1. Vertragsparteien
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) — der Betreiber:
Firma, Anschrift und gesetzliche Vertretung des Auftraggebers gemäß Auftrag.
Auftragnehmer (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO):
Stack7 GmbH i. G.
Metzer Straße 14
44137 Dortmund
Deutschland
Die Stack7 GmbH befindet sich in Gründung; die Handelsregistereintragung ist beantragt. Mit der Eintragung tritt sie in sämtliche Rechte und Pflichten aus diesem AVV ein.
Auftraggeber und Auftragnehmer werden nachfolgend einzeln „Partei" und gemeinsam „Parteien" genannt. Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Bereitstellung und Nutzung der Plattform Requesthub.
2. Gegenstand & Dauer
Gegenstand des Auftrags ist die Verarbeitung von Buchungs-, Kunden- und Zahlungsdaten im Rahmen der Bereitstellung der Software-as-a-Service-Plattform Requesthub durch den Auftragnehmer für den Auftraggeber. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.
Die Dauer dieses AVV entspricht der Laufzeit des SaaS-Hauptvertrags (siehe AGB); der AVV endet automatisch mit dessen Beendigung. Solange der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet, gilt dieser AVV fort.
3. Art & Zweck der Verarbeitung
Die Verarbeitung erfolgt zu folgenden Zwecken:
- Speicherung von Kundenanfragen sowie Angebots- und Geschäftsinformationen,
- Verwaltung von Buchungen,
- technische Anbindung der Zahlungsabwicklung,
- Endkundensupport und Kommunikation.
4. Kategorien betroffener Personen
Von der Verarbeitung betroffen sind folgende Personengruppen:
- Endkund:innen (Kund:innen des Betreibers),
- Mitarbeitende und Administrator:innen des Betreibers.
5. Art der Daten
Gegenstand der Verarbeitung sind folgende Arten personenbezogener Daten:
- Personenstammdaten,
- Kontaktdaten,
- Buchungsdetails,
- Chat- und Kommunikationsdaten,
- Rechnungs- und Zahlungsstatusdaten.
6. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
- personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten — auch hinsichtlich der Übermittlung in Drittländer (Art. 28 Abs. 3 lit. a DSGVO);
- die Daten nicht für eigene Zwecke zu nutzen;
- die zur Verarbeitung befugten Personen auf Vertraulichkeit zu verpflichten bzw. deren gesetzliche Verschwiegenheit sicherzustellen (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
- die technischen und organisatorischen Maßnahmen (TOM) gemäß Anhang 1 umzusetzen und aufrechtzuerhalten (Art. 32 DSGVO);
- den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO);
- den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) — Art. 28 Abs. 3 lit. f DSGVO;
- dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden zu melden (Art. 33 DSGVO);
- Unterauftragsverarbeiter nur nach Maßgabe von Abschnitt 8 einzusetzen;
- dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen/Audits — durch den Auftraggeber oder einen beauftragten Prüfer zu ermöglichen und dazu beizutragen (Art. 28 Abs. 3 lit. h DSGVO);
- nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO).
Ansprechpartner des Auftragnehmers für Datenschutzfragen — auch für Eilfälle (z. B. Meldung von Datenschutzverletzungen) — ist: Alexander Malzahn, [email protected].
7. Pflichten des Auftraggebers (Verantwortlicher)
Der Auftraggeber bleibt für die Verarbeitung der Verantwortliche und verpflichtet sich insbesondere:
- die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte zu verantworten;
- Weisungen zu erteilen und zu dokumentieren;
- die erforderlichen Angaben bereitzustellen (Zwecke, Datenkategorien, Löschfristen);
- die Grundsätze der Datenminimierung und der Richtigkeit der Daten zu beachten;
- die Kommunikation mit betroffenen Personen und Aufsichtsbehörden wahrzunehmen;
- erforderlichenfalls eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO);
- Zugänge und API-Keys sicher zu verwahren;
- in Testumgebungen möglichst keine Echtdaten zu verwenden.
