Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien aus dem Hauptvertrag über die Nutzung der SaaS-Plattform SiFa Flow (im Folgenden: „Hauptvertrag"). Er ist Teil dieses Hauptvertrages.

Der Auftraggeber (Kunde) ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Firma Daniel Bauer (im Folgenden: „Auftragsverarbeiter") verarbeitet personenbezogene Daten im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

Auftragsverarbeiter:

Firma Daniel Bauer
(Anschrift gemäß Impressum unter /impressum)
E-Mail: kontakt@sifaflow.de

Auftraggeber: Der Kunde gemäß Hauptvertrag (siehe AGB, Stammdaten der Registrierung sowie ggf. einzelvertragliche Vereinbarung).

Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Plattform SiFa Flow zur Unterstützung des Auftraggebers im Arbeitsschutz und Gefahrstoffmanagement. Der Auftrag umfasst sämtliche im Hauptvertrag beschriebenen Leistungen.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages. Der AVV endet automatisch mit Beendigung des Hauptvertrages.

Der Auftragsverarbeiter verarbeitet die übermittelten personenbezogenen Daten ausschließlich zum Zweck der Erbringung der vertraglich geschuldeten Leistungen, insbesondere:

• Verwaltung von Mitarbeiterstammdaten und Qualifikationen
• Durchführung und Dokumentation von Unterweisungen, Begehungen und Gefährdungsbeurteilungen
• Speicherung und Auswertung von Erste-Hilfe-Dokumentation, Vorsorgeuntersuchungen und Mutterschutz-Daten (Art. 9 DSGVO)
• Verwaltung von Sicherheitsdatenblättern und Gefahrstoffkatastern
• Erstellung von Compliance-Reports und Audit-Logs
• Versand notwendiger Service- und System-E-Mails

Kategorien personenbezogener Daten:

• Stammdaten (Name, Personalnummer, Position, Standort)
• Kontaktdaten (geschäftliche E-Mail, Telefon)
• Qualifikationen, Schulungs- und Unterweisungsnachweise
• Daten zur Gesundheit (Art. 9 DSGVO): Vorsorgeuntersuchungen, Erste-Hilfe-Vorfälle, Mutterschutz-Bescheinigungen — soweit vom Auftraggeber eingegeben
• Nutzungs- und Login-Daten der Plattform-User

Kategorien betroffener Personen:

• Mitarbeitende des Auftraggebers
• Beauftragte externe Sicherheitsfachkräfte
• Mitarbeitende von Fremdfirmen, soweit vom Auftraggeber erfasst
• Ersthelfer und Notfall-Kontakte

Der Auftraggeber ist alleiniger Verantwortlicher im Sinne der DSGVO und entscheidet über Zwecke und Mittel der Verarbeitung. Er trägt insbesondere die Verantwortung für die Rechtmäßigkeit der Datenübermittlung an den Auftragsverarbeiter.

Der Auftraggeber ist berechtigt, dem Auftragsverarbeiter Weisungen schriftlich oder per E-Mail an kontakt@sifaflow.de zu erteilen.

Der Auftragsverarbeiter verpflichtet sich:

• Die Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers vorzunehmen (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherzustellen, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO)
• Die in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage 1, Abschnitt 13)
• Den Auftraggeber bei der Einhaltung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
• Den Auftraggeber unverzüglich zu informieren, falls eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO)
• Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO), sofern nicht eine gesetzliche Aufbewahrungspflicht besteht

Der Auftraggeber erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Inanspruchnahme der nachfolgend aufgeführten Subunternehmer. Der Auftragsverarbeiter informiert den Auftraggeber über geplante Änderungen schriftlich oder per E-Mail mit einer Frist von 30 Tagen vorab. Der Auftraggeber kann der Änderung innerhalb dieser Frist widersprechen.

Mit jedem Subunternehmer wurde ein eigener Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Dieser bindet die Subunternehmer auf identische Datenschutz­standards.

