Vertrag zur Auftragsverarbeitung
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Zwischen dem Kunden (nachfolgend „Verantwortlicher") und Prodify Software (nachfolgend „Auftragsverarbeiter") wird der nachstehende Vertrag zur Auftragsverarbeitung geschlossen. Verantwortlicher und Auftragsverarbeiter werden im Folgenden einzeln auch „Partei" und gemeinsam „die Parteien" genannt.
Kontaktstellen des Auftragsverarbeiters
- Allgemeine Anfragen: kontakt@prodifysoftware.com
- Datenschutz-Anfragen: datenschutz@prodifysoftware.com
- Support: support@prodifysoftware.com
Präambel
Der Verantwortliche nutzt die vom Auftragsverarbeiter bereitgestellte Software-as-a-Service-Plattform „Prodify" zur Verwaltung von Instandhaltungs- und Wartungsprozessen (nachfolgend „die Plattform"). Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO und ergänzt den Hauptvertrag (Nutzungsvertrag/Bestellung) zwischen den Parteien.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Bereitstellung und zum Betrieb der Plattform.
(2) Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Abfragen, Verwenden, Übermitteln, Löschen und Vernichten personenbezogener Daten im Umfang, der zur vertragsgemäßen Erbringung der Plattformleistungen erforderlich ist.
(3) Der Zweck der Verarbeitung ergibt sich aus dem Hauptvertrag und dem vereinbarten Leistungsumfang.
§ 2 Dauer der Verarbeitung
Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages, es sei denn, aus den nachstehenden Regelungen ergeben sich darüber hinausgehende Verpflichtungen.
§ 3 Art der personenbezogenen Daten
Gegenstand der Verarbeitung sind die folgenden Datenkategorien:
- Stammdaten der Nutzer (z. B. Vor- und Nachname, dienstliche E-Mail-Adresse, Rolle/Funktion)
- Authentifizierungsdaten (z. B. Passwort-Hash, Session-Identifikatoren)
- Nutzungs- und Protokolldaten (z. B. Zeitpunkt von Anmeldungen, ausgeführte Aktionen, Änderungshistorie)
- Inhaltsdaten, die der Verantwortliche in der Plattform anlegt (z. B. Tickets, Wartungsprotokolle, Notizen, Anhänge)
- Technische Metadaten (z. B. IP-Adresse zum Zeitpunkt eines Zugriffs, User-Agent des Browsers)
§ 4 Kategorien betroffener Personen
Von der Verarbeitung können folgende Personengruppen betroffen sein:
- Beschäftigte und externe Mitarbeitende des Verantwortlichen, die die Plattform nutzen (z. B. Administratoren, Techniker, Sachbearbeitende)
- Weitere Personen, deren Daten der Verantwortliche im Rahmen seiner betrieblichen Prozesse in der Plattform erfasst (z. B. Ansprechpartner von Lieferanten, Dienstleistern oder Auftraggebern)
§ 5 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet.
(2) Die Konfiguration der Plattform durch den Verantwortlichen (z. B. Anlage von Nutzern, Rollen und Datenobjekten) gilt als Weisung im Sinne dieses Vertrages.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.
§ 6 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere,
- die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen einzuhalten und nach dem Stand der Technik fortlaufend weiterzuentwickeln;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen;
- den Verantwortlichen bei der Wahrnehmung seiner datenschutzrechtlichen Pflichten (insbesondere Art. 32 – 36 DSGVO) angemessen zu unterstützen;
- Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung, an den Verantwortlichen zu melden (vgl. § 11);
- Anfragen betroffener Personen, die direkt an den Auftragsverarbeiter gerichtet werden, an den Verantwortlichen weiterzuleiten und nicht selbst zu beantworten.
§ 7 Pflichten und Verantwortlichkeit des Verantwortlichen
Der Verantwortliche ist im Verhältnis der Parteien für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen alleinverantwortlich. Er stellt sicher, dass eine geeignete Rechtsgrundlage für die von ihm in der Plattform veranlassten Verarbeitungen besteht.
§ 8 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung zur Einbeziehung weiterer Auftragsverarbeiter („Unterauftragsverarbeiter") zur Bereitstellung der Plattform. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist als Anlage 2 beigefügt.
(2) Der Auftragsverarbeiter wählt Unterauftragsverarbeiter sorgfältig aus und stellt sicher, dass diese vertraglich auf Datenschutzpflichten verpflichtet werden, die denen dieses Vertrages entsprechen.
(3) Beabsichtigt der Auftragsverarbeiter, einen neuen Unterauftragsverarbeiter einzusetzen oder einen bestehenden zu ersetzen, informiert er den Verantwortlichen mindestens 30 Tage vor Wirksamwerden der Änderung in Textform (z. B. per E-Mail oder über die Plattform).
(4) Der Verantwortliche kann der Änderung innerhalb von 14 Tagen ab Zugang der Mitteilung aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien verpflichtet, gemeinsam eine einvernehmliche Lösung zu finden. Kann eine solche Lösung nicht erreicht werden, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht hinsichtlich des Hauptvertrages zu.
(5) Bei der Übermittlung personenbezogener Daten in Drittländer stellt der Auftragsverarbeiter sicher, dass geeignete Garantien im Sinne der Art. 44 ff. DSGVO bestehen (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss).
§ 9 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen werden in regelmäßigen Abständen überprüft und an den Stand der Technik angepasst. Wesentliche Änderungen, die das Schutzniveau verringern würden, sind unzulässig.
§ 10 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Die Plattform stellt dem Verantwortlichen hierfür geeignete Funktionen bereit, insbesondere einen strukturierten Export sämtlicher mandantenbezogener Daten in einem gängigen, maschinenlesbaren Format.
§ 11 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung.
(2) Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, der voraussichtlich betroffenen Datenkategorien und betroffenen Personen, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung und Behebung.
§ 12 Nachweise und Kontrollen
(1) Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten aus diesem Vertrag auf Anforderung in geeigneter Weise nach, insbesondere durch Bereitstellung der Dokumentation der technischen und organisatorischen Maßnahmen.
(2) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages im erforderlichen Umfang zu überprüfen. Prüfungen erfolgen in der Regel durch Auswertung der vom Auftragsverarbeiter vorgelegten Nachweise. Vor-Ort-Prüfungen sind nach vorheriger Ankündigung und Abstimmung während der üblichen Geschäftszeiten und unter Beachtung der Betriebsabläufe des Auftragsverarbeiters möglich.
§ 13 Vertraulichkeit
Die Parteien verpflichten sich, alle im Rahmen dieses Vertrages erlangten Informationen vertraulich zu behandeln. Die Verpflichtung gilt auch nach Beendigung dieses Vertrages fort.
§ 14 Haftung
Für die Haftung der Parteien gelten die Regelungen des Hauptvertrages. Im Außenverhältnis zu betroffenen Personen haften die Parteien nach Art. 82 DSGVO.
§ 15 Beendigung, Datenrückgabe und Löschung
(1) Nach Beendigung des Hauptvertrages wird dem Verantwortlichen eine Übergangsfrist von 30 Tagen („Grace-Period") eingeräumt, innerhalb derer er seine Daten über die Plattform exportieren kann. Innerhalb dieses Zeitraums bleiben die Daten unverändert verfügbar; weitergehende Nutzungsleistungen können eingeschränkt werden.
(2) Nach Ablauf der Grace-Period werden sämtliche personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter sicher gelöscht. Backup-Datensätze werden im Rahmen des regulären Backup-Lebenszyklus überschrieben und damit ebenfalls gelöscht.
(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt; betroffene Daten werden bis zum Ablauf der jeweiligen Frist gesperrt aufbewahrt.
(4) Der Auftragsverarbeiter bestätigt dem Verantwortlichen die Löschung auf Anforderung in Textform.
§ 16 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.
(3) Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages in Bezug auf die Auftragsverarbeitung vor.
(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.
Anlage 1 — Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO
Der Auftragsverarbeiter setzt die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen ein, um die Sicherheit der Verarbeitung im Sinne des Art. 32 DSGVO zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik sowie an veränderte Risikolagen angepasst.
| Schutzziel / Bereich | Umgesetzte Maßnahmen |
|---|---|
| Vertraulichkeit — Zugangskontrolle | Authentifizierung der Nutzer über persönliche, individuelle Zugangsdaten. Passwörter werden ausschließlich in Form kryptografischer Hashes (bcrypt mit Salt) gespeichert; Klartext-Passwörter werden nicht persistiert. Sitzungen werden über signierte JWT-Tokens in HttpOnly- und Secure-Cookies mit SameSite-Schutz verwaltet. |
| Vertraulichkeit — Geräte-basierte Zugangskontrolle (optional) | Auf Wunsch des Verantwortlichen lässt sich pro Mandant eine geräte-basierte Freigabe aktivieren: Anmeldungen von noch nicht vertrauten Geräten werden bis zur Bestätigung durch einen Administrator über einen Magic-Link in der E-Mail blockiert. Identifikation des Geräts über einen kryptografisch zufälligen, HttpOnly-Cookie. Erfasste Anzeige-Informationen für die Admin-Entscheidung: IP-Adresse, daraus abgeleiteter ungefährer Standort, Browser-/Betriebssystem-Kennung. Die IP-zu-Standort- Auflösung erfolgt vollständig lokal auf unseren EU-Servern über eine offline vorgehaltene Geo-IP-Datenbank (DB-IP Lite, EU-Anbieter, CC-BY 4.0). Einzelne IP-Anfragen verlassen unsere Infrastruktur nicht — keine Übermittlung an Dritte oder in Drittländer. Die Funktion ist deaktivierbar; alle Vorgänge werden im Audit-Log protokolliert. |
| Vertraulichkeit — Zugriffskontrolle | Granulares Rollen- und Berechtigungssystem mit klar definierten Rollen (z. B. Administrator, Techniker, Standardnutzer). Funktions- und Datenzugriffe werden serverseitig gegen die Rolle des Nutzers geprüft. Es gilt durchgängig das Prinzip der minimalen Rechte (Need-to-Know / Least Privilege). |
| Mandantentrennung | Vollständige logische Trennung der Daten verschiedener Kunden („Mandanten") auf Datenbankebene durch eine verpflichtende Mandanten-Kennung („company_id"). Sämtliche Lese- und Schreibzugriffe der Anwendung werden serverseitig auf die Mandanten-Kennung des angemeldeten Nutzers gefiltert; mandantenübergreifende Zugriffe werden durch technische und organisatorische Maßnahmen verhindert. |
| Vertraulichkeit — Weitergabekontrolle | Sämtliche Datenübertragungen zwischen Endgerät und Plattform sowie zwischen den eingesetzten Systemen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS in einer aktuellen, sicheren Version). Schwache Cipher-Suites sind deaktiviert. |
| Integrität — Eingabekontrolle | Wesentliche Änderungen an Datenobjekten werden in einem nachvollziehbaren Audit-Log protokolliert (Wer hat was wann verändert?). Das Audit-Log ist über die Plattform einsehbar. |
| Integrität — Übertragungskontrolle | Sitzungs- und Authentifizierungstokens werden kryptografisch signiert. Eingabedaten werden serverseitig auf Plausibilität und zulässige Wertebereiche geprüft. Standard-Schutzmechanismen gegen typische Angriffsklassen (z. B. SQL-Injection, Cross-Site-Request-Forgery) sind implementiert. |
| Verfügbarkeit und Belastbarkeit | Betrieb der Plattform auf professioneller Cloud-Infrastruktur mit redundanten Komponenten. Tägliche automatisierte Backups der Produktivdatenbank mit Aufbewahrung mehrerer Generationen. Überwachung der Systemverfügbarkeit; Sicherheits- und Verfügbarkeitsupdates werden zeitnah eingespielt. |
| Wiederherstellbarkeit | Regelmäßige Prüfung der Wiederherstellbarkeit aus Backups („Restore-Tests"). Im Störfall ist eine Wiederherstellung des letzten konsistenten Datenstandes vorgesehen. |
| Pseudonymisierung und Datenminimierung | Personenbezogene Daten werden nur insoweit erhoben und verarbeitet, wie dies für den jeweiligen Zweck erforderlich ist. Wo möglich, werden interne Verknüpfungen über technische Identifikatoren statt Klarnamen abgebildet. |
| Auftragskontrolle / Subprocessing | Sorgfältige Auswahl von Unterauftragsverarbeitern. Vertragliche Verpflichtung der Unterauftragsverarbeiter auf ein Schutzniveau, das diesem Vertrag entspricht. Dokumentation sämtlicher Unterauftragsverarbeiter in Anlage 2. |
| Organisatorische Maßnahmen | Verpflichtung aller Mitarbeitenden zur Vertraulichkeit. Zugriff auf produktive Systeme nur für Mitarbeitende, die diesen Zugriff für ihre Tätigkeit benötigen. Regelmäßige interne Prüfung und Aktualisierung der Sicherheitsmaßnahmen. |
| Trennungskontrolle | Produktive Daten werden getrennt von Test-, Entwicklungs- und Demonstrationsdaten verarbeitet. Produktive Daten werden grundsätzlich nicht zu Test- oder Entwicklungszwecken verwendet. |
Hinweis: Die vorstehende Aufstellung beschreibt das aktuelle Schutzniveau. Maßnahmen können zur Anpassung an den Stand der Technik weiterentwickelt werden; eine wesentliche Verringerung des Schutzniveaus ist ausgeschlossen.
