Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

§ 1 Vertragsparteien und Gegenstand

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Nutzer als Verantwortlichem und Andre Lommel als Auftragsverarbeiter.

Gegenstand der Verarbeitung: Bereitstellung der Digital-Signage-SaaS-Anwendung „einfach-display" und Verarbeitung der dabei anfallenden personenbezogenen Daten.

§ 2 Art der verarbeiteten Daten

• Benutzerdaten (Name, E-Mail-Adresse)
• Kalender-Daten (Termine, Beschreibungen, Teilnehmer)
• Slide-Inhalte (Texte, Bilder, URLs)
• Kontaktdaten für Benachrichtigungen (Telefonnummer, Telegram-ID)

§ 3 Pflichten des Auftragsverarbeiters

• Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen verarbeiten
• Vertraulichkeit der Daten gewährleisten
• Technisch-organisatorische Maßnahmen (TOMs) implementieren und aufrechterhalten
• Daten nach Vertragsende löschen oder zurückgeben
• Verantwortlichen bei der Einhaltung der DSGVO unterstützen

§ 4 Technisch-Organisatorische Maßnahmen (TOMs)

• Verschlüsselung: HTTPS/TLS für alle Übertragungen, verschlüsselte CalDAV-Zugangsdaten
• Zugangskontrollen: Starke Passwörter, Bcrypt-Hashing, Session-Management
• Datentrennung: Mandanten-getrennte Datenhaltung (user_id-Scoping)
• Audit-Logs: Protokollierung aller sicherheitsrelevanten Aktionen
• Backup: Regelmäßige verschlüsselte Backups, 6-Monate-Retention
• Hosting: Server in Deutschland mit zertifiziertem Rechenzentrum

§ 5 Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

• Hosting-Anbieter: Server in Deutschland (AVV vorhanden)
• seven communications GmbH & Co. KG (Köln): SMS-Versand (AVV vorhanden)

§ 6 Löschung nach Vertragsende

Nach Kündigung des Hauptvertrages werden alle personenbezogenen Daten innerhalb von 30 Tagen aus den produktiven Systemen gelöscht. Backup-Daten werden nach spätestens 6 Monaten gelöscht.