Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Anlage 1 zu den AGB der Next Commerce GmbH.

Zwischen dem Kunden, wie im Hauptvertrag (AGB) bezeichnet, nachfolgend „Verantwortlicher", und der Next Commerce GmbH, Ahornweg 5, 97990 Weikersheim, HRB 748864, nachfolgend „Auftragsverarbeiter" (gemeinsam die „Parteien").

§ 1 Gegenstand, Dauer und Weisungsgebundenheit

(1) Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Dienste gemäß den AGB (Dealer Checkout, ListingShield) durchführt.

(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB). Er endet automatisch mit dessen Beendigung, vorbehaltlich der Pflichten gemäß § 9 (Löschung und Rückgabe).

(3) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und im Rahmen dieses AVV, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(4) Der Hauptvertrag und dieser AVV stellen die vollständige Weisung des Verantwortlichen dar. Einzelweisungen sind in Textform zu erteilen und werden vom Auftragsverarbeiter dokumentiert.

(5) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, kann er ihre Befolgung aussetzen und teilt dies dem Verantwortlichen unverzüglich mit.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Gegenstand und Zweck der Verarbeitung ergeben sich aus den AGB. Sie umfasst insbesondere die Vermittlung und Abwicklung von Bestellungen, die technische Abwicklung von Ersuchen nach § 356a BGB sowie die Speicherung, Übermittlung und Anzeige der zugehörigen Daten.

(2) Art der Verarbeitung: Erheben, Erfassen, Speichern, Organisieren, Anzeigen, Übermitteln, Bereitstellen, Löschen.

(3) Kategorien betroffener Personen:

• Endkunden / Besteller / Verbraucher,
• Mitarbeiter und Ansprechpartner des Verantwortlichen und der angebundenen Händler.

(4) Kategorien personenbezogener Daten:

• Stammdaten (Name, Anschrift, Lieferanschrift),
• Kontaktdaten (E-Mail, Telefon),
• Bestell- und Vertragsdaten,
• Zahlungsbezogene Daten (soweit nicht ausschließlich durch Stripe verarbeitet),
• im Rahmen von § 356a BGB übermittelte Angaben und beigefügte Belege,
• Nutzungs- und Protokolldaten.

(5) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der beauftragten Verarbeitung. Der Verantwortliche wird solche Daten nicht in die Dienste einstellen.

§ 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen dieses AVV und der Weisungen des Verantwortlichen.

(2) Der Auftragsverarbeiter verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO), soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter setzt die technischen und organisatorischen Maßnahmen gemäß Anlage A um und erhält sie für die Dauer des Vertrags aufrecht (Art. 32 DSGVO).

(4) Der Auftragsverarbeiter benennt dem Verantwortlichen auf Anfrage einen Ansprechpartner für Datenschutzfragen.

(5) Der Auftragsverarbeiter führt ein Verzeichnis der im Auftrag durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

§ 4 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Kapitel III DSGVO). Richtet eine betroffene Person ihr Ersuchen unmittelbar an den Auftragsverarbeiter, leitet dieser es unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und unterstützt ihn bei dessen Pflichten nach Art. 33 und 34 DSGVO.

§ 5 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter (Anlage 2 / Anlage B) sind in Anlage B aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in Textform mit einer Frist von mindestens 14 Tagen. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen.

(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter.

(4) Erfolgt eine Verarbeitung in einem Drittland, stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau sicher, insbesondere durch einen Angemessenheitsbeschluss oder durch Standardvertragsklauseln (Art. 44 ff. DSGVO).

§ 6 Kontrollrechte und Nachweise

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

(2) Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen (einschließlich Inspektionen), die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Der Nachweis kann auch durch geeignete Zertifizierungen, Testate oder aktuelle Prüfberichte erbracht werden.

(3) Vor-Ort-Prüfungen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten, höchstens einmal jährlich (sowie anlassbezogen) und unter Wahrung der Betriebsabläufe und Geheimhaltungsinteressen des Auftragsverarbeiters durchzuführen.

