Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO ist Bestandteil der Allgemeinen Geschäftsbedingungen und des SaaS-Vertrags ueber die Nutzung von Wartungsvertrag.Online.

Verantwortlicher ist der Kunde, soweit er personenbezogene Daten eigener Mitarbeiter, Kunden, Interessenten, Lieferanten oder sonstiger Kontaktpersonen in Wartungsvertrag.Online verarbeitet. Auftragsverarbeiter ist Kotyza Haustechnik GmbH & Co. KG als Anbieter der Plattform.

Mit Annahme der AGB im Registrierungs- oder Vertragsprozess akzeptiert der Kunde zugleich diese AVV, soweit fuer die Nutzung der Plattform eine Auftragsverarbeitung vorliegt.

Gegenstand der Verarbeitung ist die Bereitstellung der webbasierten Software Wartungsvertrag.Online fuer Handwerksbetriebe. Die Plattform dient insbesondere der Verwaltung von Kunden, Objekten, Wartungsvertraegen, Angeboten, Dokumenten, E-Mail-Vorlagen, Benutzerkonten und zugehoerigen Serviceprozessen.

Die Dauer der Verarbeitung entspricht der Laufzeit des SaaS-Vertrags. Nach Vertragsende oder bestaetigter Firmenloeschung werden operative App-Daten nach den Regelungen in AGB, Datenschutzerklaerung und dieser AVV geloescht oder zurueckgegeben, soweit keine gesetzlichen Aufbewahrungspflichten oder dokumentierte Nachweiszwecke entgegenstehen.

Art und Zweck der Verarbeitung sind Speicherung, Anzeige, Bearbeitung, Sicherung, Uebermittlung, Suche, E-Mail-Versand, Export, Protokollierung, Support, Sicherheitspruefung und technische Bereitstellung der vom Kunden genutzten Funktionen.

Verarbeitet werden koennen insbesondere Stammdaten, Kontaktdaten, Adressdaten, Vertrags- und Angebotsdaten, Objekt- und Wartungsdaten, Kommunikationsdaten, Dokumente, Dateien, Benutzer- und Rollendaten, technische IDs, Protokoll- und Nutzungsdaten sowie Abrechnungs- und Zahlungsstatusdaten des SaaS-Kundenkontos.

Betroffene Personen koennen insbesondere Mitarbeiter und Benutzer des Kunden, Endkunden des Kunden, Ansprechpartner bei Objekten, Lieferanten, Dienstleister, Interessenten und sonstige Kontaktpersonen sein, deren Daten der Kunde in der Plattform verarbeitet.

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der vorgesehenen Nutzung. Der Kunde darf solche Daten nur verarbeiten, wenn hierfuer eine eigene Rechtsgrundlage besteht und die Plattformnutzung dafuer geeignet ist.

Der Anbieter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Die Weisungen ergeben sich aus diesem Vertrag, den AGB, der Datenschutzerklaerung, den Einstellungen des Kunden in der App und sonstigen dokumentierten Weisungen in Textform.

Haelt der Anbieter eine Weisung fuer datenschutzrechtlich unzulaessig, informiert er den Kunden hierueber, soweit dies rechtlich erlaubt ist. Der Anbieter ist nicht verpflichtet, offensichtlich rechtswidrige Weisungen auszufuehren.

Der Anbieter stellt sicher, dass Personen mit Zugriff auf Kundendaten zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Zugriff erhalten nur Personen, die ihn fuer Betrieb, Support, Sicherheit, Wartung oder gesetzlich erforderliche Aufgaben benoetigen.

Der Anbieter trifft organisatorische Massnahmen, um unbefugte Einsichtnahme, Veraenderung, Weitergabe oder Loeschung personenbezogener Daten zu verhindern.

Der Anbieter setzt angemessene technische und organisatorische Massnahmen nach Art. 32 DSGVO ein. Dazu gehoeren insbesondere rollenbasierte Zugriffe, Authentifizierung, Mandantentrennung, Transportverschluesselung, Zugriffsbeschraenkungen fuer Administrationsfunktionen, Backups, Protokollierung sicherheitsrelevanter Ereignisse, App Check/Sicherheitspruefungen und Verfahren zur Wiederherstellung der Verfuegbarkeit.

Die Massnahmen werden unter Beruecksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umstaenden und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere moeglicher Risiken weiterentwickelt.

Der Kunde erteilt eine allgemeine Genehmigung fuer den Einsatz der nachfolgenden Unterauftragsverarbeiter und vergleichbaren technischen Dienstleister, soweit sie fuer Betrieb, Sicherheit, Versand, Suche, Hosting oder Abrechnung erforderlich sind.

Der Anbieter informiert den Kunden ueber wesentliche Aenderungen bei Unterauftragsverarbeitern ueber die Website, die Datenschutzerklaerung, E-Mail oder In-App-Hinweis. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Kann der Widerspruch nicht aufgeloest werden, koennen die Parteien den betroffenen Dienst nach den vertraglichen Regelungen beenden.

Soweit personenbezogene Daten ausserhalb des EWR verarbeitet werden, stellt der Anbieter geeignete Garantien nach Art. 44 ff. DSGVO sicher, insbesondere EU-Standardvertragsklauseln, Angemessenheitsbeschluesse oder gleichwertige vertragliche und technische Schutzmassnahmen nach Anbieterbedingungen.

Der Anbieter unterstuetzt den Kunden nach Moeglichkeit bei der Erfuellung von Betroffenenrechten, Datenschutz-Folgenabschaetzungen, Sicherheitsanforderungen und Meldepflichten. Voraussetzung ist, dass der Kunde die Anfrage ausreichend konkret beschreibt und die betroffenen Daten im Mandantenbereich oder anhand technischer Merkmale identifizierbar sind.

Erhaelt der Anbieter eine Anfrage einer betroffenen Person, die Daten des Kunden betrifft, leitet er diese Anfrage an den Kunden weiter oder verweist die betroffene Person an den Kunden, soweit dies rechtlich und organisatorisch moeglich ist.

Der Anbieter informiert den Kunden unverzueglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die Daten des Kunden betrifft. Die Information enthaelt, soweit verfuegbar, Art des Vorfalls, betroffene Datenkategorien, betroffene Systeme, wahrscheinliche Folgen und bereits ergriffene oder vorgeschlagene Massnahmen.

Nach Ende der Leistung oder bei bestaetigter Firmenloeschung loescht der Anbieter operative App-Daten des Kunden, soweit keine gesetzlichen Aufbewahrungspflichten, Abrechnungsnachweise, Sicherheitsgruende oder interne Loesch-Nachweise entgegenstehen.

Stripe-Abrechnungsdaten, gesetzlich aufzubewahrende Rechnungs- und Zahlungsunterlagen sowie interne Loesch-Nachweise koennen nach Vertragsende oder Firmenloeschung aufbewahrt werden. App-spezifische Verknuepfungs-Metadaten werden soweit technisch moeglich minimiert; unveraenderliche historische Stripe-Snapshots oder Eventdaten koennen als dokumentierte Residualdaten verbleiben.

Auf Wunsch stellt der Anbieter im Rahmen der vorhandenen Produktfunktionen Exporte oder Loeschberichte bereit. Berichte duerfen keine Roh-Secrets oder unnoetigen personenbezogenen Daten enthalten.

Der Anbieter stellt dem Kunden die zur Pruefung der Einhaltung dieser AVV erforderlichen Informationen in angemessenem Umfang bereit. Audits oder Inspektionen muessen rechtzeitig angekuendigt werden, duerfen Sicherheit, Vertraulichkeit, Betrieb und Rechte anderer Kunden nicht beeintraechtigen und koennen durch geeignete Nachweise, Sicherheitsdokumentation oder schriftliche Auskuenfte ersetzt werden, soweit dies angemessen ist.

Der Kunde bleibt fuer Rechtmaessigkeit, Richtigkeit, Zweckbindung, Informationspflichten, Betroffenenrechte und interne Berechtigungskonzepte der von ihm verarbeiteten Daten verantwortlich. Der Kunde darf nur solche Daten in der Plattform verarbeiten, fuer die er eine Rechtsgrundlage besitzt.

Der Kunde ist verantwortlich dafuer, Benutzerrollen aktuell zu halten, ausgeschiedene Benutzer zu entfernen, Export- und Loeschfunktionen sorgfaeltig zu verwenden und keine Daten anderer Unternehmen oder unberechtigter Dritter in seinem Mandantenbereich zu verarbeiten.

Bei Widerspruechen zwischen dieser AVV und den AGB gehen die spezielleren datenschutzrechtlichen Regelungen dieser AVV vor, soweit es um Auftragsverarbeitung geht. Im Uebrigen gelten die AGB.

Aenderungen dieser AVV erfolgen nach den Aenderungsregeln der AGB oder durch gesonderte Vereinbarung in Textform. Die jeweils aktuelle Fassung ist unter /avv abrufbar.