Vereinbarung zur Auftragsverarbeitung (AVV)

(1) Die Auftragsverarbeiterin verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Reliva-Plattform gemäß dem Hauptvertrag (AGB der Reliva-Plattform).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Beendigung gelten die Regelungen in § 10.

(3) Der Gegenstand der Verarbeitung umfasst:

1. die Entgegennahme und Weiterleitung von Kontaktformularnachrichten,
2. die technische Verarbeitung, Speicherung und Auslieferung von Website-Inhalten,
3. die KI-gestützte Erstellung von Website-Textentwürfen auf Basis der vom Verantwortlichen bereitgestellten Unternehmensinformationen.

(1) Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Leistungen:

(2) Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

(1) Verarbeitete Datenkategorien:

a) Kontaktformulardaten (Besucher der Kunden-Website):

• Name, E-Mail-Adresse, Telefonnummer (sofern angegeben), Freitext-Nachricht

b) Unternehmensdaten des Verantwortlichen (soweit personenbezogen):

• Name der Kontaktperson / des Geschäftsführers, geschäftliche E-Mail-Adresse, Telefonnummer, Geschäftsadresse

c) Website-Inhalte (soweit personenbezogen):

• Kontaktinformationen auf der Website, Informationen über Mitarbeiter, hochgeladene Bilder mit identifizierbaren Personen

(2) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet.

Die betroffenen Personen umfassen:

• Besucher der Website des Verantwortlichen (Kontaktformular-Absender)
• Mitarbeiter, Geschäftsführer und Kontaktpersonen des Verantwortlichen
• Sonstige auf der Website namentlich genannte Personen

(1) Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Sicherstellung der Vertraulichkeit der befassten Personen.

(3) Technische und organisatorische Maßnahmen gemäß § 7.

(4) Einsatz von Unterauftragsverarbeitern nur unter den Voraussetzungen des § 6.

(5) Unterstützung bei Betroffenenrechten (Kapitel III DSGVO).

(6) Unterstützung bei Pflichten gemäß Art. 32 bis 36 DSGVO.

(7) Information bei möglichen Weisungsverstößen gegen die DSGVO.

(1) Allgemeine Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern. Aktuelle Liste in Anhang B.

(2) Information über Änderungen mindestens vier Wochen im Voraus. Widerspruchsfrist: zwei Wochen.

(3) Bei berechtigtem Widerspruch: Kündigungsrecht der Auftragsverarbeiterin mit einem Monat Frist.

(4) Unterauftragsverarbeiter werden vertraglich auf dieselben Datenschutzpflichten verpflichtet.

(1) Maßnahmen gemäß Art. 32 DSGVO:

a) Vertraulichkeit:

• Zugriffskontrolle über individualisierte Zugangsdaten
• Rollenbasierte Zugriffsrechte (Least Privilege)
• TLS 1.2+ für alle Verbindungen
• AES-256 für ruhende Daten (Neon, S3)

b) Integrität:

• Protokollierung von Schreib-/Löschvorgängen
• Versionierung von Entwürfen
• Schema-Validierung aller API-Endpunkte (Zod)

c) Verfügbarkeit und Belastbarkeit:

• 99,5 % monatliches Verfügbarkeitsziel
• Serverstandort: EU (AWS eu-central-1, Frankfurt am Main)
• CDN: Cloudflare mit Failover und DDoS-Schutz

d) Wiederherstellbarkeit:

• Automatische Datenbank-Backups (Neon PITR)
• S3-Versionierung mit Lifecycle-Regeln
• Infrastructure as Code (Terraform)

e) Regelmäßige Überprüfung:

• Überprüfung der Zugriffsrechte
• Monitoring (AWS CloudWatch, 14 Tage Aufbewahrung)
• Aktualisierung von Software und Abhängigkeiten

(2) Regelmäßige Überprüfung und Anpassung an den Stand der Technik.

(1) Benachrichtigung des Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung.

(2) Die Benachrichtigung umfasst: Art der Verletzung, Ansprechperson, wahrscheinliche Folgen, ergriffene Maßnahmen.

(3) Schrittweise Mitteilung bei noch unvollständigen Informationen.

(1) Recht auf Kontrolle und Auskunft gemäß Art. 28 DSGVO.

(2) Inspektionen mit mindestens zwei Wochen Vorankündigung. Ggf. unabhängiger Prüfer möglich.

(3) Nachweis auch durch Zertifizierungen oder Auditberichte Dritter (z.B. SOC-2).

(1) Löschung innerhalb von 30 Tagen nach Vertragsende (nach Ablauf der Exportfrist), sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Datenexport über die Plattform innerhalb der 30-Tage-Frist.

(3) Die Löschung umfasst Datenbankeinträge, Objektspeicher-Dateien, Subdomain- und Kontakt-E-Mail-Zuordnungen.

(4) Kontaktformulardaten werden nur transient verarbeitet.

(5) Bestätigung der Löschung auf Anfrage.

(1) Verarbeitung grundsätzlich auf Servern in der EU (AWS eu-central-1, Frankfurt am Main).

(2) Drittstaatentransfer nur mit geeigneten Garantien gemäß Art. 46 DSGVO (SCCs, Angemessenheitsbeschlüsse).

(3) Anwendbare Garantien in Anhang B vermerkt.

(4) Die KI-gestützte Inhaltsgenerierung erfolgt über Amazon Bedrock innerhalb der AWS-Infrastruktur in der EU (Region eu-central-1, Frankfurt am Main). Dabei werden Unternehmensdaten des Verantwortlichen (Name, Stadt, Postleitzahl, Rechtsform, Branchenbeschreibung, Name der Kontaktperson) verarbeitet. Es werden keine E-Mail-Adressen, Telefonnummern oder sonstigen personenbezogenen Kontaktdaten an den KI-Dienst übermittelt. Eine Übermittlung in Drittstaaten findet im Rahmen der KI-Verarbeitung nicht statt.

(1) Wirksamkeit mit Abschluss des Hauptvertrages; Ende mit vollständiger Datenlöschung.

(2) Bei Widersprüchen zum Hauptvertrag geht diese Vereinbarung in datenschutzrechtlichen Fragen vor.

(3) Änderungen bedürfen der Textform.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

Auftragsverarbeiterin:

Bitvaria GmbH
Winkelweg 1b
87459 Pfronten
Datenschutz-Kontakt: datenschutz@bitvaria.de

Verantwortlicher:

Gemäß den im Kundenkonto hinterlegten Daten.

Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu:

Die Auftragsverarbeiterin prüft regelmäßig die Drittstaaten-Garantien und informiert über wesentliche Änderungen.