AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
gemäß Artikel 28 DSGVO
1. Vertragsparteien
Auftraggeber (Verantwortlicher):
Der Kunde der Revnetic-Plattform
Auftragnehmer (Auftragsverarbeiter):
Revnetic Inh. Boyan Bonev
Ludwig-Feuerbach-Str. 18
Vertreten durch: Boyan Bonev
E-Mail: info@revnetic.de
2. Gegenstand der Auftragsverarbeitung
Der Auftraggeber beauftragt den Auftragnehmer mit der Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der Revnetic-Plattform.
Die Auftragsverarbeitung umfasst insbesondere die Speicherung, Verarbeitung und Verwaltung folgender personenbezogener Daten:
• Namen von Mitarbeitern
• Geschäftliche E-Mail-Adressen
• Provisionsbeträge
• Projektvolumen
• Kostendaten pro Mitarbeiter
3. Umfang und Dauer der Auftragsverarbeitung
Umfang:
Speicherung, Verwaltung und technische Verarbeitung der Daten im Rahmen der Plattformnutzung. Der Auftragnehmer erhält Zugriff auf Kundendaten, um Fehler zu identifizieren und zu beheben.
Dauer:
Während der Laufzeit des Nutzungsvertrages und zusätzlich für drei (6) Monate nach Kündigung. Nach Ablauf dieser Frist werden alle Kundendaten gelöscht, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
4. Ort der Verarbeitung
Die personenbezogenen Daten werden ausschließlich in der Europäischen Union verarbeitet und gehostet. Der Auftragnehmer nutzt Lovable und Supabase als Datenspeicher, das auf EU-Infrastruktur gehostet wird.
5. Verantwortlichkeit des Auftraggeber für Datenqualität und -Richtigkeit
Der Auftraggeber erklärt sich allein verantwortlich für die Richtigkeit, Vollständigkeit und Qualität aller eingegeben Daten. Der Auftraggeber ist verantwortlich für:
• Die Überprüfung aller eingegebenen Daten auf Vollständigkeit und Korrektheit
• Die regelmäßige Überprüfung und Aktualisierung der gespeicherten Daten
• Die Gewährleistung der Konformität der Daten mit geltenden Gesetzen und Richtlinien
• Die Durchführung regelmäßiger Daten-Audits
Der Auftragnehmer übernimmt KEINE Verantwortung für die Richtigkeit, Vollständigkeit oder Aktualität der vom Auftraggeber eingegebenen Daten.
6. Pflichten des Auftragsverarbeiters
Der Auftragnehmer verpflichtet sich zu folgenden Maßnahmen:
6.1 Vertraulichkeit:
Alle Mitarbeiter, die Zugriff auf personenbezogene Daten haben, sind zur Vertraulichkeit verpflichtet und unterliegen angemessenen Geheimhaltungsverpflichtungen.
6.2 Sicherheitsmaßnahmen:
Der Auftragnehmer implementiert technische und organisatorische Maßnahmen zum Schutz der Daten, einschließlich:
• Verschlüsselte Datenübertragung (HTTPS/TLS)
• Sichere Authentifizierung und Zugriffskontrolle
• Regelmäßige Sicherheitsüberprüfungen
• Automatische Backups
6.3 Meldung von Datenpannen:
Der Auftragnehmer teilt dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden ab dem Zeitpunkt des Befundes, alle Datensicherheitsverletzungen mit, damit der Auftraggeber die gesetzliche Benachrichtigungspflicht erfüllen kann.
7. Haftung und Haftungsbeschränkungen
7.1 Haftungsausschluss für Datenqualität:
Der Auftragnehmer übernimmt keine Haftung für:
• Fehlerhafte, unvollständige oder unrichtige Daten, die vom Auftraggeber eingegeben wurden
• Datenverluste oder -Beschädigungen aufgrund fehlerhafter Eingaben oder fehlender Daten-Backups durch den Auftraggeber
• Verstöße gegen Datenschutzgesetze durch fehlerhafte Datenerfassung oder -Nutzung durch den Auftraggeber
• Versehentliche oder absichtliche Datenlöschungen durch den Auftraggeber oder dessen Mitarbeiter
7.2 Limitation of Liability (Haftungsbegrenzung):
Die Gesamthaftung des Auftragtragnehmers gegenüber dem Auftraggeber ist begrenzt auf:
• Maximale Haftung: Höchstens das 3-fache der monatlichen Gebühren des Auftraggeber für die Nutzung der Revnetic-Plattform
• Ausnahme: Diese Begrenzung gilt nicht für Schäden, die aus einer groben Fahrlässigkeit oder vorsätzlichen Handlung des Auftragsnahmers entstehen, oder für Verstöße gegen zwingende datenschutzrechtliche Bestimmungen
Der Auftragnehmer haftet nicht für indirekte Schäden, Folgeschäden, entgangene Gewinne oder reputationsbezogene Schäden.
7.3 Datensicherung durch den Auftraggeber:
Der Auftraggeber ist verpflichtet, regelmäßige Backups seiner eigenen Daten durchzuführen. Der Auftragnehmer bietet zwar technische Sicherungsmaßnahmen an, haftet aber nicht für Datenverluste aufgrund unzureichender Backups durch den Auftraggeber.
8. Subauftragnehmer
Der Auftragnehmer nutzt folgende Subauftragnehmer zur Datenverarbeitung:
• Supabase (Datenspeicher) – EU
• Lovable (Entwicklungsplattform) – für Fehleranalyse und Unterstützung
Der Auftraggeber wird benachrichtigt, bevor neue Subauftragnehmer eingebunden werden.
9. Unterstützung bei Wahrnehmung von Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung folgender Anfragen:
• Auskunftsanfragen (Art. 15 DSGVO)
• Berichtigungsanfragen (Art. 16 DSGVO)
• Löschanfragen (Art. 17 DSGVO)
• Datenportabilität (Art. 20 DSGVO)
10. Internationale Datenübermittlung
Die Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Eine Übermittlung in Länder außerhalb der EU findet nicht statt.
11. Löschung und Rückgabe von Daten
Nach Beendigung des Auftrags und Ablauf etwaiger Aufbewahrungsfristen werden alle personenbezogenen Daten unverzüglich gelöscht oder dem Auftraggeber auf Anfrage zurückgegeben. Der Auftragnehmer bestätigt die Löschung schriftlich.
12. Geltungsdauer
Dieser Vertrag gilt für die Dauer des Nutzungsvertrags. Er bleibt auch nach Beendigung des Nutzungsvertrags in Bezug auf die Datenlöschung und Rückgabe gültig.
13. Geltendes Recht und Gerichtsstand
Dieser Vertrag unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist die zuständige Gerichtsbarkeit am Ort des Auftraggeber oder Auftragtragnehmers.
Der Vertrag wird zwischen beiden Parteien abgeschlossen an dem Datum an dem der Auftrag stattfindet.