Auftragsverarbeitungsvertrag
AVV / DPA — gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)
Verantwortlicher
Kunde — die natürliche oder juristische Person, die einen Vertrag zur Nutzung des GemiSys™-Systems mit Xbiz s.r.o. abgeschlossen hat (nachfolgend „Verantwortlicher")
Auftragsverarbeiter
Xbiz s.r.o., Rosina 541, 013 22 Rosina, Slowakische Republik, Nr.: 51654814 (nachfolgend „Auftragsverarbeiter")
1. Gegenstand und Zweck der Verarbeitung
Der Auftragsverarbeiter stellt dem Verantwortlichen das Softwaresystem GemiSys™ zur Verwaltung einer Bäckerei oder Konditorei zur Verfügung. Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter technisch personenbezogene Daten, die der Verantwortliche in das System eingibt — ausschließlich zum Zweck der Bereitstellung und des Betriebs des vereinbarten Dienstes.
Rechtsgrundlage: Art. 28 DSGVO — Verarbeitung im Auftrag des Verantwortlichen.
2. Kategorien verarbeiteter Daten
- Namen und Kontaktdaten der Kunden der Bäckerei
- Kauf- und Bestellhistorie
- Betriebsaufzeichnungen (Produktion, Lagerbestand, Rezepte)
- Anmeldedaten der Mitarbeiter (Name, E-Mail)
Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien sensibler Daten.
„Alle vom Verantwortlichen in das GemiSys™-System eingegebenen Daten sind und bleiben ausschließliches Eigentum des Verantwortlichen. Der Auftragsverarbeiter verwendet sie zu keinem anderen Zweck als dem Betrieb des Systems für diesen spezifischen Kunden."
3. Technischer Zugriff des Auftragsverarbeiters
Der Auftragsverarbeiter hat ausschließlich unter folgenden Bedingungen technischen Zugriff auf die Datenbank des Verantwortlichen:
- Auf Anfrage des Verantwortlichen — bei der Behebung eines gemeldeten technischen Problems
- Bei Systemausfall — zur Wiederherstellung der Funktionalität und Datenintegrität
- Regelmäßige Sicherungen — automatisiert, ohne Einsicht in Inhalte
- Sicherheitsmonitoring — Verfügbarkeit und Leistung, kein Inhalt
Der Auftragsverarbeiter verpflichtet sich, nicht ohne begründeten technischen Grund auf die Datenbank zuzugreifen und Geschäftsdaten weder einzusehen noch zu analysieren.
4. Datenisolierung
Jeder GemiSys™-Kunde verfügt über eine eigene isolierte Datenbank, die physisch und logisch von allen anderen Kunden getrennt ist. Der Auftragsverarbeiter führt keine Daten verschiedener Kunden zusammen. Kein anderer GemiSys™-Kunde hat oder kann Zugriff auf die Daten des Verantwortlichen haben.
5. Unterauftragsverarbeiter
- Google LLC (Vertex AI) — KI-Assistentin Linda. Vertraglich garantiert: Kundendaten werden niemals zum Training von KI-Modellen verwendet.
- Cloudflare, Inc. — Schutz der Netzwerkschicht. Dateninhalte werden nicht verarbeitet.
Physische Server werden ausschließlich vom Auftragsverarbeiter in Rosina, SR betrieben. Daten verlassen das Gebiet der Europäischen Union nicht.
6. Rechte des Verantwortlichen
- Export der eigenen Daten anfordern
- Löschung der Daten bei Vertragsende beantragen
- Audit der Datenverarbeitung durchführen oder beauftragen
- Information über jeden Zugriff des Auftragsverarbeiters erhalten
7. Pflichten des Auftragsverarbeiters
- Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
- Vertraulichkeit über verarbeitete Daten wahren
- Den Verantwortlichen unverzüglich über Sicherheitsvorfälle informieren
- Alle personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende löschen oder zurückgeben
8. Anwendbares Recht
Dieser Vertrag unterliegt dem Recht der Slowakischen Republik und den einschlägigen EU-Vorschriften (DSGVO). Kontakt: [email protected]