Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ist Anlage 1 zu den Allgemeinen Nutzungsbedingungen von Hestia (nachfolgend „Hauptvertrag“) und ist integraler Bestandteil des Hauptvertrags. Er wird mit Vertragsschluss automatisch wirksam und bedarf keiner gesonderten Unterzeichnung. Im Fall von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.

Der AVV wird geschlossen zwischen der Nutzer:in als datenschutzrechtlich Verantwortlicher (nachfolgend „Verantwortliche“) und

als Auftragsverarbeiter (nachfolgend „Auftragsverarbeiter“).

Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag der Verantwortlichen im Rahmen der Nutzung von Hestia. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich zur Erbringung der im Hauptvertrag vereinbarten Leistungen (insbesondere Speicherung und Verwaltung von Klient:innendaten, Routenoptimierung und Terminverwaltung).

Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Endet der Hauptvertrag, endet auch dieser AVV, unbeschadet der in § 9 geregelten Pflichten zur Löschung und Rückgabe.

Art der Verarbeitung: Erheben, Erfassen, Speichern, Organisieren, Ordnen, Auslesen, Verwenden, Verändern und Löschen personenbezogener Daten innerhalb der SaaS-Anwendung sowie deren Übermittlung an die in Anhang 2 genannten Unterauftragsverarbeiter zum Zwecke der Leistungserbringung.

Zweck der Verarbeitung: Bereitstellung der vertraglich vereinbarten Funktionen von Hestia, insbesondere Klient:innenverwaltung, Routenoptimierung und Terminplanung.

Art der Daten:

• Stammdaten der Klient:innen (z. B. Name, Anschrift, Kontaktdaten),
• Termin- und Routendaten (z. B. geplante Besuche, Adressen, Zeitfenster),
• Versicherungs- und Statusangaben (z. B. gesetzlich/privat, Betreuungsstatus),
• besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten), soweit sich diese aus dem Betreuungskontext, dem Betreuungsstatus (z. B. „Schwanger“, „Wochenbett“) oder dem voraussichtlichen Entbindungstermin ergeben,
• von der Verantwortlichen definierte benutzerdefinierte Felder.

Kategorien betroffener Personen: von der Verantwortlichen betreute Klient:innen (insbesondere Schwangere und Wöchnerinnen) sowie ggf. deren Angehörige.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. Die im Hauptvertrag und in diesem AVV getroffenen Regelungen gelten als Erstweisung; die Nutzung der Funktionen der Anwendung durch die Verantwortliche stellt eine weitere Weisung dar.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er die Verantwortliche unverzüglich. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu ihrer Bestätigung oder Änderung auszusetzen.

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter weist die eingesetzten Personen auf die bestehenden datenschutzrechtlichen Verpflichtungen hin.

Der Auftragsverarbeiter trifft die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO. Die Maßnahmen unterliegen der technischen Weiterentwicklung; der Auftragsverarbeiter ist berechtigt, alternative, gleichwertige oder bessere Maßnahmen umzusetzen. Das vereinbarte Schutzniveau darf dabei nicht unterschritten werden.

Die Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Hinzuziehung der in Anhang 2 aufgeführten Unterauftragsverarbeiter.

Der Auftragsverarbeiter informiert die Verantwortliche über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und räumt der Verantwortlichen die Möglichkeit ein, gegen derartige Änderungen binnen einer angemessenen Frist Einspruch zu erheben. Im Fall eines berechtigten Einspruchs sind die Parteien um eine einvernehmliche Lösung bemüht; gelingt diese nicht, steht der Verantwortlichen ein Sonderkündigungsrecht zu.

Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind. Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, haftet der Auftragsverarbeiter gegenüber der Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

Der Auftragsverarbeiter unterstützt die Verantwortliche unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen bei

• der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO), insbesondere Auskunft, Berichtigung, Löschung und Datenübertragbarkeit, soweit dies nicht bereits über die Funktionen der Anwendung möglich ist,
• der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

Für Unterstützungsleistungen, die über das gesetzlich geschuldete Maß hinausgehen oder durch ein der Verantwortlichen zurechenbares Verhalten verursacht werden, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen.

Der Auftragsverarbeiter meldet der Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes der für die Verantwortliche verarbeiteten personenbezogenen Daten unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntniserlangung. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit diese dem Auftragsverarbeiter vorliegen. Die Meldepflichten gegenüber der Aufsichtsbehörde und gegenüber betroffenen Personen obliegen der Verantwortlichen.

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter nach Wahl der Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht eine Pflicht zur Speicherung nach dem Recht der Union oder der Mitgliedstaaten besteht.

Die Verantwortliche kann ihre Daten während der Vertragslaufzeit jederzeit über die in der Anwendung bereitgestellte Exportfunktion abrufen. Erfolgt keine abweichende Weisung, werden die Daten nach Ablauf einer angemessenen Frist (in der Regel 30 Tage nach Vertragsende) gelöscht. Backups werden im Rahmen der regulären Aufbewahrungs- und Löschzyklen entfernt.

Der Auftragsverarbeiter stellt der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die von der Verantwortlichen oder einer von dieser beauftragten Prüfer:in durchgeführt werden, und trägt zu diesen bei.

Der Nachweis kann vorrangig durch die Vorlage geeigneter Dokumentation, der Bestätigung der getroffenen technischen und organisatorischen Maßnahmen oder durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Zertifizierungen, Audit-Berichte der Unterauftragsverarbeiter) erfolgen. Vor-Ort-Kontrollen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen.

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Mandantentrennung auf Datenbankebene (Row Level Security): jeder Datensatz ist einem Nutzerkonto zugeordnet, der Zugriff ist technisch auf die jeweils berechtigte Nutzer:in beschränkt.
• Zugangskontrolle über persönliche, individuelle Anmeldedaten; Unterstützung der Zwei-Faktor-Authentifizierung (2FA).
• Rollen- und Berechtigungskonzept innerhalb von Organisationen; Zugriff von Mitarbeitenden des Auftragsverarbeiters auf Produktionsdaten nur nach dem Need-to-know-Prinzip.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Verschlüsselung der Datenübertragung über TLS (Transport Layer Security).
• Verschlüsselung der gespeicherten Daten (Encryption at rest) auf Ebene der Datenbank- und Hosting-Infrastruktur.
• Protokollierung sicherheitsrelevanter Ereignisse und Fehler.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

• Regelmäßige, automatisierte Sicherung der Daten (Backups) durch die Datenbank-/Hosting-Infrastruktur nach dem Stand der Technik.
• Möglichkeit der Wiederherstellung der Verfügbarkeit der Daten nach einem physischen oder technischen Zwischenfall.
• Bereitstellung einer Exportfunktion für die Verantwortliche zur eigenständigen Datensicherung.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Aktualisierung der eingesetzten Software und Abhängigkeiten.
• Auswahl der Unterauftragsverarbeiter unter Datenschutzgesichtspunkten und Einbindung über Auftragsverarbeitungsverträge.

Die folgenden Unterauftragsverarbeiter werden zur Erbringung der vertraglichen Leistungen eingesetzt:

Eine jeweils aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird auf Anfrage unter contact@3k-studios.com bereitgestellt.