Anlage 2 — Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt zur Erbringung der Plattformleistungen die nachstehend aufgeführten Unterauftragsverarbeiter ein. Sämtliche Unterauftragsverarbeiter sind vertraglich auf ein Datenschutzniveau verpflichtet, das den Anforderungen der DSGVO entspricht.
| Anbieter | Leistung | Verarbeitungsregion | Datenschutz-Garantien |
|---|---|---|---|
| Railway | Hosting der Plattform (Anwendungsserver und Datenbank) | EU/EWR; ggf. Drittland | Auftragsverarbeitungsvertrag abgeschlossen; bei Datentransfers in Drittländer Einsatz von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. |
| Cloudflare | Content Delivery Network (CDN), Sicherheits- und Performance-Dienste | EU/EWR; ggf. Drittland | Auftragsverarbeitungsvertrag abgeschlossen; bei Datentransfers in Drittländer Einsatz von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. |
| Resend | Versand transaktionaler E-Mails | EU/EWR; ggf. Drittland | Auftragsverarbeitungsvertrag abgeschlossen; bei Datentransfers in Drittländer Einsatz von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. |
Sofern eine Verarbeitung personenbezogener Daten außerhalb der EU bzw. des EWR erfolgt, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt, insbesondere EU-Standardvertragsklauseln. Die Auswahl der Unterauftragsverarbeiter erfolgt unter Berücksichtigung des Datenschutzniveaus im jeweiligen Sitzstaat.
Externe Datenquellen ohne Auftragsverarbeitung
Für die optionale Geräte-Freigabe verwendet der Auftragsverarbeiter die Geo-IP-Datenbank „DB-IP Lite" (Anbieter: db-ip.com, Sitz EU). Die Datenbank wird monatlich einmalig als Datei auf die Server des Auftragsverarbeiters geladen; einzelne IP-Anfragen verlassen die Infrastruktur des Auftragsverarbeiters nicht. DB-IP ist daher kein Unterauftragsverarbeiter im Sinne dieser Anlage — es findet keine Übermittlung personenbezogener Daten an DB-IP statt. Die Datenbank wird unter der Creative-Commons-Lizenz BY 4.0 bereitgestellt; die Lizenzbedingungen erfüllt der Auftragsverarbeiter durch die in dieser Anlage und in der Datenschutzerklärung enthaltene Namensnennung.
Änderungen der Liste
Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen dieser Liste (Hinzunahme oder Ersatz von Unterauftragsverarbeitern) in Textform mit einer Vorlaufzeit von mindestens 30 Tagen. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen ab Zugang der Mitteilung aus wichtigem datenschutzrechtlichen Grund widersprechen (§ 8 Abs. 4 des Hauptvertrages).
Zukünftige Unterauftragsverarbeiter
Mit Blick auf die kontinuierliche Weiterentwicklung der Plattform behält sich der Auftragsverarbeiter vor, weitere Unterauftragsverarbeiter einzusetzen (z. B. Anbieter für Fehler-Monitoring, Analyse, Zahlungsabwicklung). Vor Einsatz solcher Unterauftragsverarbeiter erfolgt eine Information des Verantwortlichen gemäß dem vorstehenden Verfahren.
Die jeweils aktuelle Fassung dieser Anlage kann beim Auftragsverarbeiter angefordert werden.