Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO

1. Gegenstand und Dauer

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der ManagerCloud (Hauptvertrag) ergeben. Die Dauer entspricht der Laufzeit des Hauptvertrages.

2. Art und Zweck der Verarbeitung

Zweck: Bereitstellung einer Cloud-Lösung zur Verwaltung von Geschäftsvorgängen, eRechnungen und Dokumenten.

Datenkategorien: Stammdaten, Kontaktdaten, Vertragsdaten, Rechnungs- und Buchungsdaten.
Betroffenenkreis: Kunden, Mitarbeiter, Lieferanten und Geschäftspartner des Kunden.

3. Pflichten des Anbieters (Auftragsverarbeiter)

  • Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden.
  • Gewährleistung der Vertraulichkeit (Verschwiegenheitspflicht des Personals).
  • Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO.
  • Unterstützung des Kunden bei Anfragen Betroffener und Aufsichtsbehörden.

4. Unterauftragsverhältnisse

Der Kunde genehmigt den Einsatz folgender Sub-Unternehmer:

Partner Leistung Ort
IONOS SE Cloud Hosting Deutschland
AWS (Amazon) Dokumentenspeicher Deutschland (Frankfurt)

Haftung

Es gelten die Haftungsregelungen des Hauptvertrages (AGB).

Anhang: Technische und Organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Hosting in zertifizierten Hochsicherheits-Rechenzentren (IONOS/AWS) mit biometrischen Kontrollen und Sicherheitsdienst.
  • Zugangskontrolle: Strenge Passwort-Richtlinien, Zwei-Faktor-Authentifizierung (2FA) für Administratoren, verschlüsselte Passwörter (Hashing).
  • Zugriffskontrolle: Berechtigungskonzept nach dem "Need-to-know"-Prinzip; Mitarbeiter haben nur Zugriff auf Daten, die zur Aufgabenerfüllung zwingend nötig sind.
  • Trennungskontrolle: Logische Trennung der Kundendatenbanken (Mandantentrennung), sodass kein Nutzer Daten anderer Kunden einsehen kann.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verschlüsselte Übertragung aller Daten über SSL/TLS. Speicherung von Dokumenten in AWS S3 mit serverseitiger Verschlüsselung (AES-256).
  • Eingabekontrolle: Protokollierung von Systemzugriffen und Änderungen zur Nachvollziehbarkeit.

3. Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Tägliche Backups mit verteilter Speicherung. Einsatz von Firewalls, DDoS-Schutz und Load-Balancing.
  • Wiederherstellbarkeit: Getestete Disaster-Recovery-Pläne zur schnellen Wiederherstellung nach Systemausfällen.

4. Verfahren zur regelmäßigen Überprüfung

Regelmäßige Software-Updates (Patch-Management), Penetrationstests der Anwendung und Überprüfung der AV-Verträge mit Sub-Unternehmern.

Wir verwenden Cookies, um die Website benutzerfreundlicher zu machen.

Mehr Details dazu in der Datenschutzerklärung