AVV

Auftragsverarbeitungsvertrag

Gemäß Art. 28 Abs. 3 S. 1 DSGVO

– nachstehend bezeichnet als AV-Vertrag –

zwischen (der)

Name/Fa.:

__________________________________________

Straße Nr.:

__________________________________________

PLZ, Ort, Land:

__________________________________________

Handelsregister/Nr.:

__________________________________________

Geschäftsführer:

__________________________________________

Kundennummer:

__________________________________________

– nachstehend bezeichnet als Auftraggeber –

und (der)

Onlineshop Paul Wirsing

Dorfstraße 7

97656 Oberelsbach

Deutschland

– nachstehend bezeichnet als Auftragnehmer –

– Auftragnehmer und Auftraggeber werden nachstehend auch als Vertragsparteien bezeichnet. –

Anlagen

− Anhang 1 “Sicherheitskonzept”

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Sinne von Art.

4 Nr. 1 DSGVO.

Gegenstand dieses Vertrages ist die Durchführung und Verwaltung von SMS-Erinnerungen für Kunden des

Auftraggebers, insbesondere das Speichern, Verarbeiten und Übermitteln der für diesen Zweck erforderlichen

Daten (z. B. Buchungs-ID, Vorname, Nachname, E-Mail-Adresse, Mobilnummer, Buchungszeit

„Gebucht_von“ und „Gebucht_bis“).

1.2 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des zwischen den Vertragsparteien geschlossenen Hauptvertrages. Mit

Beendigung des Hauptvertrages endet auch die Auftragsverarbeitung, soweit keine gesetzlichen

Aufbewahrungspflichten bestehen.

1.3 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des

Auftraggebers, soweit keine gesetzliche Verpflichtung zur Verarbeitung besteht. Weicht der

Auftragsverarbeiter von einer Weisung ab, informiert er den Auftraggeber unverzüglich über den rechtlichen

Grund hierfür.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen

oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Verknüpfen,

Einschränken, Löschen und Vernichten von personenbezogenen Daten gemäß Art. 4 Nr. 2 DSGVO.

2.2 Zweck der Verarbeitung

Zweck der Verarbeitung ist die Durchführung automatisierter SMS-Erinnerungen im Rahmen von

Parkplatzbuchungen des Auftraggebers. Hierzu gehört insbesondere:

• die Verwaltung und Organisation von Kundendaten (z. B. Vor- und Nachname, E-Mail-Adresse,

Mobilnummer, Buchungszeiten),

• die Nutzung dieser Daten zur rechtzeitigen Information der Kunden über ihre Ankunfts- und

Abholzeiten,

• die technische Abwicklung der Kommunikation über vom Auftragsverarbeiter eingesetzte

Unterauftragsverarbeiter (z. B. SMS-Dienstleister, Datenbanken).

2.3 Ausschließliche Zweckbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zu den in diesem Vertrag festgelegten Zwecken.

Eine Verarbeitung zu anderen, insbesondere eigenen oder fremden Zwecken, ist ausgeschlossen.

3. Kategorien betroffener Personen und Datenarten

3.1 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind ausschließlich Kunden des Auftraggebers, die im Rahmen einer

Parkplatzbuchung ihre personenbezogenen Daten angeben. Dazu zählen insbesondere:

• Einzelpersonen, die einen Parkplatz buchen,

• ggf. Mitreisende oder weitere Personen, deren Kontaktdaten vom Kunden angegeben werden,

• sonstige natürliche Personen, deren Daten im Rahmen der Vertragsdurchführung gespeichert werden

(z. B. Fahrer, Abholer).

Der Auftraggeber stellt sicher, dass sämtliche betroffene Personen ordnungsgemäß über die

Datenverarbeitung informiert wurden und – soweit erforderlich – rechtswirksam eingewilligt haben.

3.2 Kategorien personenbezogener Daten

Die Verarbeitung umfasst insbesondere folgende Kategorien personenbezogener Daten:

• Identifikationsdaten: Eindeutige Buchungs-ID, Vorname, Nachname

• Kontaktdaten: E-Mail-Adresse, Mobilnummer

• Vertrags- und Buchungsdaten: Beginn und Ende der Buchung („Gebucht_von“ und „Gebucht_bis“)

• Technische Metadaten: ggf. Protokolldaten im Rahmen des SMS-Versands (Versandzeitpunkt,

Statusmeldungen, Zustellbestätigungen)

Eine Verarbeitung weiterer Datenarten erfolgt nur, soweit diese durch den Auftraggeber angewiesen und zur

Vertragserfüllung erforderlich sind.

