Auftragsverarbeitungsvertrag

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

Mit der Nutzung der Plattform „Paperless“ erklären Sie sich mit diesem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einverstanden.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag zwischen dem Nutzer (Verantwortlicher) und dem Betreiber der Plattform (Auftragsverarbeiter).

1. Vertragsparteien

Zwischen

[Dein Firmenname] 

[Adresse] 

(im Folgenden „Auftragsverarbeiter“)

und

dem jeweiligen Nutzer der Plattform (Unternehmen)

(im Folgenden „Verantwortlicher“)

wird dieser Vertrag geschlossen.

2. Gegenstand der Verarbeitung

Der Auftragsverarbeiter stellt eine Softwarelösung zur digitalen Dokumentenverarbeitung und Steuerung von Arbeitsabläufen zur Verfügung.

Die Verarbeitung umfasst insbesondere:

- Speicherung und Verarbeitung von Dokumenten 

- Verwaltung von Arbeitsabläufen 

- Zuweisung und Bearbeitung von Aufgaben 

- Archivierung von Daten 

3. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Nutzung der Plattform durch den Verantwortlichen.

4. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur:

- Bereitstellung der Plattform 

- Durchführung von Arbeitsprozessen 

- Bearbeitung und Verwaltung von Dokumenten 

5. Art der personenbezogenen Daten

Es können insbesondere folgende Daten verarbeitet werden:

- Name und Kontaktdaten 

- Unternehmensdaten 

- Inhalte aus Dokumenten 

- Nutzungsdaten 

- technische Daten (z. B. IP-Adresse) 

6. Betroffene Personen

- Mitarbeiter des Verantwortlichen 

- Geschäftspartner 

- Kunden 

- sonstige Personen, deren Daten verarbeitet werden 

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

- Daten nur im Rahmen dieses Vertrages zu verarbeiten 

- Daten vertraulich zu behandeln 

- angemessene technische und organisatorische Maßnahmen umzusetzen 

- Daten nicht unbefugt weiterzugeben 

8. Technische und organisatorische Maßnahmen

Zum Schutz der Daten werden geeignete Maßnahmen eingesetzt, insbesondere:

- verschlüsselte Datenübertragung (HTTPS) 

- Zugriffsbeschränkungen 

- Authentifizierungssysteme 

- regelmäßige Sicherheitsüberprüfungen 

9. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt zur Erbringung der Leistungen Unterauftragsverarbeiter ein, insbesondere:

- Base44 Inc. (USA) – Hosting und Plattforminfrastruktur 

- Stripe Payments Europe Ltd. (Irland) – Zahlungsabwicklung 

Base44 stellt die technische Infrastruktur, Datenverarbeitung und Speicherung für die Plattform bereit.

Die Verarbeitung erfolgt im Wesentlichen über die Systeme von Base44.

Alle eingesetzten Unterauftragsverarbeiter sind vertraglich verpflichtet, angemessene Datenschutzmaßnahmen gemäß DSGVO einzuhalten.

10. Datenübermittlung in Drittländer

Eine Verarbeitung personenbezogener Daten kann auf Servern außerhalb der Europäischen Union, insbesondere in den USA, erfolgen.

Die Übermittlung erfolgt ausschließlich unter Einhaltung der gesetzlichen Vorgaben gemäß Art. 44 ff. DSGVO.

Dabei werden geeignete Garantien eingesetzt, insbesondere:

- Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO 

- ggf. EU-US Data Privacy Framework 

- weitere zulässige Übermittlungsmechanismen 

11. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

- der Bearbeitung von Betroffenenanfragen 

- der Einhaltung gesetzlicher Datenschutzpflichten 

- der Meldung und Behandlung von Datenschutzvorfällen 

12. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages in angemessenem Umfang zu überprüfen.

13. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Datenschutzverletzungen.

14. Löschung von Daten

Nach Beendigung der Nutzung:

- werden personenbezogene Daten gelöscht 

- sofern keine gesetzlichen Aufbewahrungspflichten bestehen 

15. Vertraulichkeit

Alle Mitarbeiter des Auftragsverarbeiters sind zur Vertraulichkeit verpflichtet.

16. Verantwortlichkeit des Verantwortlichen

Der Verantwortliche ist dafür verantwortlich,

- personenbezogene Daten rechtmäßig zu erheben und zu verarbeiten 

- nur solche Daten in die Plattform einzustellen, deren Verarbeitung zulässig ist 

Der Auftragsverarbeiter übernimmt keine Prüfung der inhaltlichen Rechtmäßigkeit der verarbeiteten Daten.

17. Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland.

Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

Sollte eine Bestimmung dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.