtigung umfasst, soweit verfügbar:

• Eine Beschreibung der Art der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und personenbezogener Datensätze
• Name und Kontaktdaten des Datenschutzansprechpartners des Auftragsverarbeiters
• Eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und zur Minderung ihrer möglichen nachteiligen Auswirkungen

Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift angemessene Maßnahmen zur Unterstützung bei der Untersuchung, Eindämmung und Behebung jeder Datenschutzverletzung.

11. Datenrückgabe & Löschung

Nach Beendigung oder Ablauf des Dienstleistungsvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

• Alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV) an den Verantwortlichen zurückgeben
• Alle personenbezogenen Daten löschen und die Löschung schriftlich bestätigen

Der Verantwortliche kann personenbezogene Daten jederzeit während des Abonnements und 30 Tage nach Beendigung über das Service-Dashboard exportieren. Nach Ablauf der 30-tägigen Aufbewahrungsfrist werden alle personenbezogenen Daten innerhalb von 90 Tagen endgültig aus den Livesystemen des Auftragsverarbeiters gelöscht. Personenbezogene Daten können in verschlüsselten Backups verbleiben, bis diese im Rahmen des standardmäßigen Backup-Aufbewahrungszyklus des Auftragsverarbeiters (7 tägliche, 4 wöchentliche und 12 monatliche Sicherungen) rotiert werden — maximal 12 Monate. Backups sind verschlüsselt und zugriffsbeschränkt, und die darin enthaltenen Daten werden nicht aktiv verarbeitet.

Der Auftragsverarbeiter darf personenbezogene Daten insoweit aufbewahren, wie dies nach geltendem EU- oder Mitgliedstaatsrecht erforderlich ist. In diesem Fall stellt der Auftragsverarbeiter die Vertraulichkeit dieser Daten sicher und verarbeitet sie nur für die gesetzlich vorgeschriebenen Zwecke.

12. Prüfungsrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung. Als erste Option kann der Auftragsverarbeiter Prüfungsanfragen durch die Bereitstellung einer aktuellen unabhängigen Sicherheitsbewertung, eines Zertifizierungsberichts oder einer Compliance-Zusammenfassung durch Dritte erfüllen. Reicht diese Dokumentation nicht aus, um die spezifischen Anliegen des Verantwortlichen zu adressieren, kann der Verantwortliche eine Vor-Ort-Prüfung oder Inspektion durch den Verantwortlichen selbst oder einen vom Verantwortlichen beauftragten unabhängigen Prüfer anfordern.

Vor-Ort- oder Fernprüfungen sind auf eine pro Zwölfmonatszeitraum begrenzt, es sei denn, es ist eine Datenschutzverletzung eingetreten oder eine Aufsichtsbehörde verlangt eine Prüfung. Arbeitet der Auftragsverarbeiter remote, können Prüfungen per sicherer Videokonferenz und Bildschirmfreigabe durchgeführt werden. Prüfungen erfolgen mit angemessener Vorankündigung (mindestens 30 Tage), während der üblichen Geschäftszeiten und in einer Weise, die den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt. Die Kosten der Prüfung trägt der Verantwortliche, es sei denn, die Prüfung ergibt eine wesentliche Nichteinhaltung durch den Auftragsverarbeiter.

13. Änderungen

Der Auftragsverarbeiter kann diesen AVV aktualisieren, um Änderungen des Datenschutzrechts, regulatorischer Vorgaben oder der Unterauftragsverarbeiter-Arrangements zu berücksichtigen. Wesentliche Änderungen werden dem Verantwortlichen per E-Mail mindestens 30 Tage vor Inkrafttreten mitgeteilt. Ist der Verantwortliche mit den vorgeschlagenen Änderungen nicht einverstanden, kann er den Dienst gemäß den Nutzungsbedingungen kündigen.

14. Anwendbares Recht & Kontakt

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Im Falle eines Widerspruchs zwischen diesem AVV und den Nutzungsbedingungen hat dieser AVV in Bezug auf Datenschutzangelegenheiten Vorrang.

Bei Fragen zu diesem AVV kontaktieren Sie bitte: