Auftragsverarbeitungsvertrag (AVV)

§ 1 – Gegenstand und Dauer

Gegenstand ist die automatisierte technische Analyse von Websites. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Eine darüber hinausgehende Verarbeitung findet nicht statt.

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Rahmen dieses AVV verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 2 – Art und Zweck der Verarbeitung

Verarbeitete Daten: IP-Adressen der zu analysierenden Websites (nicht der Endnutzer), Inhalte und Metadaten der analysierten Seiten (öffentlich zugänglich), Analyse-Ergebnisse. Zweck: technische Qualitäts- und Rechtskonformitätsprüfung von Websites.

§ 3 – Weisungsbefugnis

Der Auftragnehmer (Qavlar Tech) verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Als Weisung gilt insbesondere die Eingabe einer URL zur Analyse. Weitere Weisungen können schriftlich per E-Mail an qalyze@qavlar.tech erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Auftraggeber unverzüglich.

§ 4 – Technische und organisatorische Maßnahmen (TOM)

Qavlar Tech setzt folgende Schutzmaßnahmen um: SSL/TLS-Verschlüsselung aller Übertragungen; Hosting in Deutschland (EU-Rechenzentrum); Zugriffskontrolle mit Authentifizierung; automatische Datenlöschung nach 30 Tagen; regelmäßige Sicherheitsupdates; keine Weitergabe an Dritte ohne Rechtsgrundlage.

§ 5 – Unterauftragnehmer

5.1 Der Auftraggeber genehmigt den Einsatz folgender Unterauftragnehmer: • NetCup GmbH (Server-Hosting, Deutschland) • Mailjet SAS (transaktionaler E-Mail-Versand, Frankreich – EU)

5.2 Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen beim Einsatz von Unterauftragnehmern. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen. Bleibt ein Widerspruch aus, gilt die Änderung als genehmigt. Bei Widerspruch kann der Auftragnehmer den Vertrag zum Ende der laufenden Periode kündigen.

5.3 Mit jedem Unterauftragnehmer wird ein Vertrag geschlossen, der gleichwertige Datenschutzpflichten auferlegt. Bei Unterauftragnehmern außerhalb der EU/des EWR werden geeignete Garantien (Standardvertragsklauseln) sichergestellt.

§ 6 – Betroffenenrechte

6.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch), soweit dies die Art der Verarbeitung erlaubt.

6.2 Anfragen von Betroffenen sind an qalyze@qavlar.tech zu richten. Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich nach Eingang einer Betroffenenanfrage.

§ 7 – Datenlöschung nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden alle vom Auftraggeber veranlassten Scan-Daten innerhalb von 30 Tagen unwiderruflich gelöscht oder dem Auftraggeber in maschinenlesbarer Form übergeben (auf Anfrage).

§ 8 – Audits

8.1 Der Auftraggeber ist berechtigt, einmal pro Kalenderjahr mit 14-tägiger schriftlicher Vorankündigung Audits der Verarbeitungstätigkeiten durchzuführen oder durchführen zu lassen.

8.2 Audits werden während der normalen Geschäftszeiten durchgeführt und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.

8.3 Der Auftragnehmer stellt alle zur Nachweisführung erforderlichen Informationen zur Verfügung.

8.4 Die Kosten des Audits trägt der Auftraggeber, es sei denn, das Audit ergibt eine wesentliche Pflichtverletzung des Auftragnehmers.

§ 9 – Kontakt Datenschutzbeauftragter

Datenschutzverantwortlicher: István Ékes, qalyze@qavlar.tech. Bei datenschutzrechtlichen Fragen steht er zur Verfügung.

§ 10 – Meldung von Datenpannen

10.1 Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, jeden Datenschutzverstoß, der die im Rahmen dieses AVV verarbeiteten Daten betrifft.

10.2 Die Meldung enthält: Art des Verstoßes, betroffene Kategorien und ungefähre Anzahl von Betroffenen und Datensätzen, voraussichtliche Folgen sowie ergriffene oder geplante Abhilfemaßnahmen.

10.3 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner eigenen Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 11 – Datenschutz-Folgenabschätzung

Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen mit Aufsichtsbehörden, soweit die Verarbeitungstätigkeiten dieses AVV betroffen sind.