§ 7 Nutzung anonymisierter und aggregierter Daten; Verbesserung der Dienste

(1) Der Verantwortliche weist den Auftragsverarbeiter an und gestattet ihm, personenbezogene Daten zu verarbeiten, soweit dies zur Erbringung, zum sicheren Betrieb und zur Aufrechterhaltung der Dienste erforderlich ist, einschließlich der Gewährleistung der IT- und Datensicherheit sowie der Fehlerbehebung.

(2) Der Verantwortliche weist den Auftragsverarbeiter ferner an, personenbezogene Daten zu anonymisieren und/oder zu aggregieren. Anonymisierte und aggregierte Daten lassen keinen Rückschluss auf den Verantwortlichen, einzelne betroffene Personen oder einzelne Endkunden zu. Sie unterliegen nicht mehr dem Anwendungsbereich der DSGVO. Der Auftragsverarbeiter ist berechtigt, solche Daten zeitlich und räumlich unbeschränkt für eigene Zwecke zu nutzen, insbesondere zum Betrieb, zur Sicherheit, zur statistischen Auswertung, zur Weiterentwicklung und Verbesserung der Dienste sowie zur Erstellung von Markt- und Benchmark-Analysen. Dieses Recht besteht auch nach Beendigung des Vertrags fort.

(3) Eine Verarbeitung personenbezogener Daten zu Zwecken der Produktverbesserung erfolgt nur, soweit sie gesetzlich zulässig und mit den Zwecken nach Absatz 1 vereinbar ist. Im Übrigen erfolgt die Verbesserung der Dienste auf Grundlage anonymisierter und aggregierter Daten nach Absatz 2.

§ 8 Mitteilungs- und Informationspflichten

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich bei Kontroll- oder Auskunftsersuchen einer Aufsichtsbehörde, soweit diese sich auf die beauftragte Verarbeitung beziehen.

(2) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 9 Löschung und Rückgabe nach Beendigung

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.

(2) Daten, die der Auftragsverarbeiter aufgrund gesetzlicher Aufbewahrungspflichten weiter speichert, werden in ihrer Verarbeitung entsprechend eingeschränkt.

(3) Anonymisierte und aggregierte Daten gemäß § 7 Absatz 2 sind von der Löschungspflicht ausgenommen.

§ 10 Haftung

(1) Für die Haftung gilt Art. 82 DSGVO. Im Innenverhältnis gelten ergänzend die Haftungsregelungen des Hauptvertrags (AGB), soweit gesetzlich zulässig.

(2) Der Verantwortliche ist für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich (Art. 24, 28 Abs. 3 lit. a DSGVO).

§ 11 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen hinsichtlich der Verarbeitung personenbezogener Daten die Regelungen dieses AVV vor.

(2) Änderungen und Ergänzungen bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Weikersheim, soweit gesetzlich zulässig.

Anlage A: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Richtwerte (zu finalisieren in der anwaltlichen Endprüfung):

• Vertraulichkeit: Zutrittskontrolle (Rechenzentren der Unterauftragsverarbeiter, ISO-27001- bzw. SOC-2-zertifiziert), Zugangskontrolle (individuelle Benutzerkonten, MFA, rollenbasierte Rechte), Zugriffskontrolle (Least-Privilege, Protokollierung), Trennungskontrolle (mandantengetrennte Datenhaltung).
• Integrität: Verschlüsselung bei Übertragung (TLS) und Speicherung (at rest, u. a. private R2-Speicherung der Widerrufsbelege), Eingabe- und Weitergabekontrolle (Protokollierung).
• Verfügbarkeit und Belastbarkeit: Backups, Redundanz der Hosting-Infrastruktur, Wiederherstellungsverfahren.
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung: Datenschutz-Management, Incident-Response, Auftragskontrolle gegenüber Unterauftragsverarbeitern.

Anlage B: Unterauftragsverarbeiter (Stand bei Vertragsschluss)

Die aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird unter Unterauftragsverarbeiter (Anlage 2 / Anlage B) gepflegt und ist Bestandteil dieses AVV.