Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
1. Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden durch yappyBuy gemäß Art. 28 DSGVO.
1.2 Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Zwecke. Die Dauer entspricht der Vertragslaufzeit des jeweiligen Moduls.
2. Art und Zweck der Verarbeitung
2.1 Verarbeitet werden Daten, die im Rahmen der Nutzung der SaaS-Module erhoben werden, z. B. Kundendaten, Nutzungsdaten, Supportdaten.
2.2 Zweck der Verarbeitung ist die Bereitstellung und Verbesserung der vertraglich vereinbarten Module (z. B. Buddy Assistant, Buddy Reporter, Eazy Checkout).
3. Art der Daten und betroffene Personen
3.1 Es handelt sich insbesondere um:
• Kontaktdaten (z. B. E-Mail-Adressen, Namen),
• technische Nutzungsdaten (z. B. IP-Adressen, Logdaten),
• Inhalte der Nutzerkommunikation (z. B. Anfragen an Buddy Assistant).
3.2 Betroffene Personen sind Nutzer der Systeme des Kunden sowie dessen Kunden.
4. Rechte und Pflichten des Kunden
4.1 Der Kunde ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
4.2 Der Kunde ist verpflichtet, seine Informationspflichten gegenüber Betroffenen zu erfüllen und Einwilligungen, soweit erforderlich, eigenständig einzuholen.
5. Pflichten von yappyBuy
5.1 yappyBuy verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden.
5.2 yappyBuy verpflichtet alle mit der Verarbeitung befassten Mitarbeitenden auf Vertraulichkeit.
5.3 yappyBuy gewährleistet geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.
5.4 yappyBuy unterstützt den Kunden bei Betroffenenanfragen, bei Datenschutzvorfällen und bei datenschutzrechtlichen Prüfungen durch Aufsichtsbehörden.
6. Unterauftragsverhältnisse
6.1 yappyBuy setzt Unterauftragsverarbeiter (z. B. Hostinganbieter, IT-Dienstleister) ein. Eine aktuelle Liste ist unter www.yappybuy.com/de/auftragsverarbeitungsvertrag abrufbar.
6.2 Der Kunde wird über wesentliche Änderungen in der Liste informiert. Er kann innerhalb von 14 Tagen Einspruch einlegen. Erfolgt kein Einspruch, gilt die Änderung als genehmigt.
7. Löschung und Rückgabe personenbezogener Daten
7.1 Der Auftragnehmer ist nach Abschluss, der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftrag-geber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
7.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
7.3 Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren. Die Protokolle sowie ein Nachweis der Durchführung in schriftlicher Form sind dem Auftraggeber innerhalb von 72 Stunden nach Durchführung der Vorgänge zur Verfügung zu stellen.
8. Kontrolle und Nachweispflichten
8.1 yappyBuy ermöglicht dem Kunden angemessene Kontrollen (z. B. durch Einsicht in technische Dokumentation oder Audits nach Vorankündigung).
8.2 yappyBuy führt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und dokumentiert relevante Schutzmaßnahmen.
9. Weisung und Unterstützungspflichten des Auftragnehmers
9.1 Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.
9.2 Falls Weisungen, die unter Ziffer 1 der Anlage dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.
9.3 Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrages und anschließend noch für drei weitere Jahre aufzubewahren.
9.4 Der Auftragnehmer weist den Auftraggeber unverzüglich daraufhin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. So-fern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
9.5 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen.
9.6 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
9.7 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
9.8 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.
10. Datenschutz
10.1 Wir beachten die gesetzlichen datenschutzrechtlichen Bestimmungen, insbesondere die der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
10.2 Nähere Informationen erhalten Sie in unserer Datenschutzerklärung, abrufbar unter: https://www.yappybuy.com/de/datenschutz
10.3 Da wir hinsichtlich der Verarbeitung der vertragsgegenständlichen personenbezogenen Daten als Ihr Auftragsverarbeiter tätig werden, enthält Teil B dieser Vereinbarung einen Auftragsverarbeitungsvertrag zwischen Ihnen als Auftraggeber dieser Auftragsverarbeitung und uns als Auftragnehmer dieser Auftragsverarbeitung.
10.4 In Ihre Datenschutzhinweise / Datenschutzerklärung müssen Sie eine Information aufnehmen, die die Verarbeitungstätigkeit von yappyBuy als Auftragsverarbeiter beschreibt. Dazu stellen wir Ihnen gerne einen Textbaustein per E-Mail und als Information in Ihrem persönlichen Händlerportal als unverbindliches Muster zur Verfügung.
Der Datenschutzbeauftragte des Auftragnehmers ist:
PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München
E-Mail: datenschutzbeauftragter@datenschutzexperte.de
11. Technische und organisatorische Maßnahmen
11.1 Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO er-folgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.
11.2 Die vollständig ausgefüllte Vorlage für technische und organisatorische Maßnahmen in der Anlage oder ein eigenes Sicherheitskonzept des Auftragnehmers wird als verbindlich festgelegt. Die Auswahl zwischen diesen beiden Alternativen kann in Ziffer 5 der Anlage getroffen werden.
11.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage unter der Ziffer 5 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.
12. Informationspflichten des Auftragnehmers und Verletzung des Schutzes personenbezogener Daten
12.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Ver-stöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personenbezogener Daten betreffen.
12.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
12.3 Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden, beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich dar-über zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.
12.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich ab-stellen und den Auftraggeber darüber informieren.
12.5 Dieser Paragraf 12 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.
13. Schlussbestimmungen zum AVV
13.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.
13.2 Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben.
13.3 Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.
13.4 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.
yappyBuy GmbH
Kaiselsbergstraße 41
63808 Haibach
Deutschland
https://www.yappybuy.com
Johannes P. Hattingh
Geschäftsführer
Wenn Sie Fragen, Bedenken oder auch Klärungsbedarf haben, erreichen Sie uns unter: support@yappybuy.com oder telefonisch unter +49 6021 32 711 50. Wir sind während folgender Zeiten erreichbar: Montag bis Mittwoch von 09:00 Uhr bis 17:00 Uhr (MEZ) und Donnerstag und Freitag von 09:00 Uhr bis 12:00 (MEZ).