Auftragsverarbeitungsvertrag (AVV)
1. Gegenstand der Verarbeitung
Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO.
Gegenstand ist die Bereitstellung von Softwarelösungen (Kassensysteme, SaaS).
2. Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses.
3. Art und Zweck der Verarbeitung
-
Speicherung und Verarbeitung von Transaktionsdaten
-
Verwaltung von Kundendaten
-
Bereitstellung von Systemfunktionen
4. Kategorien betroffener Personen
-
Kunden des Auftraggebers
-
Mitarbeiter
-
Geschäftspartner
5. Pflichten des Auftraggebers
Der Auftraggeber ist verantwortlich für:
-
Rechtmäßigkeit der Datenverarbeitung
-
Information der betroffenen Personen
-
Einholung erforderlicher Einwilligungen
6. Pflichten des Auftragnehmers
Der Anbieter verpflichtet sich:
-
Daten nur auf dokumentierte Weisung zu verarbeiten
-
Vertraulichkeit zu gewährleisten
-
geeignete technische und organisatorische Maßnahmen umzusetzen
-
den Auftraggeber bei Betroffenenanfragen zu unterstützen
7. Subunternehmer (Subprozessoren)
Der Einsatz von Subunternehmern ist zulässig.
Der Anbieter stellt sicher, dass diese ebenfalls DSGVO-konform arbeiten.
Eine aktuelle Liste kann auf Anfrage bereitgestellt werden.
8. Datenübermittlung
Eine Übermittlung in Drittländer erfolgt nur bei geeigneten Garantien (Art. 44 ff. DSGVO).
9. Löschung und Rückgabe
Nach Beendigung des Vertrags werden personenbezogene Daten gelöscht oder auf Wunsch zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
10. Kontrollrechte
Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorgaben zu überprüfen.
11. Technische und organisatorische Maßnahmen (TOMs)
Der Anbieter setzt Maßnahmen gemäß Art. 32 DSGVO um, insbesondere:
-
Zugriffsbeschränkungen
-
Verschlüsselung
-
Datensicherung
-
Systemüberwachung
12. Haftung
Die Haftung richtet sich nach den vertraglich vereinbarten Bedingungen (AGB).