Auftragsverarbeitungsvertrag
Gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
⬇ AVV als DOCX herunterladenDieser Vertrag regelt die Rechte und Pflichten des Auftraggebers (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) und des Auftragnehmers (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO) bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Plattform Kontrollytics.
Die Laufzeit dieses Vertrages entspricht der Laufzeit des zugrundeliegenden Nutzungsvertrages. Er endet automatisch mit Beendigung des Hauptvertrages, sofern sich aus den Pflichten zur Rückgabe oder Löschung der Daten keine längere Bindung ergibt.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers zum Zweck der Erbringung der vertraglich vereinbarten Leistungen:
- Speicherung und Verarbeitung hochgeladener Vertriebs- und Umsatzdaten (CSV-Dateien)
- KI-gestützte Analyse und Erstellung von Business-Reports
- Verarbeitung von Daten aus verbundenen Integrationen (Stripe, Shopify, Google Analytics 4)
- Versand von E-Mail-Benachrichtigungen (Berichte, Passwort-Reset, Willkommens-E-Mails)
- Speicherung von Nutzerdaten für die Authentifizierung und Zugriffsverwaltung
- Nutzer der Plattform (Mitarbeiter des Auftraggebers)
- Kunden des Auftraggebers (in hochgeladenen Datensätzen)
- Endkunden bei Nutzung der Shopify- oder Stripe-Integration
- Stammdaten: Name, E-Mail-Adresse, Benutzername
- Zugangsdaten: verschlüsselte Passwörter (bcrypt), Session-Tokens
- Transaktionsdaten: Umsätze, Bestelldaten, Kundennummern (aus CSV oder Integration)
- Nutzungsdaten: Login-Zeitpunkte, Report-Generierungen, Audit-Logs
- Technische Daten: IP-Adressen (GA4, sofern aktiviert)
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nicht verarbeitet.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
Weisungen werden durch Nutzung der Plattformfunktionen (Upload, Report-Generierung, Konfiguration) erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragnehmer trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen:
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung | TLS 1.2+ in Übertragung; Passwörter bcrypt-gehasht; GCS-Daten at-rest verschlüsselt |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept (Admin / Editor / Viewer); Session-basierte Authentifizierung |
| Datentrennung | Strikte Mandantentrennung (Tenant-Isolation) auf Datenbankebene (Firestore) |
| Verfügbarkeit | Hosting auf Google Cloud Run (EU); automatische Skalierung; regelmäßige Backups |
| Integrität | Audit-Logging aller sicherheitsrelevanten Aktionen; Eingabevalidierung |
| Belastbarkeit | Cloud-Infrastruktur mit automatischem Failover; Rate-Limiting gegen Missbrauch |
| Wiederherstellung | Firestore-Backups; GCS-Versionierung; Wiederherstellungsprozeduren dokumentiert |
Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen mit einer Frist von 30 Tagen.
| Anbieter | Zweck | Sitz / Rechtsgrundlage |
|---|---|---|
| Google Cloud Platform (Firebase / Firestore / Cloud Run / GCS) | Hosting, Datenbank, Dateispeicher | EU (Frankfurt) · SCCs / Angemessenheitsbeschluss |
| Anthropic, Inc. | KI-gestützte Report-Generierung (Claude API) | USA · SCCs · keine dauerhafte Datenspeicherung |
| SendGrid (Twilio) | Transaktionaler E-Mail-Versand | USA · SCCs |
| Stripe, Inc. | Zahlungsabwicklung (kein Zugriff auf Kundendaten des Auftraggebers) | USA/EU · SCCs |
| Google Analytics 4 | Plattform-Nutzungsanalyse (nur mit Consent) | EU · Consent Mode v2 |
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung) sowie bei der Beantwortung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte nach Kapitel III DSGVO.
Nach Vertragsende oder auf Weisung des Auftraggebers löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Anfrage schriftlich bestätigt.
Der Auftraggeber kann über das Dashboard jederzeit eine Exportanfrage stellen. Daten werden innerhalb von 30 Tagen nach Vertragsende unwiderruflich gelöscht.
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Der Auftragnehmer ermöglicht Überprüfungen durch den Auftraggeber oder einen vom Auftraggeber beauftragten Prüfer und trägt zu diesen bei.
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung erfolgt an die im Nutzerkonto hinterlegte E-Mail-Adresse sowie an: datenschutz@kontrollytics.com
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragnehmers.
Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.