Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

(2) Der Auftragsverarbeiter stellt die webbasierte Anwendung „Provisionsmanager“ (erreichbar unter www.provisionsmanager.com) zur Verfügung. Der Dienst ermöglicht die Verwaltung von Provisionsdaten, Kundenkontakten und Verkaufsunterlagen.

(3) Die Laufzeit dieses AVV entspricht der Dauer der Nutzung des Dienstes. Mit Beendigung der Nutzung oder Löschung des Benutzerkontos endet auch dieser AVV.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung des Dienstes „Provisionsmanager“, insbesondere:

• Speicherung und Anzeige von Provisionsdaten (Kundennamen, Fahrzeugdaten, Provisionsbeträge)
• Erstellung und Verwaltung von Kundenkarten
• Weiterleitung von Kundenunterlagen per E-Mail (ohne serverseitige Speicherung)
• Verwaltung von Checklisten und Verkaufsprozessen

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden im Auftrag verarbeitet:

• Kundendaten des Verantwortlichen: Vor- und Nachname, Fahrzeugdaten, ggf. Firmennamen
• Verkaufsdaten: Provisionshöhe, Zahlungsart, Auftragsnummern, VIN
• Unterlagen: Vom Kunden hochgeladene Dokumente (werden ausschließlich in-memory verarbeitet und sofort per E-Mail weitergeleitet, keine Speicherung)
• Kontaktdaten: Geschäftliche E-Mail und Telefonnummer des Verkäufers

§ 4 Kategorien betroffener Personen

• Kunden des Verantwortlichen (Autokäufer)
• Der Verantwortliche selbst (Autoverkäufer / Nutzer des Dienstes)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (die Weisung ergibt sich aus der bestimmungsgemäßen Nutzung des Dienstes)
• Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
• Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
• Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
• Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz personenbezogener Daten implementiert:

Zutrittskontrolle

• Serverseitige Infrastruktur bei Supabase Inc. (AWS eu-west-1, Irland)
• Physischer Zugang nur für autorisiertes AWS-Personal

Zugangskontrolle

• Authentifizierung über Supabase Auth mit kryptographisch gehashten Passwörtern
• Session-Tokens werden bei jedem Request erneuert
• Mindestpasswortlänge von 8 Zeichen

Zugriffskontrolle

• Row Level Security (RLS) auf allen Datenbanktabellen
• Jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten
• Service-Role-Keys ausschließlich serverseitig im Einsatz

Weitergabekontrolle

• TLS/SSL-Verschlüsselung aller Datenübertragungen
• Kundenunterlagen werden ausschließlich in-memory verarbeitet und per verschlüsselter E-Mail-Verbindung weitergeleitet
• Keine Speicherung hochgeladener Dokumente auf dem Server

Eingabekontrolle

• Alle Datenänderungen sind dem authentifizierten Nutzer zugeordnet
• Zeitstempel bei Erstellung und Änderung von Datensätzen

Verfügbarkeitskontrolle

• Hosting bei AWS mit automatischen Backups
• Redundante Datenspeicherung durch Supabase

Trennungskontrolle

• Mandantentrennung durch Row Level Security (jeder Nutzer ist ein separater Mandant)
• Logische Trennung der Daten auf Datenbankebene

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

§ 8 Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

• Weisungen bezüglich der Datenverarbeitung zu erteilen
• Auskunft über die verarbeiteten Daten zu verlangen
• Die Löschung aller Daten zu verlangen (über die Einstellungen im Dienst oder per E-Mail)
• Den Export aller Daten im maschinenlesbaren Format (CSV) durchzuführen
• Die Einhaltung der TOM zu überprüfen (auf Anfrage)

§ 9 Meldepflichten

(1) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 und 34 DSGVO (Meldung von Datenschutzverletzungen).

§ 10 Löschung und Rückgabe

(1) Nach Beendigung der Nutzung des Dienstes werden alle personenbezogenen Daten des Verantwortlichen gelöscht. Dies geschieht automatisch bei Löschung des Benutzerkontos.

(2) Der Verantwortliche kann vor der Löschung einen vollständigen Datenexport (CSV) über die Einstellungen des Dienstes durchführen.

(3) Die Löschung erstreckt sich auf alle Tabellen und Datensätze, die dem Nutzer zugeordnet sind, einschließlich Provisionen, Profildaten, Zusatzprodukte und Community-Beiträge.

§ 11 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Durch die Nutzung des Dienstes „Provisionsmanager“ erklärt sich der Verantwortliche mit den Bedingungen dieses AVV einverstanden.

Kontakt

Bei Fragen zu diesem AVV oder zur Datenverarbeitung:
E-Mail: Info@myclipsai.com
Telefon: 015773516413