PINKE PINKE
Weniger Bürro. Mehr Zeit.

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung gemäß Art. 28 DSGVO zur Verarbeitung personenbezogener Daten im Auftrag.

So wird dieser AVV abgeschlossen: Mit Abschluss des Hauptvertrages (Bestellung eines Tarifs unter Bestätigung der AGB und dieses AVV) im Online-Registrierungsformular kommt dieser AVV automatisch und untrennbar zum Hauptvertrag zustande. Eine gesonderte Unterschrift ist nicht erforderlich (§ 28 Abs. 9 DSGVO erlaubt elektronische Form).

Inhalt

  1. Parteien des Vertrages
  2. Gegenstand und Dauer der Verarbeitung
  3. Weisungsrecht des Verantwortlichen
  4. Pflichten des Auftragsverarbeiters
  5. Personal und Vertraulichkeit
  6. Technisch-organisatorische Maßnahmen
  7. Inanspruchnahme weiterer Auftragsverarbeiter (Subprozessoren)
  8. Unterstützung des Verantwortlichen
  9. Mitteilungspflichten bei Datenschutzverletzungen
  10. Kontrollrechte des Verantwortlichen
  11. Beendigung der Verarbeitung
  12. Haftung
  13. Schlussbestimmungen

Anlagen:

  1. Anlage 1 — Beschreibung der Verarbeitung
  2. Anlage 2 — Technisch-organisatorische Maßnahmen (TOMs)
  3. Anlage 3 — Subprozessoren-Liste (siehe /subprozessoren.html)

§ 1 Parteien des Vertrages

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO: der Kunde, der mit dem Anbieter den Hauptvertrag (Tarif-Buchung) abgeschlossen hat. Die konkreten Daten ergeben sich aus dem Kundenkonto.

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO:

[FIRMA_NAME_VOLLSTÄNDIG]
[STRASSE_HAUSNUMMER]
[PLZ_ORT_LAND]
E-Mail: hallo@pinkepinke.tools

§ 2 Gegenstand und Dauer der Verarbeitung

  1. Gegenstand der Verarbeitung sind die Tätigkeiten, die der Auftragsverarbeiter zur Erfüllung des Hauptvertrages über die Bereitstellung der Software „PINKE PINKE" erbringt (siehe Anlage 1).
  2. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages und umfasst die nach Vertragsende erforderlichen Tätigkeiten zur Datenrückgabe oder -löschung.

§ 3 Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung in ein Drittland oder an eine internationale Organisation, sofern nicht eine zwingende Rechtsvorschrift der Union oder eines Mitgliedstaates ihn hierzu verpflichtet.
  2. Die Nutzung der Software gemäß den vereinbarten Funktionen gilt als generelle Weisung des Verantwortlichen.
  3. Weitere Weisungen werden in Textform (z. B. E-Mail an hallo@pinkepinke.tools) erteilt.
  4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

§ 4 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zu den im Hauptvertrag und in Anlage 1 festgelegten Zwecken.
  2. Er stellt sicher, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Er ergreift die in Art. 32 DSGVO geforderten Maßnahmen (siehe Anlage 2).
  4. Er hält die Voraussetzungen für die Inanspruchnahme weiterer Auftragsverarbeiter ein (siehe § 7).
  5. Er unterstützt den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflichten zur Beantwortung von Anträgen Betroffener.

§ 5 Personal und Vertraulichkeit

  1. Der Auftragsverarbeiter setzt für die Verarbeitung nur Personen ein, die schriftlich auf Vertraulichkeit verpflichtet wurden bzw. einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  2. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Tätigkeit fort.
  3. Der Auftragsverarbeiter stellt sicher, dass das eingesetzte Personal in den geltenden Datenschutzbestimmungen unterwiesen ist.

§ 6 Technisch-organisatorische Maßnahmen (TOMs)

  1. Der Auftragsverarbeiter trifft die in Anlage 2 spezifizierten technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO.
  2. Die TOMs werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst. Eine Verschlechterung des Sicherheitsniveaus ist nicht zulässig.

