Kostenloser AVV zur Auftragsverarbeitung

GEGENSTAND, ART, UMFANG, ZWECK UND DAUER

Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Verantwortlichen. Die Einzelheiten der Verarbeitung ergeben sich aus diesem AVV und dem zugrundeliegenden Leistungsvertrag.

Gegenstand: Hosting und Betrieb der Schadensmanagement-Plattform einschliesslich Applikationsserver, Datenbankserver, Dokumentenspeicher und Backup-System; Second-Level-Support; Release-Management und Einspielung von Updates
Zweck: Bereitstellung, Hosting und Wartung einer webbasierten Schadensmanagement-Plattform (SaaS) inkl. Datenbankverwaltung, Backups, Support-Hotline und Weiterentwicklung im Kundenauftrag. Die Plattform wird vom Verantwortlichen zur Abwicklung von Sach- und Haftpflichtschaeden eingesetzt.
Art der Verarbeitung: Erhebung, Speicherung, Abruf, Veraenderung, Offenlegung durch Uebermittlung, Verknuepfung, Sperrung, Loeschung und Vernichtung im Rahmen der vertraglich vereinbarten Leistung.
Dauer: Laufzeit des Hauptvertrags (SaaS-Rahmenvertrag vom 15.11.2024): 01.01.2025 bis 31.12.2027, mit stillschweigender Verlaengerung um jeweils 12 Monate, sofern nicht mit Frist von 6 Monaten gekuendigt
Datenarten: Stammdaten (Name, Adresse, Kontaktdaten); Vertragsdaten (Vertragsinhalte, Laufzeiten); Zahlungsdaten (Bankverbindung, Rechnungen); Nutzungsdaten (IP, Logdaten); Versicherungsnummer, Schadensdetails, Sachverstaendigen-Gutachten, Fotos, Korrespondenz mit Betroffenen und Dritten, IBAN fuer Entschaedigungszahlungen
Kategorien betroffener Personen: Versicherungsnehmer, Mitversicherte, Geschaedigte und Anspruchsteller, Zeugen, Sachverstaendige, Mitarbeiter der Werkstaetten

WEISUNGSBINDUNG

Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Uebermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.

Weisungen werden grundsaetzlich in Textform erteilt. Muendliche Weisungen sind vom Auftragnehmer unverzueglich zu dokumentieren. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen Datenschutzvorschriften verstoesst, hat er den Verantwortlichen unverzueglich darauf hinzuweisen und kann die Ausfuehrung der Weisung bis zur Klaerung verweigern (Art. 28 Abs. 3 UA 2 DSGVO).

VERTRAULICHKEIT

Der Auftragnehmer gewaehrleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO i.V.m. Art. 29 DSGVO).

Die Verpflichtungserklaerungen der mit der Verarbeitung betrauten Personen liegen beim Auftragnehmer vor und koennen vom Verantwortlichen auf Anforderung eingesehen werden. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort.

SICHERHEIT DER VERARBEITUNG

Der Auftragnehmer ergreift unter Beruecksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstaende und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken fuer die Rechte und Freiheiten natuerlicher Personen geeignete technische und organisatorische Massnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewaehrleisten (Art. 32 DSGVO). Dazu gehoeren insbesondere:

• Pseudonymisierung und Verschluesselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO);
• Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme (Art. 32 Abs. 1 lit. b DSGVO);
• rasche Wiederherstellbarkeit im Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO);
• regelmaessige Pruefung der Wirksamkeit der TOMs (Art. 32 Abs. 1 lit. d DSGVO).