Der Auftraggeber benennt im Auftrag einen Ansprechpartner für Datenschutzfragen einschließlich eines Eilfall-Kontakts (Name, Funktion, E-Mail, Telefon) und hält diese Angaben aktuell.
8. Unterauftragsverarbeiter
Der Auftraggeber erteilt die allgemeine schriftliche Genehmigung zum Einsatz der in Anhang 2 gelisteten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern vorab. Der Auftraggeber kann gegen eine solche Änderung aus wichtigem datenschutzrechtlichem Grund binnen 14 Tagen ab Zugang der Information widersprechen.
Mit jedem Unterauftragsverarbeiter werden vertragsgleiche Datenschutzpflichten vereinbart, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters verantwortlich.
9. Drittlandtransfer
Eine Verarbeitung personenbezogener Daten in Drittländern (außerhalb der EU/des EWR) erfolgt nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO — insbesondere auf Basis des EU-US Data Privacy Framework (DPF) und/oder der Standardvertragsklauseln (Standard Contractual Clauses, SCCs) der EU-Kommission. Einzelheiten zu den eingesetzten Dienstleistern und der jeweiligen Transfergrundlage sind in Anhang 2 aufgeführt.
10. Haftung
Für die Haftung der Parteien gelten die Regelungen der AGB sowie Art. 82 DSGVO.
11. Beendigung
Nach Beendigung der Verarbeitung löscht oder retourniert der Auftragnehmer alle personenbezogenen Daten gemäß Weisung des Auftraggebers und vernichtet vorhandene Kopien, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Entsprechende Nachweise stellt der Auftragnehmer dem Auftraggeber auf Anfrage zur Verfügung.
12. Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Es gilt deutsches Recht.
13. Anhang 1 — Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragnehmer trifft die nachfolgenden technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Vertraulichkeit
Zutritts-, Zugangs-, Zugriffs- und Trennungskontrolle: rollenbasierte Zugriffssteuerung über Firebase Auth & Firestore Security Rules; Mandantentrennung pro Tenant (logische Trennung der Daten je Betreiber).
Integrität
Weitergabe- und Eingabekontrolle: verschlüsselte Übertragung (TLS/HTTPS); Protokollierung sicherheitsrelevanter Vorgänge, um Eingabe, Änderung und Entfernung von Daten nachvollziehbar zu machen.
Verfügbarkeit & Belastbarkeit
Regelmäßige Backups, definierte Wiederherstellungsverfahren, Monitoring sowie Incident-Management; Einsatz belastbarer Cloud-Infrastruktur.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO).
Pseudonymisierung & Verschlüsselung
Pseudonymisierung und Verschlüsselung personenbezogener Daten, soweit angemessen und verhältnismäßig.
Sicheres Secrets-Management
Sichere Verwaltung von Zugangsdaten, Schlüsseln und API-Keys (Secrets-Management).
Bot- & Missbrauchsschutz
Schutz vor automatisiertem Missbrauch und Spam über Bot-Abwehr (Google reCAPTCHA).
14. Anhang 2 — Unterauftragsverarbeiter
Der Auftragnehmer setzt zum Stand dieses AVV die folgenden Unterauftragsverarbeiter ein.
| Dienstleister | Zweck | Sitz / Transfergrundlage |
|---|---|---|
| Google LLC / Firebase | Hosting, Datenbank, Auth, Storage | USA — EU-US DPF + SCCs |
| Cloudflare, Inc. | DNS, CDN, WAF/DDoS-Schutz, TLS | USA — EU-US DPF |
| Stripe, Inc. | Abrechnung der SaaS-Gebühr | USA — EU-US DPF |
| 1blu AG | Hosting / Mailserver | DE/EU |
Zahlungsdienstleister für Endkundenzahlungen (z. B. PayPal, Mollie) werden vom Auftraggeber selbst beauftragt und über dessen eigene Konten genutzt; sie handeln bei der Zahlungsabwicklung als eigenständige Verantwortliche und sind daher keine Unterauftragsverarbeiter des Auftragnehmers.