Vertrag zur Auftragsverarbeitung (AVV)

Dieser Vertrag zur Auftragsverarbeitung („AVV“) konkretisiert die Pflichten der Parteien aus der DSGVO, soweit der Anbieter im Rahmen des Dienstes alexsdev Sync personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Der AVV wird mit Buchung bzw. Nutzung von alexsdev Sync zwischen den Parteien wirksam. Eine gegengezeichnete Ausfertigung erhalten Auftraggeber auf Anfrage unter [email protected].

1. Parteien

Verantwortlicher („Auftraggeber“): der Kunde, der alexsdev Sync nutzt.
Auftragsverarbeiter („Anbieter“): Alexander Sadomsky, c/o IP-Management #42121, Ludwig-Erhard-Str. 18, 20459 Hamburg, Deutschland — [email protected].

2. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Auftraggebers zum Zweck der Bereitstellung von alexsdev Sync (einseitige Auslieferung von Inhalten an die Geräte der vom Auftraggeber berechtigten Endnutzer). Die Dauer entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags.

3. Art, Umfang und Zweck der Verarbeitung

Die Verarbeitung umfasst das Speichern, Bereitstellen und Übermitteln der vom Auftraggeber bereitgestellten Inhalte sowie der zur Zugriffskontrolle erforderlichen Daten. Zweck ist allein die vertragsgemäße Erbringung des Dienstes. Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

4. Art der Daten und Kategorien betroffener Personen

Datenarten:

• Zugangs-Token (im Backend gehasht, auf dem Endgerät verschlüsselt)
• Verbindungs-/Abrufdaten (Zeitpunkt, Kanal, abgerufene Inhalte bzw. Hashes, Bezeichnung des Zugangs, „zuletzt aktiv“)
• vom Auftraggeber bereitgestellte Inhalte (können personenbezogene Daten enthalten, soweit der Auftraggeber solche einstellt)

Betroffene Personen: Mitarbeiter und sonstige vom Auftraggeber berechtigte Endnutzer.

5. Pflichten des Auftragsverarbeiters

• Verarbeitung nur auf dokumentierte Weisung; Hinweis, wenn eine Weisung gegen Datenschutzrecht verstößt.
• Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Abschnitt 6).
• Unterstützung des Auftraggebers bei Betroffenenanfragen und bei den Pflichten nach Art. 32–36 DSGVO, soweit möglich und angemessen.
• Löschung oder Rückgabe der Daten nach Beendigung (Abschnitt 10).
• Bereitstellung der zum Nachweis erforderlichen Informationen und Ermöglichung von Kontrollen (Abschnitt 11).

6. Technische und organisatorische Maßnahmen (Art. 32)

• Verschlüsselung: TLS für alle Übertragungen; Zugangs-Token im Backend nur als Hash, auf dem Endgerät per Windows-DPAPI verschlüsselt.
• Zugriffskontrolle: tokenbasierte Authentifizierung pro Kanal; Zugriff auf Blobs nur für dem Kanal zugeordnete Inhalte; SSH-Schlüssel-basierter Serverzugang, Firewall.
• Integrität: inhaltsadressierte Speicherung mit SHA-256; Integritätsprüfung jeder ausgelieferten Datei.
• Mandantentrennung: logische Trennung der Daten je Konto/Kanal.
• Verfügbarkeit: selbstverwalteter Server in der EU, regelmäßige Aktualisierung; serverseitige Sicherungen.
• Datensparsamkeit: keine Übertragung von Inhalten vom Endgerät an den Anbieter.

7. Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

• Server-Hosting (EU): dedizierter Server innerhalb der Europäischen Union (Speicherung von Metadaten und Inhalten).
• Cloudflare, Inc. — CDN/Proxy und DDoS-Schutz für den Transport; zertifiziert unter dem EU-US Data Privacy Framework, DPA/SCC.
• IONOS SE (Montabaur, DE) — E-Mail-Versand, soweit transaktionale E-Mails anfallen; Verarbeitung in der EU.

Nutzt der Auftraggeber ein eigenes GitHub-Repository als Quelle, ruft der Anbieter Inhalte von GitHub (GitHub B.V., Amsterdam / GitHub Inc.) ab; insoweit handelt der Auftraggeber auf eigene Veranlassung. Änderungen im Bestand der Unterauftragsverarbeiter werden dem Auftraggeber mit angemessener Frist mitgeteilt; ihm steht ein Widerspruchsrecht aus wichtigem Grund zu.

8. Betroffenenrechte

Der Anbieter unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO). Wendet sich eine betroffene Person direkt an den Anbieter, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Anbieter informiert den Auftraggeber unverzüglich nach Kenntnis über Verletzungen des Schutzes personenbezogener Daten, die im Rahmen der Auftragsverarbeitung eintreten, und unterstützt bei den Pflichten nach Art. 33 und 34 DSGVO.

10. Löschung und Rückgabe

Nach Beendigung der Verarbeitung löscht der Anbieter die im Auftrag verarbeiteten Daten oder gibt sie nach Wahl des Auftraggebers zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Inhalte können vom Auftraggeber jederzeit selbst über das Dashboard gelöscht werden.

11. Nachweise und Kontrollen

Der Anbieter stellt dem Auftraggeber auf Anfrage die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen, ggf. nach vorheriger Abstimmung und unter Wahrung der Vertraulichkeit anderer Kunden.

12. Ort der Verarbeitung

Die Verarbeitung und Speicherung erfolgt innerhalb der Europäischen Union. Eine Übermittlung in ein Drittland findet nur statt, soweit dies für den Transport (Cloudflare) erforderlich ist und durch geeignete Garantien (DPF/SCC) abgesichert ist.

13. Haftung

Die Haftung richtet sich nach den Bestimmungen des zugrunde liegenden Nutzungsvertrags (siehe AGB §37) und Art. 82 DSGVO.

14. Schlussbestimmungen

Es gilt deutsches Recht. Sind einzelne Bestimmungen unwirksam, bleibt der übrige Vertrag wirksam. Änderungen bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.