Auftragsverarbeitungsvertrag (AVV)
Stand: Januar 2025
Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch SlimPIM.ai im Auftrag des Kunden.
Hinweis: Dieser AVV wird automatisch Bestandteil des Nutzungsvertrags, sobald der Kunde personenbezogene Daten in SlimPIM.ai verarbeitet.
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Anbieter) im Auftrag des Verantwortlichen (Kunde) im Rahmen der Nutzung der SaaS-Plattform SlimPIM.ai.
(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB).
(3) Art und Zweck der Verarbeitung:
- Bereitstellung einer cloudbasierten PIM-Software
- Speicherung und Verwaltung von Produktinformationen
- Nutzerverwaltung und Zugriffskontrolle
- Technischer Support
§ 2 Art der Daten und Betroffene Personen
(1) Kategorien betroffener Personen:
- Mitarbeiter des Kunden (Nutzer der Software)
- Ggf. Endkunden (wenn deren Daten in Produktinformationen enthalten sind)
- Kontaktpersonen von Geschäftspartnern
(2) Kategorien personenbezogener Daten:
- Stammdaten (Name, E-Mail-Adresse, Unternehmen)
- Nutzungsdaten (Login-Zeiten, IP-Adressen, Aktivitätsprotokolle)
- Inhaltsdaten (vom Kunden eingegebene Daten wie Produktbeschreibungen, die ggf. personenbezogene Daten enthalten können)
(3) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet.
§ 3 Weisungen des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen erfolgen initial durch diese Vereinbarung und können darüber hinaus schriftlich oder in Textform (E-Mail) erteilt werden.
(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzrecht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.
§ 4 Technische und Organisatorische Maßnahmen (TOM)
(1) Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen:
a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- SSL/TLS-Verschlüsselung für Datenübertragung (HTTPS)
- Verschlüsselung der Daten at rest (AES-256)
- Passwort-geschützte Zugänge mit bcrypt-Hashing (12 Rounds)
- Zwei-Faktor-Authentifizierung (optional verfügbar)
- Rollenbasierte Zugriffskontrolle (RBAC)
- Regelmäßige Sicherheitsaudits
b) Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Firewall und DDoS-Schutz
- Intrusion Detection Systeme
- Regelmäßige Sicherheitsupdates
- Logging und Monitoring aller Systemzugriffe
- Malware-Scanner
c) Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Redundante Serverinfrastruktur
- Tägliche automatische Backups (30 Tage Aufbewahrung)
- Notfallwiederherstellungsplan
- 99,5%-99,95% Verfügbarkeitsgarantie (je nach Tarif)
- 24/7 Systemüberwachung
d) Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Skalierbare Cloud-Infrastruktur
- Load Balancing
- Automatische Failover-Mechanismen
e) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Jährliche Penetrationstests
- Regelmäßige Überprüfung der TOM
- Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit
(2) Der Auftragsverarbeiter dokumentiert die Maßnahmen und aktualisiert sie regelmäßig entsprechend dem Stand der Technik.
§ 5 Unterauftragsverarbeiter (Subprozessoren)
(1) Der Verantwortliche stimmt der Beauftragung folgender Unterauftragsverarbeiter zu:
| Unternehmen | Leistung | Standort |
|---|---|---|
| Google Cloud Platform | Cloud Hosting | EU (Frankfurt, Belgien) |
| Stripe Inc. | Zahlungsabwicklung | USA (mit EU-Standardvertragsklauseln) |
(2) Bei Beauftragung weiterer Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche kann innerhalb von 14 Tagen widersprechen.
(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter denselben Datenschutzverpflichtungen unterliegen wie er selbst.
§ 6-12 Weitere Bestimmungen
Die vollständigen Bestimmungen umfassen:
- § 6: Unterstützung bei Betroffenenrechten
- § 7: Meldung von Datenschutzverletzungen
- § 8: Löschung und Rückgabe der Daten
- § 9: Kontroll- und Prüfrechte
- § 10: Haftung
- § 11: Datenübermittlung in Drittländer
- § 12: Änderungen
Kontakt Datenschutz
Bei Fragen zum Datenschutz und diesem AVV kontaktieren Sie uns:
E-Mail: [email protected]
Hinweis: Ein formaler Datenschutzbeauftragter ist nach § 38 BDSG aufgrund der Unternehmensgröße derzeit nicht bestellt. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.