Vertrag zur Auftragsverarbeitung (AVV)

— nachfolgend gemeinsam „Parteien" oder einzeln „Partei" genannt —

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der zwischen den Parteien geschlossenen Hauptvereinbarung über Webdesign-, Hosting- und Online-Marketing-Leistungen (insbesondere Website, Google-Bewertungs-System, Meta Ads).

Der AVV läuft auf unbestimmte Zeit und endet automatisch mit Beendigung der Hauptvereinbarung. Eine isolierte Kündigung dieses AVV ist nicht möglich.

Art der Verarbeitung: Erheben, Erfassen, Speichern, Auslesen, Anpassen, Übermitteln, Verbreiten, Bereitstellen, Löschen.

Zweck: Bereitstellung und Betrieb der Website, Versand von SMS/E-Mail-Bewertungsanfragen, Schaltung und Auswertung von Werbeanzeigen, Bearbeitung von Kontaktanfragen.

• Stammdaten: Name, Anschrift
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Termin- und Auftragsdaten der Endkunden des Auftraggebers (z. B. Datum des Salonbesuchs)
• Technische Nutzungsdaten der Website (IP-Adresse, User-Agent, Zeitstempel)
• Inhalte aus Kontaktformularen und Bewertungstexten

• Endkunden des Auftraggebers (Salon-Besucher)
• Interessenten und Anfragende über die Website
• Mitarbeitende des Auftraggebers (soweit Zugänge eingerichtet werden)

Der Auftragsverarbeiter verpflichtet sich, insbesondere:

• personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers zu verarbeiten;
• alle Personen, die zur Verarbeitung berechtigt sind, zur Vertraulichkeit zu verpflichten;
• die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM, Anlage 1) zu treffen;
• den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) zu informieren;
• den Auftraggeber bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO sowie bei Anfragen Betroffener zu unterstützen;
• nach Beendigung der Verarbeitung sämtliche personenbezogene Daten nach Wahl des Auftraggebers zurückzugeben oder zu löschen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Bei Drittlandtransfers (insb. USA) erfolgt die Übermittlung auf Basis von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Beabsichtigt der Auftragsverarbeiter, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende auszutauschen, informiert er den Auftraggeber in Textform mit einer Frist von mindestens 14 Tagen vorab. Der Auftraggeber kann der Änderung aus wichtigem Grund widersprechen.

Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und allein verantwortlich für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.

Der Auftraggeber ist berechtigt, sich von der Einhaltung dieses Vertrags und der TOM in angemessenem Umfang zu überzeugen, insbesondere durch Einholung von Auskünften oder Vorlage geeigneter Nachweise.

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen um:

• Verschlüsselte Datenübertragung (TLS) für Website und E-Mail
• Zugang zu Admin-Bereichen ausschließlich passwortgeschützt
• Starke Passwörter und – wo möglich – Zwei-Faktor-Authentifizierung
• Trennung von Produktiv- und Testumgebungen sowie pseudonymisierte Verarbeitung, soweit möglich
• Regelmäßige Datensicherungen durch die eingesetzten Hosting-Anbieter
• Berechtigungskonzept: Zugriff auf Kundendaten nur für den Auftragsverarbeiter selbst und vertraglich gebundene Subdienstleister
• Löschung nicht mehr benötigter Daten nach Ende des Auftragsverhältnisses

Es gilt Art. 82 DSGVO. Im Innenverhältnis haften die Parteien jeweils im Verhältnis ihres Verursachungsbeitrags.

Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Im Übrigen gelten die Bestimmungen der zwischen den Parteien geschlossenen Hauptvereinbarung sowie die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.