Dieser Vertrag über die Auftragsverarbeitung (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen des zwischen dem Kunden (nachfolgend "Verantwortlicher") und der Langenkamp Media, Inhaberin Heike Langenkamp, Dorfstraße 20D, 47239 Duisburg (nachfolgend "Auftragsverarbeiter") bestehenden Hauptvertrages über das Produkt "Maklerscreen".
Auftragsverarbeitungsvertrag
Acht Paragraphen plus TOM-Anhang nach Art. 28 Abs. 3 DSGVO. Mit Abschluss des Hauptvertrages automatischer Bestandteil unserer Geschäftsbeziehung.
Parteien und Geltungsbereich
Gegenstand, Zweck und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Rahmen des Hauptvertrages. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten, die vom Verantwortlichen bereitgestellt oder synchronisiert werden. Zweck der Verarbeitung ist die technische Bereitstellung, Steuerung und Auslieferung von Immobilien-Slideshows für Schaufenster-Displays über den Cloud-Service des Auftragsverarbeiters sowie die automatisierte Synchronisation mit dem CRM-System "Propstack" des Verantwortlichen.
(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages.
Kategorien von Daten und Kreis der Betroffenen
(1) Im Rahmen des Vertrages werden folgende Datenkategorien verarbeitet:
- Kunden- und Stammdaten des Verantwortlichen: Name, Firmenname, E-Mail-Adresse, Telefonnummer.
- Immobilien- und Objektdaten: Objekttitel, Beschreibungen, Kauf- und Mietpreise, Geodaten, interne Notizen, sofern diese automatisiert über die Schnittstellen synchronisiert werden.
- Bilddaten: Objektfotos, Grundrisse und Grafiken, auf denen gegebenenfalls Personen oder fahrzeugbezogene Kennzeichen erkennbar sein können.
- Personendaten Dritter: Namen, Kontaktdaten und Rollen von Eigentümern, Interessenten, Mietern oder Ansprechpartnern, soweit diese in den synchronisierten Datenfeldern oder Freitextnotizen aus Propstack enthalten sind.
(2) Der Kreis der betroffenen Personen umfasst: Kunden, Beschäftigte, Interessenten, Mieter, Vermieter, Käufer und Verkäufer des Verantwortlichen.
Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen (Art. 28 Abs. 3 S. 2 lit. a DSGVO).
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter setzt die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, wie sie im Anhang zu diesem Vertrag spezifiziert sind.
Unterauftragsverhältnisse
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.
(2) Aktuell ist der folgende Unterauftragsverarbeiter mit der Verarbeitung von Daten betraut:
Hinweis zur Transparenz: Das Analysetool Matomo wird vom Auftragsverarbeiter im Eigenbetrieb auf der Infrastruktur von Hetzner gehostet. Es findet insoweit keine Weitergabe an Dritte statt.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail. Der Verantwortliche kann binnen vierzehn Tagen nach Zugang der Benachrichtigung Widerspruch aus wichtigem datenschutzrechtlichem Grund erheben.
Rechte der Betroffenen und Unterstützungspflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (z. B. Auskunft, Löschung) nachzukommen.
(2) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn sich eine betroffene Person direkt an den Auftragsverarbeiter wendet.
Mitteilungspflichten bei Datenpannen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO geforderten Angaben.
Löschung und Rückgabe von Daten nach Vertragsbeendigung
(1) Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen die Daten im Rahmen einer Export-Funktion in der Verwaltungsoberfläche zum Download zur Verfügung.
(2) Der Auftragsverarbeiter wird alle in seinen Systemen verbleibenden Kopien der personenbezogenen Daten nach Ablauf von dreißig Tagen nach Vertragsende unwiderruflich und datenschutzkonform löschen (Hard-Delete), es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
Kontrollrechte
Der Verantwortliche hat das Recht, vor Beginn der Datenverarbeitung und danach regelmäßig Kontrollen zur Einhaltung dieses Vertrages durchzuführen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Auskünfte zu erteilen und Nachweise (z. B. Server-Zertifizierungen des Unterauftragsverarbeiters) zugänglich zu machen.
Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter sichert für seine Infrastruktur (gehostet bei der Hetzner Online GmbH) folgende Maßnahmen zu:
- Vertraulichkeit (Zutritts- und Zugangskontrolle): Absicherung der Rechenzentren durch Hetzner (ISO 27001). Verschlüsselte SSH-Schlüssel-Authentifizierung für administrative Zugriffe, striktes Passwort-Konzept, verschlüsselte HTTPS-Übertragung (TLS 1.3) aller API- und Slideshow-Daten.
- Integrität (Weitergabekontrolle): Protokollierung von Systemzugriffen, automatisierte Prüfung von Datenintegritäten bei der Propstack-Synchronisation.
- Verfügbarkeit und Belastbarkeit: Automatisierte tägliche Backups der Backend-Datenbanken mit verschlüsselter Ablagerung; Überwachung der Serverdienste (Downtime-Monitoring). Ausfallsicherer Kiosk-Modus auf der lokalen Hardware (Zwischenspeicherung im Cache).
- Verfahren zur regelmäßigen Überprüfung: Regelmäßiges Einspielen von Sicherheitsupdates (Patch-Management) auf den Linux-Host- und Box-Systemen.
Die Rechenzentren des Unterauftragsverarbeiters Hetzner Online GmbH sind vom TÜV Rheinland geprüft (ohne Beanstandung), nach ISO/IEC 27001 zertifiziert und mit einem BSI C5 Typ 2 Testat versehen. Die vollständigen technischen und organisatorischen Maßnahmen des Rechenzentrums stehen hier zum Download bereit: Technische und organisatorische Maßnahmen des Rechenzentrums (PDF).