§ 7 Inanspruchnahme weiterer Auftragsverarbeiter (Subprozessoren)

  1. Der Verantwortliche erteilt mit Vertragsschluss generelle Genehmigung zur Inanspruchnahme weiterer Auftragsverarbeiter (Subprozessoren) nach Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subprozessoren sind in Anlage 3 (/subprozessoren.html) gelistet und werden hiermit ausdrücklich genehmigt.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Frist von mindestens 30 Tagen vor der Änderung. Dem Verantwortlichen steht das Recht zu, gegen derartige Änderungen Einspruch zu erheben.
  3. Im Falle eines berechtigten Einspruchs ist der Auftragsverarbeiter berechtigt, alternativ zur Beauftragung des betreffenden Subprozessors den Vertrag mit einer Frist von 30 Tagen zum Monatsende zu kündigen. Bereits gezahlte Entgelte werden anteilig erstattet.
  4. Der Auftragsverarbeiter erlegt jedem Subprozessor mindestens dieselben Datenschutz-Pflichten auf, die ihm selbst durch diesen AVV obliegen, insbesondere durch Abschluss eines AVV mit dem Subprozessor.
  5. Bei Subprozessoren in Drittländern stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau sicher, etwa durch EU-Standardvertragsklauseln (SCCs) oder durch Inanspruchnahme von Anbietern unter dem EU-US Data Privacy Framework (DPF).

§ 8 Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung sowie der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere:
    • Sicherheit der Verarbeitung
    • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
    • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen
    • Datenschutz-Folgenabschätzung
    • vorherige Konsultation der Aufsichtsbehörde
  2. Der Auftragsverarbeiter darf für diese Unterstützungsleistungen ein angemessenes Entgelt nach tatsächlichem Aufwand verlangen, soweit der Aufwand über das übliche Maß hinausgeht.

§ 9 Mitteilungspflichten bei Datenschutzverletzungen

  1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich — möglichst innerhalb von 72 Stunden nach Bekanntwerden — über Verletzungen des Schutzes personenbezogener Daten, die im Verantwortungsbereich des Auftragsverarbeiters oder eines von ihm eingesetzten Subprozessors aufgetreten sind.
  2. Die Mitteilung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben.
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Meldepflichten gegenüber der Aufsichtsbehörde und Betroffenen.

§ 10 Kontrollrechte des Verantwortlichen

  1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
  2. Der Verantwortliche oder ein von ihm beauftragter Prüfer ist berechtigt, Überprüfungen — einschließlich Inspektionen — durchzuführen. Audits werden mit angemessener Vorankündigung (mindestens 30 Tage) und während üblicher Geschäftszeiten durchgeführt und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.
  3. Der Auftragsverarbeiter darf alternativ den Nachweis der Einhaltung durch geeignete Zertifizierungen oder aktuelle Prüfberichte (z. B. ISO 27001, SOC 2, BSI C5) erbringen.
  4. Audit-Kosten — auch von Subprozessoren — trägt der Verantwortliche, sofern nicht beim Audit ein Verstoß des Auftragsverarbeiters festgestellt wird.

§ 11 Beendigung der Verarbeitung

  1. Nach Beendigung des Hauptvertrages und nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht eine Verpflichtung zur weiteren Speicherung nach dem Recht der Union oder eines Mitgliedstaats besteht.
  2. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Datenexporte werden auf Wunsch des Verantwortlichen vor Löschung in einem strukturierten, gängigen, maschinenlesbaren Format zur Verfügung gestellt.
  3. Backups werden im Rahmen der dokumentierten Backup-Aufbewahrungsfristen (siehe Anlage 2) routinemäßig überschrieben.

§ 12 Haftung

  1. Im Außenverhältnis haftet jede Partei nach den Vorgaben von Art. 82 DSGVO.
  2. Im Innenverhältnis gilt zwischen den Parteien: Hat der Auftragsverarbeiter Schadensersatz an einen Betroffenen geleistet, kann er vom Verantwortlichen den Anteil verlangen, der dem Verantwortungsbereich des Verantwortlichen zuzurechnen ist, und umgekehrt.
  3. Die Haftungsbeschränkungen der AGB des Hauptvertrages gelten ergänzend, soweit dies gesetzlich zulässig ist.

§ 13 Schlussbestimmungen

  1. Dieser AVV ist integraler Bestandteil des zwischen den Parteien geschlossenen Hauptvertrages über die Nutzung der Software „PINKE PINKE".
  2. Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
  3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
  4. Es gilt deutsches Recht. Gerichtsstand und Erfüllungsort entsprechen den Regelungen des Hauptvertrages.