Konkrete TOMs: ISO/IEC 27001:2022-Zertifizierung des Rechenzentrums; Verschluesselung ruhender Daten (AES-256); Transportverschluesselung TLS 1.3; Multi-Faktor-Authentifizierung fuer administrative Zugriffe; rollenbasiertes Berechtigungskonzept (Zero-Trust); Netzwerksegmentierung und Web-Application-Firewall; jaehrliche Penetrationstests durch externe Anbieter; automatisierte Schwachstellenscans; Incident-Response-Team mit 24/7-Bereitschaft; Backup-Konzept mit 3-2-1-Regel und 30-Tage-Retention; dokumentierte Loeschroutinen nach DIN 66398

Eine ausfuehrliche Beschreibung der TOMs ist als Anlage 1 diesem AVV beigefuegt und Vertragsbestandteil. Der Auftragnehmer kann die TOMs weiterentwickeln, darf jedoch das Schutzniveau nicht unterschreiten; wesentliche Aenderungen sind dem Verantwortlichen mitzuteilen.

EINSATZ VON UNTERAUFTRAGSVERARBEITERN

Der Auftragnehmer ist mit allgemeiner schriftlicher Ermaechtigung zum Einsatz weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) ermaechtigt. Er informiert den Verantwortlichen ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter (Art. 28 Abs. 2 S. 2 DSGVO). Der Verantwortliche kann binnen 14 Tagen nach Mitteilung schriftlich widersprechen; bei begruendetem Widerspruch wird der Auftragnehmer den beabsichtigten Unterauftragsverarbeiter nicht einsetzen oder alternative Massnahmen ergreifen.

Aktueller Bestand an Unterauftragsverarbeitern:
Hetzner Online GmbH, Gunzenhausen/DE — Rechenzentrumsleistungen (Colocation); noris network AG, Nuernberg/DE — Georedundantes Backup-Storage; 1und1 IONOS SE, Karlsruhe/DE — Managed E-Mail-Dienst fuer Support-Hotline

Vertragliche Kaskade (Art. 28 Abs. 4 DSGVO): Der Auftragnehmer verpflichtet den Unterauftragsverarbeiter zur Einhaltung derselben Datenschutzpflichten, die in diesem AVV festgelegt sind. Der Auftragnehmer haftet gegenueber dem Verantwortlichen fuer die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter.

Keine Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO sind Anbieter von reinen Hilfsleistungen (z.B. Post-, Telekommunikations-, Reinigungsdienste, Bewachung, Entsorgung), die keinen Zugriff auf personenbezogene Daten erhalten.

UEBERMITTLUNG IN DRITTLAENDER

Eine Uebermittlung personenbezogener Daten in Drittlaender oder an internationale Organisationen findet nicht statt. Die Verarbeitung erfolgt ausschliesslich innerhalb der EU bzw. des EWR. Eine Aenderung bedarf der vorherigen Zustimmung des Verantwortlichen in Textform.

UNTERSTUETZUNG BEI BETROFFENENRECHTEN

Der Auftragnehmer unterstuetzt den Verantwortlichen angesichts der Art der Verarbeitung nach Moeglichkeit mit geeigneten technisch-organisatorischen Massnahmen bei der Erfuellung seiner Pflicht zur Beantwortung von Antraegen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person (Art. 28 Abs. 3 lit. e DSGVO).

Dies umfasst die Rechte aus Art. 15 (Auskunft), Art. 16 (Berichtigung), Art. 17 (Loeschung), Art. 18 (Einschraenkung), Art. 20 (Datenuebertragbarkeit), Art. 21 (Widerspruch) und Art. 22 (automatisierte Entscheidungsfindung) DSGVO.

Richtet eine betroffene Person Anfragen direkt an den Auftragnehmer, leitet dieser die Anfrage unverzueglich (spaetestens binnen 48 Stunden) an den Verantwortlichen weiter. Der Auftragnehmer beantwortet solche Anfragen nicht selbst, es sei denn, dies ist ausdruecklich vom Verantwortlichen beauftragt.

MELDUNG VON DATENSCHUTZVERLETZUNGEN UND UNTERSTUETZUNG DES VERANTWORTLICHEN

Der Auftragnehmer unterstuetzt den Verantwortlichen bei der Einhaltung der Art. 32-36 DSGVO (Sicherheit, Meldung, Benachrichtigung, DSFA) unter Beruecksichtigung der Art der Verarbeitung und der ihm zur Verfuegung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).

