Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO. Regelt die Verarbeitung personenbezogener Daten, die der Nutzer (Verantwortlicher) über die Plattform durch Gagenheld (Auftragsverarbeiter) verarbeiten lässt – insbesondere die Daten der Kunden und Geschäftspartner des Nutzers. Dieser AVV ist Teil des Nutzungsvertrags (AGB) und wird mit dessen Abschluss wirksam.
1. Parteien
Verantwortlicher („Auftraggeber"): der Nutzer der Plattform Gagenheld (Unternehmer i. S. v. § 14 BGB), identifiziert über sein Plattform-Konto.
Auftragsverarbeiter („Auftragnehmer"): Max Blumentrath (Gagenheld), Strunder Feld 30, 51069 Köln, info@gagenheld.de.
2. Gegenstand, Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Plattform Gagenheld gemäß AGB. Die Dauer entspricht der Laufzeit des Nutzungsvertrags.
3. Art und Zweck der Verarbeitung, Datenarten, Betroffenenkategorien
Zweck: Speicherung und Verwaltung der vom Auftraggeber eingegebenen Geschäftsdaten zur Auftritts-, Angebots-, Rechnungs- und Finanzverwaltung.
Art der Verarbeitung: Erheben, Speichern, Ordnen, Auslesen, Verändern, Löschen sowie Erzeugen von Dokumenten (z. B. Rechnungen, Angebote).
Kategorien personenbezogener Daten:
- Stamm-/Kontaktdaten der Kunden des Auftraggebers (Name, Anschrift, E-Mail, Telefon),
- Vertrags-/Abrechnungsdaten (Leistungen, Beträge, ggf. Bankverbindung auf Belegen),
- in hochgeladenen Belegen/Dokumenten enthaltene personenbezogene Daten.
Kategorien betroffener Personen: Kunden, Auftraggeber und Geschäftspartner des Auftraggebers sowie ggf. in Belegen genannte Dritte.
Keine besonderen Kategorien nach Art. 9 DSGVO sind vorgesehen; gibt der Auftraggeber solche ein, geschieht dies in seiner Verantwortung.
4. Weisungsrecht
Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (einschließlich der Nutzung der Plattformfunktionen) sowie nach diesem Vertrag, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber.
5. Pflichten des Auftragnehmers
- Vertraulichkeit: Die Verarbeitung erfolgt ausschließlich durch den Inhaber; Dritte haben keinen Zugriff auf Auftraggeberdaten. Werden künftig weitere Personen eingesetzt, werden sie vorab schriftlich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4).
- Sicherheit der Verarbeitung (Art. 32): Umsetzung der in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM).
- Unterstützung: Unterstützung des Auftraggebers bei Betroffenenanfragen (Art. 12–23) und bei Pflichten nach Art. 32–36, soweit zumutbar und nötig.
- Meldung von Verletzungen: Unverzügliche Information des Auftraggebers bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2).
- Datengeheimnis/keine Zweckentfremdung: Keine Verarbeitung für eigene Zwecke.
6. Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Unterauftragsverarbeiter | Leistung | Sitz | Transfergrundlage |
|---|---|---|---|
| ALL-INKL.COM – Neue Medien Münnich | Hosting, Speicherung, Mailversand | Deutschland | — (EU) |
| Cloudflare, Inc. | Bot-/Missbrauchsschutz (Turnstile) | USA | SCC / DPF |
| Mapbox, Inc. | Kartenanzeige | USA | SCC / DPF |
| Anthropic PBC | KI-Beleg-/Dokumentauslesung (Claude-API) | USA | SCC / DPF |
Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) und räumt ein Widerspruchsrecht ein (Art. 28 Abs. 2). Mit jedem Unterauftragsverarbeiter bestehen Art.-28-konforme Vereinbarungen; mit all-inkl liegt ein AVV vor.
7. Betroffenenrechte, Kontrolle, Löschung
- Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten; an Betroffene gerichtete Anfragen leitet er an den Auftraggeber weiter.
- Nachweise/Kontrolle: Der Auftragnehmer stellt die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht Überprüfungen in angemessenem Rahmen (Art. 28 Abs. 3 lit. h). Der Nachweis erfolgt in der Regel durch Auskunft bzw. Selbstauskunft des Auftragnehmers (z. B. durch geeignete Bescheinigungen oder eine Beschreibung der nach Anlage 1 umgesetzten Maßnahmen). Vor-Ort-Überprüfungen sind nach rechtzeitiger vorheriger Ankündigung (in der Regel mit einer Frist von zwei Wochen), zu den üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs zulässig; sie können auf Kosten des Auftraggebers durch eine zur Verschwiegenheit verpflichtete Person erfolgen.
- Beendigung: Nach Vertragsende werden die Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die DB-pro-Mandant-Architektur erlaubt eine vollständige, isolierte Löschung/Herausgabe der Daten eines Auftraggebers.
8. Haftung
Es gelten die Haftungsregelungen des Nutzungsvertrags (AGB); Art. 82 DSGVO bleibt unberührt.
9. Schlussbestimmungen
Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen unberührt.
Anlage 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Mandantentrennung: Strikte Trennung der Daten je Auftraggeber durch eigene Datenbank pro Mandant (Database-per-Tenant) – keine geteilten Tabellen, isolierte Backups, isolierte Löschung.
Vertraulichkeit
- Verschlüsselte Speicherung personenbezogener Stammdaten (AES) in der Datenbank.
- Passwörter ausschließlich als bcrypt-Hash; optionale Zwei-Faktor-Authentifizierung (TOTP, Secret AES-verschlüsselt).
- Transportverschlüsselung HTTPS/TLS durchgängig; Session-Cookies
secure/httpOnly/SameSite. - Zugriffsschutz: Login-Gate, rollenbasierte Berechtigungen, Schutz vor automatisierten Angriffen (Login-Lockout, Cloudflare Turnstile).
Integrität & Verfügbarkeit
- Regelmäßige, je Mandant getrennte Backups.
- Schutz vor CSRF; serverseitige Validierung; zentrale Fehlerprotokollierung (30 Tage Aufbewahrung, ohne Argumentwerte in Stack-Traces).
- Secrets außerhalb des versionierten Codes; Hosting in einem deutschen Rechenzentrum (all-inkl).
Belastbarkeit & Wiederherstellbarkeit
Wiederherstellung aus Backups nach einem Vorfall.