AVV

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Gegenstand: Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch den Anbieter (Auftragnehmer) im Auftrag des Kunden (Verantwortlicher).

1. Gegenstand und Dauer des Auftrags

Der Auftragnehmer stellt dem Kunden die SaaS-Lösung Betterbus zur Verfügung. Dabei verarbeitet der Auftragnehmer personenbezogene Daten des Kunden zur Bereitstellung der Software-Funktionen (z.B. Verwaltung von Fahrern, Routen und Kunden). Die Dauer entspricht der Laufzeit des Hauptvertrages.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst die Erhebung, Speicherung und Nutzung von Daten innerhalb der Software-Infrastruktur des Anbieters. Zweck ist die Bereitstellung der vereinbarten SaaS-Leistung für den Betrieb des Reisebusunternehmens.

3. Kategorien betroffener Personen und Daten

  • Betroffene Personen: Mitarbeiter des Kunden (z.B. Busfahrer), Endkunden des Reisebusunternehmens (Fahrgäste).
  • Datenkategorien: Stammdaten (Namen, Adressen), Kontaktdaten, Planungsdaten (Routen, Zeiten), Kommunikationsdaten.

4. Technische und Organisatorische Maßnahmen (TOM)

Der Auftragnehmer sichert zu, folgende Maßnahmen zum Schutz der Daten umzusetzen:

  • Zutrittskontrolle: Hosting in zertifizierten Rechenzentren (ISO 27001) innerhalb der EU.
  • Zugangskontrolle: Passwortgeschützter Login, verschlüsselte Übertragung (SSL/TLS).
  • Verfügbarkeit: Regelmäßige Backups der Datenbank.
  • Trennungskontrolle: Mandantentrennung (Kunden können gegenseitig keine Daten einsehen).

5. Unterauftragsverhältnisse

Der Kunde stimmt zu, dass der Auftragnehmer Sub-Dienstleister für das Hosting (z.B. Hetzner oder ähnliche) einsetzt. Der Auftragnehmer stellt sicher, dass diese Dienstleister ebenfalls zur Einhaltung der DSGVO verpflichtet sind.

6. Weisungsgebundenheit

Der Auftragnehmer verarbeitet Daten nur im Rahmen des Vertrages und nach Weisung des Kunden.

7. Löschung von Daten

Nach Beendigung des Vertrages löscht der Auftragnehmer die Daten des Kunden nach Ablauf gesetzlicher Aufbewahrungsfristen.

Dieser AVV wird durch Bestätigung bei der Registrierung (Haken bei AGB/AVV) zwischen dem Kunden und der Alle Wetter GbR, Burgstraße 4, 24103 Kiel rechtswirksam geschlossen.