3.3 Datenherkunft

Die personenbezogenen Daten werden ausschließlich durch den Auftraggeber bzw. durch dessen Kunden

bereitgestellt. Eine Erhebung personenbezogener Daten direkt beim Auftragsverarbeiter findet nicht statt.

3.4 Datenempfänger

Empfänger der Daten im Rahmen der Auftragsverarbeitung sind ausschließlich die vom Auftragsverarbeiter

eingesetzten Unterauftragsverarbeiter (z. B. SMS-Dienstleister, Cloud-Datenbanken,

Automatisierungsplattformen), die in diesem Vertrag benannt und genehmigt sind. Eine Weitergabe an

sonstige Dritte oder zu eigenen Zwecken ist ausgeschlossen.

3.5 Datenlöschung

Die personenbezogenen Daten werden nach Ablauf der Buchung sowie nach Ende der in Abstimmung mit

dem Auftraggeber definierten Aufbewahrungsfristen gelöscht oder anonymisiert, sofern keine gesetzlichen

Pflichten zur weiteren Speicherung bestehen.

4. Rechte und Pflichten des Auftraggebers

4.1 Verantwortlichkeit

Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und trägt die alleinige Verantwortung

für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten (Art. 5, Art. 6 DSGVO). Er

entscheidet über Zweck und Mittel der Verarbeitung und bleibt Herr der Daten.

4.2 Weisungsrecht und Weisungsform

Der Auftraggeber ist berechtigt, dem Auftragsverarbeiter Weisungen hinsichtlich Art, Umfang und Verfahren

der Datenverarbeitung zu erteilen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen sind grundsätzlich vorab zu

dokumentieren und in Textform (z. B. E-Mail) zu erteilen. In Eilfällen können mündliche Weisungen erteilt

werden; diese sind vom Auftraggeber unverzüglich in Textform zu bestätigen.

4.3 Rechtmäßigkeit, Transparenz und Informationspflichten

Der Auftraggeber stellt sicher, dass eine geeignete Rechtsgrundlage für alle Verarbeitungen besteht (insb.

Art. 6 DSGVO) und die Informationspflichten gegenüber betroffenen Personen gemäß Art. 13/14 DSGVO

ordnungsgemäß erfüllt sind. Für SMS-Benachrichtigungen stellt der Auftraggeber ferner die Einhaltung

einschlägiger wettbewerbs- und telekommunikationsrechtlicher Vorgaben sicher (insb. UWG, TKG/TTDSG),

einschließlich etwaig erforderlicher Einwilligungen und Kennzeichnungen.

4.4 Datenminimierung, Richtigkeit und Löschkonzepte

Der Auftraggeber übermittelt dem Auftragsverarbeiter nur solche personenbezogenen Daten, die für den

festgelegten Zweck erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO), stellt deren Richtigkeit sicher (Art. 5 Abs. 1

lit. d DSGVO) und definiert geeignete Lösch- bzw. Aufbewahrungsfristen. Er informiert den

Auftragsverarbeiter unverzüglich über Berichtigungen, Einschränkungen oder Löschungen der verarbeiteten

Daten.

4.5 Betroffenenrechte

Anfragen betroffener Personen nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung,

Datenübertragbarkeit, Widerspruch) werden vom Auftraggeber in eigener Verantwortung beantwortet. Der

Auftraggeber bindet den Auftragsverarbeiter nur insoweit ein, wie dies zur Erfüllung der Anfragen erforderlich

ist; der Auftragsverarbeiter unterstützt gemäß den hierfür vorgesehenen Regelungen dieses Vertrages.

4.6 Datenschutz-Folgenabschätzung und Konsultation

Soweit eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist, führt der Auftraggeber

diese in eigener Verantwortung durch. Er kann den Auftragsverarbeiter zur Unterstützung heranziehen.

Etwaige Konsultationen der Aufsichtsbehörde nach Art. 36 DSGVO erfolgen durch den Auftraggeber; der

Auftragsverarbeiter unterstützt auf Anforderung in angemessenem Umfang.

4.7 Mitteilungspflichten und Änderungen

Der Auftraggeber teilt dem Auftragsverarbeiter unverzüglich Änderungen an den verarbeiteten

Datenkategorien, am Verarbeitungszweck, an Aufbewahrungsfristen, an internen Zuständigkeiten oder an

sonstigen Umständen mit, die für die vertragsgemäße Verarbeitung relevant sind. Er informiert den

Auftragsverarbeiter ferner über ihm bekannte Risiken für die Rechte und Freiheiten der betroffenen Personen,

soweit diese die Verarbeitung beim Auftragsverarbeiter betreffen können.

4.8 Kostentragung besonderer Unterstützungsleistungen

Soweit Unterstützungsleistungen des Auftragsverarbeiters über die in Art. 28 DSGVO zwingend

vorgesehenen Pflichten hinausgehen (z. B. außergewöhnliche Auditaufwände, umfangreiche Mitwirkungen

bei DPIA oder Behördenverfahren), trägt der Auftraggeber die hierfür anfallenden angemessenen Kosten

nach vorheriger Abstimmung.

5. Pflichten des Auftragsverarbeiters

5.1 Verarbeitung nach Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung

des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Weicht der Auftragsverarbeiter aufgrund einer gesetzlichen

Verpflichtung von einer Weisung ab, informiert er den Auftraggeber unverzüglich über die rechtliche

Grundlage, soweit dies nicht durch zwingendes Recht untersagt ist.

5.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sämtliche zur Verarbeitung befugten Personen zur Vertraulichkeit

verpflichtet sind und über die datenschutzrechtlichen Anforderungen belehrt wurden (Art. 28 Abs. 3 lit. b

DSGVO). Diese Verpflichtung bleibt auch nach Beendigung der Tätigkeit bestehen.

5.3 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen im Sinne

von Art. 32 DSGVO umzusetzen und aufrechtzuerhalten, um ein dem Risiko angemessenes Schutzniveau zu

gewährleisten. Eine Übersicht der aktuell implementierten Maßnahmen ist diesem Vertrag als Anlage

1 beigefügt. Änderungen an den TOMs sind zulässig, sofern das vereinbarte Schutzniveau nicht

unterschritten wird. Wesentliche Änderungen teilt der Auftragsverarbeiter dem Auftraggeber unverzüglich mit.

5.4 Unterstützung des Auftraggebers

Der Auftragsverarbeiter unterstützt den Auftraggeber nach Art. 28 Abs. 3 lit. e–f DSGVO in angemessenem

Umfang bei:

• der Erfüllung der Betroffenenrechte gemäß Art. 12–22 DSGVO (z. B. Auskunft, Berichtigung,

Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch),

• der Sicherstellung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von

Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, Konsultationen mit

Aufsichtsbehörden).

5.5 Informationspflichten bei Verstößen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er Verstöße gegen

datenschutzrechtliche Vorschriften, gegen diesen Vertrag oder gegen Weisungen des Auftraggebers feststellt.

Gleiches gilt für Datenpannen im Sinne von Art. 33 DSGVO (Verletzungen des Schutzes personenbezogener

Daten). Die Mitteilung enthält mindestens die in Art. 33 Abs. 3 DSGVO vorgesehenen Informationen.

5.6 Nachweis- und Dokumentationspflichten

Der Auftragsverarbeiter führt ein Verzeichnis aller Verarbeitungstätigkeiten im Sinne von Art. 30 Abs. 2

DSGVO und stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der

Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

5.7 Löschung und Rückgabe von Daten

Protokolldaten und System-Logs, die personenbezogene Daten enthalten können, werden ausschließlich zu

Sicherheits- und Nachweiszwecken verarbeitet und spätestens nach 90 Tagen automatisch gelöscht, sofern keine

gesetzliche Aufbewahrungspflicht entgegensteht.

6. Unterauftragsverhältnisse

6.1 Genehmigungspflicht

Der Auftragsverarbeiter darf zur Erfüllung seiner vertraglichen Pflichten Unterauftragsverarbeiter einsetzen.

6.2 Aktuell eingesetzte Unterauftragsverarbeiter

Zum Zeitpunkt des Vertragsschlusses setzt der Auftragsverarbeiter die folgenden Unterauftragsverarbeiter

ein:

• seven.io GmbH, Deutschland – Versand von SMS-Nachrichten an Kunden des Auftraggebers

• n8n GmbH, Deutschland/EU – Cloud-Automatisierungsplattform zur Verarbeitung und Steuerung der

Datenflüsse

• Airtable, Inc., USA – Cloud-Datenbank zur Speicherung und Organisation von Kundendaten.

Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln (SCC) und zusätzlicher

technischer Schutzmaßnahmen (Verschlüsselung). (Übermittlung in ein Drittland, gesichert durch EU-

Standardvertragsklauseln nach Art. 46 DSGVO)

6.3 Weitere Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen, sofern:

• der Auftraggeber vorab in Textform über Art und Umfang der beabsichtigten Änderung informiert wird,

• der Auftraggeber innerhalb von 14 Tagen nach Mitteilung widersprechen kann,

• durch den Einsatz des Unterauftragsverarbeiters ein angemessenes Datenschutzniveau gewährleistet

ist, insbesondere bei Verarbeitung in Drittländern durch geeignete Garantien (z. B.

Standardvertragsklauseln, Angemessenheitsbeschlüsse).

7. Kontrollrechte des Auftraggebers

7.1 Umfang der Kontrollrechte

Der Auftraggeber ist berechtigt, die Einhaltung der in diesem Vertrag sowie in Art. 28 DSGVO festgelegten

Pflichten durch den Auftragsverarbeiter regelmäßig und anlassbezogen zu überprüfen.

7.2 Verfahren und Durchführung

Kontrollen sind mit einer angemessenen Vorlaufzeit (in der Regel mindestens 14 Kalendertage) schriftlich

anzukündigen und während der üblichen Geschäftszeiten des Auftragsverarbeiters durchzuführen. Die

Kontrollen dürfen den Betriebsablauf des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

7.3 Mitwirkungspflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber bei Kontrollen zu unterstützen, insbesondere:

• Bereitstellung von relevanten Informationen,

• Zugang zu Systemen und relevanten Unterlagen,

7.4 Vertraulichkeit bei Kontrollen

Der Auftraggeber verpflichtet sich, die im Rahmen der Kontrolle erlangten Informationen ausschließlich zur

Überprüfung der Einhaltung der datenschutzrechtlichen Pflichten zu verwenden. Geschäfts- und

Betriebsgeheimnisse des Auftragsverarbeiters sowie Daten anderer Kunden sind zu wahren.

7.5 Kostenregelung

Die Kosten für reguläre Kontrollen trägt jede Partei selbst. Entstehen dem Auftragsverarbeiter durch

außergewöhnliche oder unverhältnismäßig aufwendige Prüfungen erhebliche Zusatzkosten, können diese

dem Auftraggeber in Rechnung gestellt werden.

8. Haftung und Schadensersatz

8.1 Grundsatz der Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.

Jede Partei haftet für den Schaden, der einer betroffenen Person durch eine nicht dieser Verordnung

entsprechende Verarbeitung entstanden ist.

8.2 Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber für Schäden, die durch eine Verarbeitung

entstanden sind, wenn er seinen speziell auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder

außerhalb der rechtmäßigen Weisungen des Auftraggebers gehandelt hat.

8.3 Haftung des Auftraggebers

Der Auftraggeber haftet gegenüber dem Auftragsverarbeiter dafür, dass die übermittelten Daten rechtmäßig

erhoben wurden und deren Verarbeitung eine gültige Rechtsgrundlage im Sinne von Art. 6 DSGVO besitzt. Er

trägt die Verantwortung für die Erfüllung der Informationspflichten gegenüber den betroffenen Personen und

für die Rechtmäßigkeit erteilter Weisungen.

8.4 Gesamtschuldnerische Haftung

Haften sowohl Auftraggeber als auch Auftragsverarbeiter gegenüber einer betroffenen Person als

Gesamtschuldner (Art. 82 Abs. 4 DSGVO), so ist eine interne Aufteilung der Verantwortung vorzunehmen.

Jede Partei trägt den Teil des Schadens, den sie zu vertreten hat. Ein Ausgleichsanspruch zwischen den

Parteien bleibt vorbehalten.

8.5 Ausschluss der Haftung

Eine Haftung entfällt, wenn der jeweilige Vertragspartner nachweist, dass er in keinerlei Hinsicht für den

Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).

8.6 Verjährung

Ansprüche auf Schadensersatz zwischen den Parteien verjähren nach den gesetzlichen Vorschriften.

9. Schlussbestimmungen

9.1 Schriftform und Nebenabreden

Änderungen und Ergänzungen dieses Vertrages bedürfen mindestens der Textform im Sinne des § 126b

BGB (z. B. E-Mail oder elektronische Bestätigung im Onboarding-Prozess), soweit nicht gesetzlich eine

strengere Form vorgeschrieben ist.

Mündliche Nebenabreden bestehen nicht.

9.2 Vorrangregelung

Im Falle von Widersprüchen gilt die Rangfolge gemäß Hauptvertrag §0.

9.3 Teilunwirksamkeit

Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein

oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Anstelle der unwirksamen

oder undurchführbaren Bestimmung gilt eine solche Regelung als vereinbart, die dem wirtschaftlichen Zweck

der unwirksamen Bestimmung in rechtlich zulässiger Weise am nächsten kommt.

9.4 Anwendbares Recht und Gerichtsstand

Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland. Ausschließlicher

Gerichtsstand ist – soweit gesetzlich zulässig – das Amtsgericht Bad Neustadt a. d. Saale.

9.5 Beginn und Laufzeit

Dieser Vertrag tritt mit Abschluss des digitalen Onboarding-Prozesses durch den Auftraggeber und Annahme

durch den Auftragnehmer in Kraft.

Er gilt für die Dauer des zwischen den Parteien bestehenden Hauptvertrages und endet automatisch mit

dessen Beendigung, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

10. Abschluss des Vertrages

Dieser Vertrag über die Auftragsverarbeitung wird im Rahmen des digitalen Onboarding-Prozesses

geschlossen.

Der Auftraggeber akzeptiert den Vertrag durch aktive Bestätigung der Vertragsunterlagen und Absenden des

Onboarding-Formulars.

Der Auftragnehmer nimmt das Vertragsangebot durch Freischaltung des Dienstes (“Go-Live”) an.

Eine eigenhändige oder elektronische Unterschrift ist nicht erforderlich (§ 126b BGB).

Der AV-Vertrag tritt mit Wirksamwerden des Hauptvertrages in Kraft und gilt für dessen Dauer.

Anhang 1 – Sicherheitskonzept

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

Die folgenden technischen und organisatorischen Maßnahmen (TOMs) dienen der Sicherstellung eines

angemessenen Schutzniveaus für die vom Auftraggeber übermittelten personenbezogenen Daten. Sie gewährleisten

insbesondere die Wahrung der Betroffenenrechte, eine unverzügliche Reaktion auf Datenschutzvorfälle, die

Umsetzung des Grundsatzes der Technikgestaltung sowie den Datenschutz auf Mitarbeiterebene:

- Ein Notfall- und Incident-Response-Konzept gewährleistet eine unverzügliche Reaktion auf

Datenschutzverletzungen, inklusive Prüfung, Dokumentation und Meldung innerhalb der in Art. 33

DSGVO vorgesehenen Frist von 72 Stunden.

- Der Schutz personenbezogener Daten wird bei der Auswahl und Entwicklung von eingesetzten Tools und

Verfahren nach dem Prinzip des Datenschutzes durch Technikgestaltung und durch

datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).

- Alle eingesetzten Systeme (n8n Cloud, Airtable, seven.io) werden regelmäßig auf den neuesten Stand

gehalten; Sicherheitsupdates, Virenschutz und Firewalls sind stets aktuell.

- Mitarbeiter und etwaige Hilfskräfte, die Zugang zu personenbezogenen Daten erhalten, werden vor

Aufnahme ihrer Tätigkeit auf Vertraulichkeit verpflichtet und regelmäßig zu Datenschutz- und IT-Sicherheit

geschult. Sie werden auf mögliche Haftungsfolgen hingewiesen.

- Für den Einsatz privater Geräte im betrieblichen Kontext bestehen besondere Schutzregelungen (z. B.

Zugriff nur über gesicherte VPN- oder Cloud-Umgebungen, verschlüsselte Speichermedien, Trennung

privater und geschäftlicher Daten).

- Ausgegebene Schlüssel, Zugangskarten, Authentifizierungsgeräte und digitale Berechtigungen werden

nach Ausscheiden oder Rollenwechseln von Mitarbeitern unverzüglich entzogen.

- Externe Dienstleister (z. B. Reinigung, Wartung) werden sorgfältig ausgewählt und vertraglich auf die

Wahrung der Vertraulichkeit verpflichtet.

1. Organisations- und Managementmaßnahmen

• Eigenverantwortliche Einhaltung der DSGVO-Vorgaben durch den

Auftragsverarbeiter.

• Regelmäßige Überprüfung der eingesetzten Subprozessoren (seven.io, n8n Cloud,

Airtable) hinsichtlich Datenschutzkonformität und Zertifizierungen.

• Lösch- und Aufbewahrungsfristen sind definiert und werden durch den

Auftragsverarbeiter eingehalten.

2. Zutrittskontrolle 

• Speicherung sämtlicher Daten ausschließlich in gesicherten Rechenzentren der

Subprozessoren (z. B. n8n GmbH, Airtable, seven.io).

• Rechenzentren verfügen über Sicherheitszertifikaten

• Der Auftragsverarbeiter selbst betreibt keine eigenen Serveranlagen.

3. Zugangskontrolle 

• Alle Systeme (n8n Cloud, Airtable, seven.io) sind passwortgeschützt.

• Passwörter entsprechen definierten Sicherheitsstandards (Mindestlänge,

Komplexität).

• Automatische Sperrung von Accounts nach mehreren fehlgeschlagenen

Anmeldeversuchen (je nach Subprozessor).

• Nutzung ausschließlich auf gesicherten Endgeräten mit aktuellen Betriebssystem-

und Sicherheitspatches.

4. Zugriffskontrolle 

• Kein Zugang durch Dritte ohne ausdrückliche Genehmigung.

5. Weitergabekontrolle 

• Übermittlung personenbezogener Daten ausschließlich über verschlüsselte

Verbindungen (TLS/SSL, HTTPS).

• Keine Weitergabe an unbefugte Dritte.

6. Eingabekontrolle 

• Sämtliche Eingaben und Änderungen werden automatisch in den Subprozessor-

Systemen protokolliert (z. B. Änderungsprotokolle in Airtable, Logs in n8n,

Versandberichte bei seven.io).

7. Auftragskontrolle 

• Datenverarbeitung erfolgt ausschließlich auf Grundlage des abgeschlossenen

AVV.

• Subprozessoren werden durch Verträge an die DSGVO gebunden.

• Regelmäßige Kontrolle der Subprozessoren anhand veröffentlichter

Sicherheitsinformationen und Zertifizierungen.

• Löschung von Daten nach Beendigung des Auftrags oder Ablauf der

Aufbewahrungsfrist.

8. Verfügbarkeitskontrolle 

• Georedundante Speicherung in Rechenzentren.

• Nutzung von Cloud-Diensten mit angestrebter hoher Verfügbarkeit; maßgeblich

bleibt die vertraglich vereinbarte Verfügbarkeit gemäß AGB § 7.

9. Trennungsgebot 

• Klare logische Trennung von Datenbeständen in Airtable und n8n

(Mandantentrennung).

• Getrennte Workflows und Tabellen für jeden Auftraggeber.

• Strikte Trennung von Test- und Produktivsystemen.

• Keine Vermischung mit privaten Daten.

10. Maßnahmen zur Wahrung der

Betroffenenrechte

• Verfahren zur Umsetzung von Auskunfts- und Löschanfragen nach Art. 15–17

DSGVO sind etabliert.

• Datenexport im maschinenlesbaren Format (z. B. CSV/Excel) zur Wahrung der

Datenübertragbarkeit nach Art. 20 DSGVO.

• Reaktionsfristen gemäß DSGVO werden eingehalten.

11. Maßnahmen zur Meldung von

Datenschutzvorfällen

• Dokumentierte Prozesse zur Meldung und Bearbeitung von Datenschutzvorfällen.

• Meldung an den Auftraggeber spätestens innerhalb der 72-Stunden-Frist gemäß

Art. 33 DSGVO.

12. Technische Infrastruktur 

• Nutzung von Cloud-Anbietern mit nachweislich hohen Sicherheitsstandards

(ISO/IEC 27001, SOC 2 Typ II, EU-Standardvertragsklauseln).

• Die Dienste werden mit angestrebter hoher Verfügbarkeit betrieben; maßgeblich

bleibt die vertraglich vereinbarte Verfügbarkeit gemäß AGB § 7.

• Ständige Aktualisierung der eingesetzten Systeme (n8n, Airtable, seven.io).