Eine Übermittlung in Länder außerhalb der EU/des EWR findet grundsätzlich nicht statt. Sollte eine Drittland-Übermittlung im Einzelfall erforderlich werden (z.B. wenn ein Subunternehmer Subdienste in Drittländern nutzt), erfolgt diese nur unter den Voraussetzungen der Art. 44 ff. DSGVO — insbesondere unter Verwendung der EU-Standardvertragsklauseln (SCC) oder einer anderen geeigneten Rechtsgrundlage.

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des Möglichen und Zumutbaren bei der Wahrnehmung der Rechte betroffener Personen (Art. 12–22 DSGVO), insbesondere bei Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs- und Datenübertragungsanfragen. Anfragen, die direkt an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich an den Auftraggeber weiter.

Der Auftragsverarbeiter meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 24 Stunden nach Kenntniserlangung. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO geforderten Angaben.

Der Auftragsverarbeiter weist die Einhaltung der in diesem Vertrag festgelegten Pflichten dem Auftraggeber gegenüber durch geeignete Mittel nach (z.B. durch Vorlage aktueller TOM-Dokumentation, Zertifikate des Hosting-Subunternehmers). Auf schriftliche Anforderung räumt der Auftragsverarbeiter dem Auftraggeber das Recht ein, sich vor Ort von der Einhaltung der getroffenen TOMs zu überzeugen — angemessene Vorankündigung (≥ 30 Werktage) und Geheimhaltungspflichten vorausgesetzt.

Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Auftraggeber sämtliche bei ihm vorhandenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung (Self-Service-Export im Dashboard). Spätestens 90 Tage nach Vertragsende werden alle personenbezogenen Daten unwiderruflich gelöscht. Davon ausgenommen sind Daten, für die eine gesetzliche Aufbewahrungspflicht besteht (z.B. Rechnungen nach § 14b UStG, 10 Jahre); diese werden bis zum Ablauf der Frist gesperrt aufbewahrt.

Folgende Maßnahmen werden gemäß Art. 32 DSGVO umgesetzt:

Vertraulichkeit

• Zutrittskontrolle: Hosting in zertifizierten Rechenzentren (Frankfurt, ISO 27001) — physischer Zugriff nur für authentifiziertes Personal
• Zugangskontrolle: Multi-Faktor-Authentifizierung, passwortbasierter Login mit Mindeststandards (≥ 12 Zeichen, Passwort-Rotations-Empfehlung)
• Zugriffskontrolle: Rollen- und Rechtekonzept mit Row-Level Security pro Mandant; Verschlüsselung sensibler Felder mit Step-up-Authentifizierung für Art. 9-Daten
• Pseudonymisierung von Logs und Sentry-Events

Integrität

• Weitergabekontrolle: TLS 1.3-Verschlüsselung (HTTPS) für sämtliche Datenübertragungen; HSTS mit 2 Jahren
• Eingabekontrolle: Vollständiges Audit-Log aller schreibenden Operationen (Time-Travel-fähig, Who/When/What/Diff)

Verfügbarkeit

• Verfügbarkeitskontrolle: Tägliche automatische Backups, geografisch redundant innerhalb der EU
• Trennbarkeit: Logische Mandantentrennung über Row-Level Security; keine Daten-Vermischung zwischen Mandanten

Belastbarkeit & Wiederherstellbarkeit

• Recovery-Zeit-Ziel (RTO): < 4 Stunden bei vollständigem System-Ausfall
• Recovery-Punkt-Ziel (RPO): < 24 Stunden Datenverlust
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit (jährliche TOM-Review)

Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO und den Bestimmungen des Hauptvertrages. Im Innenverhältnis haftet jede Partei für Schäden im Verhältnis ihres Verursachungs- oder Verschuldensanteils.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlich Gewollten am nächsten kommt.

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dieses Schriftformerfordernis kann nur durch eine schriftliche Vereinbarung aufgehoben werden.