Verarbeiten Sie als Kunde personenbezogene Daten in RegalScan, sind wir Ihr Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Den AVV schließen wir gerne mit Ihnen ab – die folgenden Bedingungen bilden die Grundlage.

§ 1 Gegenstand und Dauer

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zugrunde liegenden Nutzungsvertrag über die Software RegalScan (Hauptvertrag). Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters (Krüger Compliance UG (haftungsbeschränkt)) oder durch ihn beauftragte Subprozessoren personenbezogene Daten des Auftraggebers (Kunde) verarbeiten. Die Laufzeit entspricht der des Hauptvertrags.

§ 2 Art, Umfang und Zweck der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der vertraglich vereinbarten Leistungen (digitale Regalprüfung und Dokumentation nach DIN EN 15635). Verarbeitet werden insbesondere Stammdaten der Nutzer (Name, dienstliche Kontaktdaten), Prüfdaten sowie Nutzungs- und Protokolldaten. Kategorien betroffener Personen sind Beschäftigte und Beauftragte des Auftraggebers (z. B. befähigte Personen, Sicherheitsbeauftragte).

§ 3 Pflichten des Auftragsverarbeiters

Verarbeitung personenbezogener Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO);
Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe § 4);
Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen sowie bei Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 lit. e, f DSGVO);
unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere verschlüsselte Datenübertragung (TLS), Zugriffskontrolle über Authentifizierung und rollenbasierte Berechtigungen, mandantengetrennte Datenhaltung sowie Hosting auf Infrastruktur mit anerkannter Zertifizierung (ISO 27001 / SOC 2). Die Maßnahmen werden bei technischer Weiterentwicklung fortgeschrieben.

§ 5 Unterauftragsverhältnisse

Der Auftraggeber stimmt der Hinzuziehung der in der Subprozessoren-Liste genannten Unterauftragsverarbeiter zu. Diese Liste ist Anlage zu diesem Vertrag. Über beabsichtigte Änderungen (Hinzuziehung oder Austausch) informiert der Auftragsverarbeiter rechtzeitig; dem Auftraggeber steht ein Widerspruchsrecht aus wichtigem Grund zu.

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen betroffener Personen, die beim Auftragsverarbeiter eingehen, werden an den Auftraggeber weitergeleitet.

§ 7 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Ein Datenexport ist während der Vertragslaufzeit jederzeit möglich.

§ 8 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Auftraggeber die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 9 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in Datenschutzfragen vor.

Auftragsverarbeitungsvertrag (AVV)