Auftragsverarbeitungsvertrag (AVV)
Anlage 1 zu den AGB von LiraCore Management · Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ist Anlage 1 zu den Allgemeinen Geschäftsbedingungen für die Nutzung von LiraCore Management. Er konkretisiert die datenschutzrechtlichen Pflichten der Parteien für den Fall, dass der Kunde im Rahmen der Nutzung der Software personenbezogene Daten verarbeitet.
Kein gesondertes Unterschreiben erforderlich. Dieser AVV wird mit der Annahme der AGB – insbesondere im Rahmen der Bestellung von LiraCore Management – wirksam vereinbart. Eine handschriftliche Unterzeichnung ist nicht erforderlich; die elektronische Form ist gemäß Art. 28 Abs. 9 DSGVO ausreichend.
Parteien: Der Kunde ist datenschutzrechtlich Verantwortlicher (nachfolgend „Verantwortlicher"). Anbieter und Auftragsverarbeiter ist LiraCore, Inhaber Louis Riedel, Hessenweg 1, 02906 Niesky (nachfolgend „Auftragsverarbeiter").
§ 1 Gegenstand, Dauer und Zweck der Verarbeitung
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zweck der Bereitstellung und des Betriebs der Software LiraCore Management gemäß dem Nutzungsvertrag.
(2) Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Strukturieren, Auslesen, Verändern, Übermitteln innerhalb der Software sowie das Löschen personenbezogener Daten, die der Verantwortliche in die Software eingibt oder eingeben lässt.
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Eine Beendigung richtet sich nach § 9 dieses AVV.
§ 2 Art der Daten und Kategorien betroffener Personen
Art und Umfang der verarbeiteten Daten bestimmt der Verantwortliche durch seine Eingaben. Typischerweise werden verarbeitet:
Kategorien personenbezogener Daten:
- Stamm- und Kontaktdaten (z. B. Name, Anschrift, E-Mail, Telefon)
- Vertrags-, Auftrags- und Projektdaten
- Rechnungs- und Zahlungsdaten
- Zeiterfassungs- und Leistungsdaten
- Kommunikations- und Terminierungsdaten
Kategorien betroffener Personen:
- Kunden und Interessenten des Verantwortlichen
- Mitarbeiterinnen und Mitarbeiter des Verantwortlichen
- Lieferanten und sonstige Geschäftspartner
§ 3 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dieser AVV sowie die bestimmungsgemäße Nutzung der Software durch den Verantwortlichen gelten als Weisung. Weitere Weisungen erfolgen in Textform.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Durchführung einer solchen Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
(3) Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter
- verarbeitet die Daten nur im Rahmen dieses AVV und der Weisungen des Verantwortlichen;
- verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
- ergreift die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 8);
- unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei seinen Pflichten nach Art. 32–36 DSGVO;
- meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden;
- verarbeitet die Daten ausschließlich auf Servern innerhalb der Europäischen Union (Deutschland);
- benennt als Kontakt für Datenschutzanfragen: info@liracore.com.
§ 5 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Hinzuziehung der nachfolgend genannten Unterauftragsverarbeiter. Mit diesen bestehen Verträge, die ein dem vorliegenden AVV entsprechendes Datenschutzniveau gewährleisten (Art. 28 Abs. 4 DSGVO).