Anlage 1 — Beschreibung der Verarbeitung

Gegenstand und Zweck der Verarbeitung

Bereitstellung einer SaaS-Lösung zur sprachbasierten Erstellung von Angeboten im Handwerksbereich (Angebote via Sprache für Fliesenleger und verwandte Gewerke).

Art der Verarbeitung

Datenkategorien (Endkunden des Verantwortlichen)

Kategorien betroffener Personen

Verarbeitungsorte

Hauptverarbeitung: [REGION_RAILWAY_z.B._EU_FRANKFURT]. Subprozessoren: gemäß Anlage 3.

Dauer der Verarbeitung

Für die Dauer des Hauptvertrages zuzüglich der Frist zur Datenrückgabe oder -löschung gemäß § 11 dieses AVV.

Anlage 2 — Technisch-organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Hosting bei zertifizierten Rechenzentrumsbetreibern (Railway, Cloudflare) mit physischer Zugangskontrolle, Videoüberwachung und 24/7-Sicherheit. Keine eigenen physischen Server.

Zugangskontrolle: Authentifizierung via E-Mail + Passwort. Passwörter werden mit bcrypt gehasht (Cost-Faktor 12). Session-Token (JWT) mit 30-tägiger Gültigkeit. Brute-Force-Schutz auf Login-Endpunkten via Rate-Limiting.

Zugriffskontrolle: Rollenbasierte Berechtigungen (User, Admin). Datenbankzugriff nur über parametrisierte Queries (Schutz vor SQL-Injection). Admin-Funktionen geschützt durch separates Secret. Datenbank-Berechtigungen folgen dem Prinzip der minimalen Rechtevergabe.

Trennungskontrolle: Mandantentrennung durch user_id-Foreign-Key in allen Datentabellen. Jeder Datenzugriff erfolgt mit User-Scope-Filter.

Pseudonymisierung: Personenbezogene Daten werden in Logs durch User-IDs statt Klarnamen referenziert. Backups verschlüsselt.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: Alle Datenübertragungen via TLS 1.2+ (HTTPS, WSS). PostgreSQL-Verbindung TLS-verschlüsselt. API-Antworten ausschließlich über autorisierte Endpunkte.

Eingabekontrolle: Audit-Trails durch created_at- und updated_at-Felder in allen relevanten Tabellen. Server-Logs erfassen alle API-Anfragen (Endpunkt, User-ID, Zeitstempel, Status).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Backup: Automatische tägliche Backups der Datenbank durch den Hosting-Provider. Aufbewahrung 30 Tage rollierend.

Disaster Recovery: Wiederherstellung der Daten aus Backups innerhalb von 24 Stunden möglich.

Verfügbarkeit: Ziel-Verfügbarkeit 99 % im Jahresmittel.

Schutz vor schädlichen Code: Abhängigkeitsverwaltung mit automatisierten Sicherheitsupdates (npm audit, Dependabot).

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Regelmäßige Überprüfung der TOMs (mindestens jährlich). Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO wird geführt.

Incident-Response: Definierter Prozess zur Identifikation, Eindämmung und Mitteilung von Sicherheitsvorfällen. Meldepflicht innerhalb 72 Stunden gemäß Art. 33 DSGVO wird eingehalten.

Auftragskontrolle: Mit allen Subprozessoren bestehen AVVs nach Art. 28 DSGVO oder gleichwertige vertragliche Verpflichtungen.

5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Hinweis: Die hier dokumentierten TOMs entsprechen dem aktuellen Stand. Sie werden regelmäßig überprüft und bei Bedarf aktualisiert. Bei Änderungen mit wesentlichen Auswirkungen auf das Sicherheitsniveau wird der Verantwortliche informiert.

Anlage 3 — Subprozessoren

Die aktuelle Liste eingesetzter Subprozessoren ist abrufbar unter:

www.pinkepinke.tools/subprozessoren.html

Auf dieser Seite werden Name, Anschrift, Verarbeitungszweck, Verarbeitungsort sowie die Rechtsgrundlage etwaiger Drittlandtransfers (DPF, SCC) für jeden Subprozessor offengelegt. Änderungen werden dem Verantwortlichen gemäß § 7 Abs. 2 dieses AVV vorab mitgeteilt.

Stand: [DATUM_LETZTE_ÄNDERUNG] · Version: [VERSION_z.B._1.0]