Meldepflicht (Art. 33 DSGVO): Der Auftragnehmer meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzueglich, spaetestens jedoch 24 Stunden nach Kenntnisnahme. Die Meldung enthaelt mindestens:
• Beschreibung der Art der Verletzung (Umfang, Kategorien und ungefaehre Zahl betroffener Personen / Datensaetze);
• Name und Kontaktdaten des DSB oder einer anderen Anlaufstelle;
• Beschreibung der wahrscheinlichen Folgen der Verletzung;
• Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Minderung.

Datenschutz-Folgenabschaetzung (Art. 35 DSGVO): Sofern erforderlich, unterstuetzt der Auftragnehmer bei der DSFA und bei der vorherigen Konsultation der Aufsichtsbehoerde nach Art. 36 DSGVO.

LOESCHUNG UND RUECKGABE

Nach Abschluss der Erbringung der Verarbeitungsleistungen loescht der Auftragnehmer alle personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurueck, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).

Die Loeschung erfolgt in Uebereinstimmung mit anerkannten Standards (z.B. DIN 66398, BSI TR-03148) und wird dem Verantwortlichen schriftlich unter Angabe von Zeitpunkt, Umfang und eingesetztem Verfahren bestaetigt. Backup-Medien werden entsprechend dem Loeschkonzept innerhalb des ueblichen Backup-Zyklus geloescht.

AUDITS UND KONTROLLRECHTE

Der Auftragnehmer stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen einschliesslich Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Pruefer (Art. 28 Abs. 3 lit. h DSGVO).

Vor-Ort-Audits koennen mit einer Ankuendigungsfrist von mindestens 14 Tagen waehrend ueblicher Geschaeftszeiten durchgefuehrt werden. Sie sind auf die datenschutzrechtlich erforderlichen Bereiche zu beschraenken.

Akzeptierte Zertifizierungen und Audits: Der Auftragnehmer verfuegt ueber folgende Nachweise: ISO/IEC 27001:2022; BSI C5 Testat 2024 Type 2; TISAX Label AL3; PCI-DSS Level 1. Diese koennen als Nachweis der Einhaltung der TOMs anerkannt werden.

Kosten: Regulaere Audits traegt der Verantwortliche; Audits aufgrund eines konkreten Verdachts auf Pflichtverletzung mit entsprechenden Feststellungen traegt der Auftragnehmer.

DATENSCHUTZBEAUFTRAGTE

DSB des Verantwortlichen: Dr. Thomas Hartmann, datenschutz@stuttgarter-vv.de
DSB des Auftragnehmers: Nadine Keller, dsb@dataflow-it.de

Die Parteien haben — soweit nach Art. 37 DSGVO i.V.m. § 38 BDSG gesetzlich erforderlich — einen Datenschutzbeauftragten bestellt. Die Benennung erfolgte entsprechend den Vorgaben der Art. 37-39 DSGVO. Die Kontaktdaten sind der zustaendigen Aufsichtsbehoerde gemeldet.

HAFTUNG UND BUSSGELDER

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den allgemeinen gesetzlichen Vorschriften.

Aussenhaftung (Art. 82 Abs. 4 DSGVO): Verantwortlicher und Auftragnehmer haften gegenueber der geschaedigten Person als Gesamtschuldner. Die Partei, die den Schadensersatz geleistet hat, kann im Innenverhaeltnis den Teil des Schadensersatzes zurueckfordern, der dem Anteil des anderen an der Verantwortung entspricht (Art. 82 Abs. 5 DSGVO).

Haftungsverteilung im Innenverhaeltnis: Der Auftragnehmer haftet, soweit der Schaden auf einer Pflichtverletzung dieses AVV oder sonstiger Datenschutzvorschriften durch ihn beruht. Der Auftragnehmer stellt den Verantwortlichen insoweit frei.

