Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Bestandteil des Vertrags über die Nutzung von „Autegro“
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der Auto Freunde GmbH, Lindenberg 10, 82343 Pöcking, handelnd unter der Marke Autegro (nachfolgend „Auftragsverarbeiter“ oder „Anbieter“), geschlossen. Er ergänzt den zwischen den Parteien geschlossenen Hauptvertrag (AGB nebst Leistungsbeschreibung) um die datenschutzrechtlichen Regelungen und wird mit Vertragsschluss mitvereinbart. Der Verantwortliche ist Verantwortlicher im Sinne der DSGVO oder vom Verantwortlichen wirksam bevollmächtigt.
1. Gegenstand, Dauer und Weisungsbindung
(1) Gegenstand und Dauer der Verarbeitung entsprechen dem zugrunde liegenden Hauptvertrag (AGB). Die Verarbeitung endet mit Beendigung des Hauptvertrags nach Maßgabe von Ziffer 8.
(2) Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und im Rahmen des Hauptvertrags, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Anbieter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(3) Der Anbieter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
2. Art, Zweck und Umfang der Verarbeitung; Datenarten; betroffene Personen
Zweck der Verarbeitung: Bereitstellung der SaaS-Anwendung Autegro, insbesondere Synchronisation und Darstellung von Fahrzeugbestandsdaten sowie Entgegennahme und Weiterleitung von Anfragen (Leads) der Websitebesucher des Verantwortlichen, einschließlich der technischen Verarbeitung beim Laden des Snippets und der Validierung der einbettenden Domain.
Art der Verarbeitung: Erheben, Speichern, Strukturieren, Übermitteln (an den Verantwortlichen), Anzeigen, Löschen.
Kategorien personenbezogener Daten: Kontakt- und Anfragedaten der Anfragenden (z. B. Name, E-Mail-Adresse, Telefonnummer, Inhalt der Nachricht, Bezug zum angefragten Fahrzeug); technische Daten der Websitebesucher (z. B. IP-Adresse, Geräte-/Browserinformationen, ggf. Identifikatoren aus Cookies/Storage, sofern gesetzt); ggf. personenbezogene Bestandteile der Fahrzeugdaten.
Kategorien betroffener Personen: Websitebesucher und Interessenten des Verantwortlichen (potenzielle Käufer/Verkäufer); ggf. Beschäftigte/Ansprechpartner des Verantwortlichen.
3. Technische und organisatorische Maßnahmen (TOM)
Der Anbieter trifft die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Eine Beschreibung der Maßnahmen ist in Ziffer 7 enthalten. Der Anbieter darf die Maßnahmen im Laufe der Zeit weiterentwickeln, sofern das Schutzniveau nicht unterschritten wird.
4. Pflichten des Auftragsverarbeiters
(1) Vertraulichkeit: Der Anbieter verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Anbieter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
(3) Der Anbieter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Erfüllung der Melde- und Benachrichtigungspflichten erforderlichen Informationen bereit.
(4) Der Anbieter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (einschließlich Inspektionen) durch den Verantwortlichen oder einen beauftragten Prüfer in angemessenem Umfang; Nachweise können auch durch geeignete Zertifizierungen oder Prüfberichte erbracht werden.
5. Pflichten und Rechte des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen verantwortlich. Er erteilt Weisungen grundsätzlich in Textform und benennt weisungsberechtigte Personen.
6. Unterauftragsverarbeiter (Subunternehmer)
(1) Der Verantwortliche erteilt dem Anbieter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Der Anbieter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung/Austausch) vorab in Textform und räumt ein Widerspruchsrecht aus wichtigem Grund ein.
(2) Der Anbieter verpflichtet Subunternehmer auf ein dem vorliegenden AVV im Wesentlichen entsprechendes Datenschutzniveau.
(3) Zum Stand dieses AVV werden folgende Subunternehmer eingesetzt:
| Subunternehmer | Leistung / Zweck | Sitz / Verarbeitungsort | Drittland-Mechanismus |
|---|---|---|---|
| Vercel Inc. | Hosting/Bereitstellung der Anwendung | USA; Verarbeitung in Region Frankfurt (EU) | EU-US DPF bzw. EU-Standardvertragsklauseln – Status prüfen |
| Supabase Inc. | Datenbank-Hosting | USA; EU-Region (Frankfurt) konfigurieren | EU-US DPF bzw. SCC; EU-Region einstellen |
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung | Irland / USA | i. d. R. eigener Verantwortlicher; DPF/SCC prüfen |
| Postmark (ActiveCampaign LLC) | Versand transaktionaler E-Mails | USA | EU-US DPF bzw. SCC – prüfen |
| WhatsApp Ireland Ltd. / Meta Platforms Inc. | Support-Kommunikation (nur höhere Tarife) | Irland / USA | DPF/SCC – prüfen |
7. Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO)
(1) Vertraulichkeit: Verschlüsselung der Datenübertragung (TLS); verschlüsselte Speicherung sensibler Daten und der hinterlegten Drittquellen-Zugangsdaten [Verfahren ergänzen]; Zugangskontrolle über individuelle Benutzerkonten und Passwortrichtlinie [ggf. Zwei-Faktor-Authentifizierung]; rollenbasierte Zugriffskontrolle nach dem Need-to-know-Prinzip; Mandantentrennung (Trennungskontrolle).
(2) Integrität: Schutz vor unbefugter Veränderung; Protokollierung relevanter Verarbeitungsvorgänge [soweit vorhanden]; gesicherte Schnittstellen.
(3) Verfügbarkeit und Belastbarkeit: Hosting in der EU-Region (Frankfurt); regelmäßige Datensicherungen [Frequenz und Aufbewahrung ergänzen]; Maßnahmen zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.
(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen; Auftragskontrolle durch entsprechende Verträge mit Subunternehmern.
8. Löschung und Rückgabe nach Beendigung
Nach Beendigung der Verarbeitung löscht der Anbieter die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Es gilt die Frist gemäß § 13 Abs. 4 der AGB (30 Tage), soweit der Verantwortliche nicht zuvor Rückgabe oder sofortige Löschung verlangt.
9. Haftung, Sonstiges
(1) Für die Haftung gelten die Regelungen des Hauptvertrags sowie die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen hinsichtlich datenschutzrechtlicher Regelungen die Bestimmungen dieses AVV vor.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.