Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Allgemeinen Geschaeftsbedingungen zwischen SIMtrix ("Auftragsverarbeiter") und dem Kunden ("Verantwortlicher") und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der SIMtrix-Plattform. Dieser AVV gilt fuer die Dauer des Dienstleistungsvertrags und endet automatisch mit dessen Beendigung.

Verantwortlicher (Kunde): Bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Der Verantwortliche ist dafuer verantwortlich, die Rechtmaessigkeit der Datenerhebung sicherzustellen und den betroffenen Personen angemessene Datenschutzhinweise bereitzustellen. Auftragsverarbeiter (SIMtrix): Verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen und nur zum Zweck der Bereitstellung des Dienstes. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht zu anderen Zwecken.

Betroffene Personen: Mitarbeiter des Verantwortlichen, Kontakte, Leads und Kunden, wie sie im Bitrix24 CRM gespeichert sind. Datekategorien: Telefonnummern, Namen (soweit mit Telefonnummern in Bitrix24 verknuepft), SMS-Nachrichteninhalte (weitergeleitet), Anrufmetadaten (Nummern, Zeitstempel, Dauer), Gespraechsaufzeichnungen (falls aktiviert). Verarbeitungsvorgaenge: Weiterleitung von SMS-Nachrichten, Weiterleitung von Telefonie-Signalisierung, voruebergehende Speicherung und Weiterleitung von Gespraechsaufzeichnungen, Synchronisierung von Kontaktdaten mit Bitrix24.

Der Auftragsverarbeiter verpflichtet sich: (a) Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten; (b) Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben; (c) Geeignete technische und organisatorische Sicherheitsmassnahmen umzusetzen (siehe Abschnitt 6); (d) Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zu unterstuetzen; (e) Nach Beendigung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu loeschen oder zurueckzugeben; (f) Alle Informationen zur Verfuegung zu stellen, die zum Nachweis der Einhaltung erforderlich sind; (g) Ueberpruefungen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Pruefer zu ermoeglichen und daran mitzuwirken (mit angemessener Vorankuendigung und waehrend der Geschaeftszeiten).

Der Verantwortliche erteilt eine allgemeine Genehmigung fuer den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter. Aktuelle Unterauftragsverarbeiter: Hetzner Online GmbH — Serverhosting — Deutschland (EU) Stripe, Inc. — Zahlungsabwicklung — USA (SCCs) Google LLC (Firebase) — Push-Benachrichtigungen — USA (SCCs) 1C-Bitrix (Bitrix24) — CRM-Integration — Bitrix24-Region des Verantwortlichen Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage im Voraus ueber beabsichtigte Aenderungen bei den Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch gegen einen neuen Unterauftragsverarbeiter erheben.

Der Auftragsverarbeiter setzt die folgenden Massnahmen um: Verschluesselung: TLS 1.3 fuer Daten bei der Uebertragung; AES-256-GCM fuer sensible Daten im Ruhezustand (OAuth-Token, API-Schluessel). Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC); Mandantentrennung ueber PostgreSQL Row Level Security (RLS); JWT-basierte Authentifizierung. Infrastruktur: Dedizierter VPS in Deutschland; Docker-Containerisierung; automatische Sicherheitsupdates; Firewall-Regeln. Ueberwachung: Anwendungsfehler-Tracking; automatische Alarmierung bei Anomalien; regelmaessige Protokollpruefung. Sicherung: Taegliche verschluesselte Sicherungen mit 30-taegiger Aufbewahrung; getestete Wiederherstellungsverfahren. Personal: Vertraulichkeitsvereinbarungen; Schulungen zum Sicherheitsbewusstsein.

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter: (a) Den Verantwortlichen unverzueglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden der Verletzung benachrichtigen; (b) Folgende Informationen bereitstellen: Art der Verletzung, Kategorien und ungefaehre Anzahl der betroffenen Personen, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen zur Behebung der Verletzung; (c) Mit dem Verantwortlichen bei der Untersuchung und Eindaemmung der Verletzung zusammenarbeiten; (d) Alle Verletzungen dokumentieren, einschliesslich der Fakten, Auswirkungen und ergriffenen Abhilfemassnahmen.

Personenbezogene Daten werden innerhalb der EU (Deutschland) gespeichert und verarbeitet. Soweit Unterauftragsverarbeiter ausserhalb der EU eingesetzt werden, stellt der Auftragsverarbeiter sicher, dass geeignete Schutzmassnahmen getroffen werden, einschliesslich der von der Europaeischen Kommission verabschiedeten Standardvertragsklauseln (SCCs).

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den in den Allgemeinen Geschaeftsbedingungen festgelegten Beschraenkungen. Die Gesamthaftung des Auftragsverarbeiters im Rahmen dieses AVV ist auf die Betraege begrenzt, die der Verantwortliche in den 12 Monaten vor dem Ereignis, das den Anspruch begruendet, fuer den Dienst gezahlt hat.

Dieser AVV unterliegt dem Recht der Republik Polen und wird nach diesem ausgelegt. Die zustaendigen Gerichte in Polen haben die ausschliessliche Zustaendigkeit fuer etwaige Streitigkeiten aus diesem AVV.