Bussgelder (Art. 83 DSGVO): Verstoesse gegen die Pflichten aus Art. 28 DSGVO koennen mit Geldbussen bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschaeftsjahrs geahndet werden (Art. 83 Abs. 4 DSGVO). Bei Verstoessen gegen andere Grundsaetze (Art. 5, 6, 7, 9, 12-22 DSGVO) kann die Geldbusse bis zu 20.000.000 EUR oder 4% des Jahresumsatzes betragen (Art. 83 Abs. 5 DSGVO).

VERTRAGSSTRAFE BEI PFLICHTVERSTOESSEN

Bei schuldhafter, schwerwiegender Verletzung der Pflichten aus diesem AVV durch den Auftragnehmer — insbesondere bei Verletzung der Weisungsbindung, verspaeteter Meldung von Datenschutzverletzungen, unzulaessigem Drittlandtransfer oder unzulaessigem Einsatz von Unterauftragsverarbeitern — zahlt der Auftragnehmer eine Vertragsstrafe in Hoehe von 25.000,00 EUR pro Fall.

Die Geltendmachung eines weitergehenden Schadensersatzanspruchs bleibt unberuehrt (§ 340 Abs. 2 BGB); die Vertragsstrafe wird auf den Schadensersatzanspruch angerechnet. Bei geringfuegigen oder unverschuldeten Verstoessen ist die Vertragsstrafe nach den Grundsaetzen von Treu und Glauben herabzusetzen (§ 242 BGB).

Hinweis: Vertragsstrafen in AGB unterliegen der Inhaltskontrolle (§§ 305 ff. BGB) und muessen angemessen sein.

LAUFZEIT UND KUENDIGUNG

Dieser AVV gilt fuer die Laufzeit des zugrundeliegenden Leistungsvertrags und endet mit dessen Beendigung.

Ausserordentliche Kuendigung: Der Verantwortliche kann diesen AVV und den zugrundeliegenden Leistungsvertrag aus wichtigem Grund fristlos kuendigen, wenn der Auftragnehmer trotz Abmahnung gegen wesentliche Pflichten aus diesem AVV oder der DSGVO verstoesst oder Weisungen nicht umsetzt. Die Kuendigung bedarf der Schriftform.

Die Pflichten zur Vertraulichkeit und zur Rueckgabe/Loeschung der Daten gelten ueber das Ende dieses AVV hinaus.

ANWENDBARES RECHT UND GERICHTSSTAND

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Kollisionsnormen des Internationalen Privatrechts. Die Vorschriften der DSGVO und des BDSG bleiben unberuehrt. Gerichtsstand ist der Sitz des Verantwortlichen, soweit nach § 38 ZPO zulaessig.

SCHLUSSBESTIMMUNGEN

Vorrang des AVV: Bei Widerspruechen zwischen diesem AVV und anderen Vereinbarungen der Parteien hat dieser AVV Vorrang, soweit es um die Verarbeitung personenbezogener Daten geht. Anlagen: Bestandteil dieses AVV sind: (Anlage 1) Beschreibung der TOMs, (Anlage 2) Liste der Unterauftragsverarbeiter und ihre Verarbeitungsorte, (Anlage 3 — falls zutreffend) Standardvertragsklauseln bei Drittlandtransfer. Schriftform: Aenderungen und Ergaenzungen dieses AVV beduerfen der Schriftform (Art. 28 Abs. 9 DSGVO; die elektronische Form inkl. QES ist ausdruecklich zugelassen). Salvatorische Klausel: Sollte eine Bestimmung dieses AVV ganz oder teilweise unwirksam sein oder werden, so bleibt die Wirksamkeit der uebrigen Bestimmungen hiervon unberuehrt. Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am naechsten kommt. Ausfertigung: Dieser AVV wird in zweifacher Ausfertigung oder mit qualifizierter elektronischer Signatur erstellt; jede Partei erhaelt eine Ausfertigung.