Vertrag zur Auftragsverarbeitung (AVV)

Präambel und Parteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung des Dienstes VibeDeploy. Er gilt, soweit der Auftragsverarbeiter im Rahmen der Erbringung des Dienstes personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

• Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde (Nutzer des Dienstes).
• Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist die DP – Media Consulting Cologne UG (haftungsbeschränkt), Santo-Tirso-Ring 69, 64823 Groß-Umstadt, Deutschland (Marke „VibeDeploy“), Kontakt: datenschutz@vibedeploy.dev.

Dieser AVV wird mit Abschluss eines kostenpflichtigen Tarifs bzw. mit ausdrücklicher Annahme wirksam und ist Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags (AGB).

§ 1 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist das Hosting, das Bauen (Build) und der Betrieb der vom Verantwortlichen über den Dienst veröffentlichten App sowie die damit verbundene Verarbeitung personenbezogener Daten, die der Verantwortliche mit seiner App verarbeitet. Die Dauer dieses AVV entspricht der Laufzeit des Nutzungsvertrags; er endet automatisch mit dessen Beendigung.

§ 2 Art, Umfang und Zweck der Verarbeitung; Datenarten; betroffene Personen

Zweck und Art der Verarbeitung: Bereitstellung der vom Verantwortlichen beauftragten Hosting- und Betriebsleistungen, insbesondere Speicherung, Übermittlung (Auslieferung), strukturierte Ablage, Verarbeitung im Build-Prozess sowie – je nach Tarif – Sicherung (Backup) und Löschung. Eine Nutzung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

Art der personenbezogenen Daten: bestimmt sich nach der App des Verantwortlichen; typischerweise Stammdaten, Kontaktdaten, Inhaltsdaten, Nutzungs- und Metadaten, die die Endnutzer der App bereitstellen oder die beim Betrieb der App anfallen. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand dieses AVV, es sei denn, sie wird gesondert vereinbart und mit geeigneten zusätzlichen Maßnahmen abgesichert.

Kategorien betroffener Personen: die Endnutzer, Besucher, Kunden oder sonstigen Personen, deren Daten der Verantwortliche mit seiner App verarbeitet.

§ 3 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Drittlandübermittlungen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist (in diesem Fall teilt er dies dem Verantwortlichen vor der Verarbeitung mit, sofern das Recht dies nicht verbietet). Die getroffenen Vereinbarungen (dieser AVV nebst Anlagen sowie die Einstellungen, die der Verantwortliche im Dienst vornimmt) gelten als Erstweisung. Einzelweisungen sind in Textform an die oben genannte Kontaktadresse zu richten. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.

§ 4 Pflichten des Auftragsverarbeiters

• Vertraulichkeit: Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
• Datensicherheit: Er trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).
• Unterstützung: Er unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von dessen Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung, vorherige Konsultation) sowie bei der Beantwortung von Anträgen betroffener Personen (§ 7).
• Mitwirkung und Information: Er stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung (§ 10).
• Kein Drittlandtransfer ohne Grundlage: Eine Verarbeitung außerhalb der EU/des EWR findet ohne Weisung des Verantwortlichen und ohne geeignete Garantien nach Kapitel V DSGVO nicht statt. Die Verarbeitung erfolgt grundsätzlich in Deutschland (siehe Anlage 1 und Anlage 2).

§ 5 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter gewährleistet die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen. Er ist berechtigt, diese fortzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) teilt der Auftragsverarbeiter rechtzeitig in Textform oder über den Dienst mit; der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO, insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) zu beantworten. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit verfügbar, und unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 9 Löschung und Rückgabe nach Beendigung

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Aus betrieblichen Gründen kann eine kurze, in der Leistungsbeschreibung genannte Wiederherstellungsfrist bestehen, nach deren Ablauf die endgültige Löschung erfolgt; routinemäßige Sicherungskopien werden im Rahmen der üblichen Aufbewahrungszyklen überschrieben.

§ 10 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die der Verantwortliche oder ein von diesem beauftragter Prüfer durchführt. Überprüfungen erfolgen nach angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs; der Nachweis kann auch durch geeignete Zertifizierungen, Testate oder aktuelle Prüfberichte erbracht werden.

§ 11 Haftung

Für die Haftung gelten die Bestimmungen des Art. 82 DSGVO sowie ergänzend die Haftungsregelungen des Nutzungsvertrags (AGB § 13). Im Verhältnis der Parteien zueinander trägt jede Partei die Verantwortung für die Einhaltung der ihr nach der DSGVO obliegenden Pflichten.

§ 12 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Anlage 1: Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

• Datenstandort / EU-Verarbeitung: Verarbeitung und Speicherung ausschließlich in Rechenzentren in Deutschland (Hetzner, Falkenstein); kein Drittlandtransfer ohne geeignete Garantien.
• Mandantentrennung: logische Trennung der Daten je Nutzer/App durch serverseitige Zugriffsfilter; getrennte Bereitstellung der Apps.
• Zugangs- und Zugriffskontrolle: Authentifizierung über passwortlose Login-Links und zeitlich begrenzte Sitzungs-Token; rollen-/rechtebasierter Zugriff; Geheimnisse (Secrets) werden geschützt verwaltet und nicht in Protokollen oder Ausgaben offengelegt.
• Verschlüsselung in der Übertragung: Transportverschlüsselung (TLS/HTTPS, Let’s-Encrypt- Zertifikate) für den Zugriff auf Dienst und Apps.
• Eingabe-/Veröffentlichungskontrolle: automatisierter Sicherheits-Scan vor dem Go-Live (Erkennung exponierter Zugangsschlüssel/offener Datenbank-Regeln); Begrenzungs- und Missbrauchsschutz (Rate-Limits, Caps, Geräte-Kennung).
• Verfügbarkeit und Wiederherstellbarkeit: betriebliche Überwachung; je nach Tarif verwaltete Datenbank und regelmäßige Backups; definierte Lösch- und Aufbewahrungsroutinen (TTL).
• Protokollierung: sicherheits- und betriebsrelevante Protokolle (Audit-/Zugriffslogs) mit begrenzter Aufbewahrung.
• Organisatorisch: Verpflichtung der eingesetzten Personen auf Vertraulichkeit; Need-to-know-Prinzip; geordnete Prozesse für Vorfälle und Datenschutzverletzungen.

Anlage 2: Unterauftragsverarbeiter

Unterauftragsverarbeiter	Leistung	Ort der Verarbeitung
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland	Hosting-Infrastruktur, Server, Speicher, Datenbank, Build & Betrieb der Apps	Deutschland (EU)

Weitere von uns zur Erbringung des Gesamtdienstes eingesetzte Dienstleister (z. B. Resend für den Versand unserer transaktionalen E-Mails, Stripe für die Zahlungsabwicklung) verarbeiten Daten zu unseren eigenen Zwecken bzw. im Rahmen des Vertragsverhältnisses mit Ihnen als Kunde und sind insoweit nicht Unterauftragsverarbeiter dieses AVV. Einzelheiten hierzu finden Sie in unserer Datenschutzerklärung.