(2) Für den Grundbetrieb der Software werden folgende Unterauftragsverarbeiter eingesetzt:
Hetzner Online GmbH — Industriestr. 25, 91710 Gunzenhausen, Deutschland
Leistung: Hosting und Serverbetrieb · Standort: Deutschland
Stripe Payments Europe, Ltd. — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Leistung: Zahlungsabwicklung der Abonnements · Standort: Irland, ggf. USA (EU-Standardvertragsklauseln)
Twilio Inc. (SendGrid) — 375 Beale Street, Suite 300, San Francisco, CA 94105, USA
Leistung: Versand von System- und Transaktions-E-Mails · Standort: USA (EU-Standardvertragsklauseln)
(3) Ausschließlich soweit der Verantwortliche die jeweilige Funktion aktiv nutzt, werden zusätzlich folgende Unterauftragsverarbeiter eingesetzt:
OpenAI, L.L.C. — 3180 18th Street, San Francisco, CA 94110, USA
Leistung: KI-gestützte Textgenerierung (Social-Media-Funktion) · Standort: USA (EU-Standardvertragsklauseln)
Anthropic PBC — 548 Market Street, San Francisco, CA 94104, USA
Leistung: KI-gestützte Textgenerierung (Social-Media-Funktion) · Standort: USA (EU-Standardvertragsklauseln)
Meta Platforms Ireland Ltd. — 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
Leistung: Veröffentlichung von Beiträgen auf Facebook/Instagram (Social-Media-Funktion) · Standort: Irland, ggf. USA
OpenStreetMap Foundation (Nominatim) — St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich
Leistung: Kartendarstellung und Adress-Geocodierung (Karten-Funktion) · Standort: EU/Vereinigtes Königreich
(4) Bei der Nutzung von Diensten mit Sitz bzw. Verarbeitung in den USA (insbesondere Stripe, Twilio/SendGrid, OpenAI, Anthropic) wird ein angemessenes Datenschutzniveau über die EU-Standardvertragsklauseln sichergestellt.
(5) Beabsichtigt der Auftragsverarbeiter, einen Unterauftragsverarbeiter hinzuzuziehen oder zu ersetzen, informiert er den Verantwortlichen rechtzeitig in Textform. Der Verantwortliche kann einer Änderung innerhalb von zwei Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen.
§ 6 Unterstützung bei Betroffenenrechten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen nachzukommen.
(2) Wendet sich eine betroffene Person mit Ansprüchen auf Auskunft, Berichtigung, Löschung oder Einschränkung unmittelbar an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
§ 7 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung der Pflichten aus diesem AVV zu überprüfen. Der Auftragsverarbeiter stellt ihm hierzu auf Anfrage die erforderlichen Informationen und Nachweise zur Verfügung.
(2) Der Nachweis der technischen und organisatorischen Maßnahmen kann auch durch die Vorlage geeigneter Dokumentationen, aktueller Testate oder Zertifizierungen erbracht werden. Vor-Ort-Kontrollen sind mit angemessener Vorankündigung und während der üblichen Geschäftszeiten möglich, soweit erforderlich.
§ 8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik insbesondere folgende Maßnahmen:
- Verschlüsselung: Übertragung ausschließlich verschlüsselt (TLS/HTTPS); verschlüsselte Speicherung von Sicherungskopien.
- Zugangs- und Zugriffskontrolle: individuelle Benutzerkonten, rollenbasierte Berechtigungen, Schutz vor unbefugtem Zugriff; eingeschränkter, protokollierter Administrationszugriff.
- Mandantentrennung: logisch getrennte Datenbankschemata je Betrieb, sodass Daten verschiedener Kunden strikt voneinander getrennt verarbeitet werden.
- Pseudonymisierung: Einsatz, soweit nach Verarbeitungszweck möglich.
- Verfügbarkeit und Wiederherstellbarkeit: regelmäßige Datensicherungen; Maßnahmen zur raschen Wiederherstellung nach einem Zwischenfall.
- Standort: Verarbeitung und Speicherung auf Servern in Deutschland.
- Belastbarkeit und Überprüfung: regelmäßige Überprüfung, Bewertung und Aktualisierung der Schutzmaßnahmen.
§ 9 Löschung und Rückgabe nach Beendigung
(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht zur weiteren Speicherung verpflichtet.
(2) Der Verantwortliche kann seine Daten während der Vertragslaufzeit sowie innerhalb einer Frist von 30 Tagen nach Vertragsende in einem gängigen, maschinenlesbaren Format exportieren. Nach Ablauf dieser Frist werden die Daten gelöscht.
§ 10 Haftung und Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB ergänzend, soweit dieser AVV keine abweichende Regelung trifft.
(2) Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Verarbeitung personenbezogener Daten die Regelungen dieses AVV vor.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Die elektronische Form ist ausreichend (Art. 28 Abs. 9 DSGVO).
(4) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Fragen zum AVV oder Datenschutz?
Bei Fragen zur Auftragsverarbeitung oder zum Datenschutz bei LiraCore Management erreichen Sie uns jederzeit: