Auftragsverarbeitungsvertrag (AVV)

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Nutzung der SaaS-Plattform EvorgaHQ. Die Laufzeit entspricht der Laufzeit des jeweiligen Nutzungsvertrags.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen des Betriebs der Plattform EvorgaHQ und gemäß den dokumentierten Weisungen des Verantwortlichen.

Art der verarbeiteten Daten:

• Kontaktdaten von Dienstleister:innen (Name, E-Mail, Telefon)
• Rückmeldungen und Antworten von Dienstleister:innen
• Eventbezogene Planungsdaten

Betroffene Personen:

• Externe Dienstleister:innen und Kontaktpersonen, deren Daten der Verantwortliche einpflegt

Zweck: Speicherung, Verwaltung und strukturierte Kommunikation im Rahmen der Eventplanung.

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen zu verarbeiten
• Zur Vertraulichkeit: alle mit der Verarbeitung beauftragten Personen zur Vertraulichkeit zu verpflichten
• Alle geeigneten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters einzuhalten (§ 5)
• Den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten zu unterstützen
• Nach Abschluss der Dienstleistung alle personenbezogenen Daten zu löschen oder zurückzugeben
• Alle erforderlichen Informationen für Nachweise der DSGVO-Konformität bereitzustellen

Folgende Schutzmaßnahmen sind implementiert:

• Verschlüsselung: HTTPS/TLS für alle Datenübertragungen; Passwörter als bcrypt-Hash gespeichert
• Zugriffskontrolle: Nutzer sehen ausschließlich eigene Daten; SUPERADMIN-Zugriff auf Systemebene beschränkt
• Datensparsamkeit: Es werden nur die für den Betrieb erforderlichen Daten erfasst
• Server-Standort: Deutschland (Hetzner)
• Datensicherung: Regelmäßige Backups der Datenbankdaten
• Zugriffsprotokolle: Server-Logs für 14 Tage, dann automatisch gelöscht
• Software-Updates: Regelmäßige Aktualisierung aller eingesetzten Pakete

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche hiermit zustimmt:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen – Serverhosting (Deutschland)
• Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA – Zahlungsabwicklung (EU-US Data Privacy Framework)
• Sendinblue SAS / Brevo, 7 rue de Madrid, 75008 Paris, Frankreich – E-Mail-Versand. AVV: brevo.com/legal/termsofuse/#annex

Über die Änderung oder Hinzufügung von Unterauftragsverarbeitern wird der Verantwortliche rechtzeitig informiert. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen Widerspruch zu erheben.

Soweit der Verantwortliche die Unterstützung des Auftragsverarbeiters bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) benötigt, wird der Auftragsverarbeiter diesen im Rahmen seiner technischen Möglichkeiten unterstützen. Entsprechende Anfragen sind an info@evorgahq.com zu richten.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (innerhalb von 72 Stunden nach Bekanntwerden) über Verletzungen des Schutzes personenbezogener Daten, soweit diese aus der Auftragsverarbeitung resultieren.

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet wurden, innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Dieser AVV gilt mit dem Abschluss des Nutzungsvertrags für EvorgaHQ als vereinbart. Er ersetzt alle vorherigen Absprachen zur Auftragsverarbeitung zwischen den Parteien. Es gilt deutsches Recht.