Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zugrunde liegenden Nutzungsvertrag über die Software HeizNorm (Hauptvertrag). Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters (Krüger Compliance UG (haftungsbeschränkt)) oder durch ihn beauftragte Subprozessoren personenbezogene Daten des Auftraggebers (Kunde) verarbeiten. Die Laufzeit entspricht der des Hauptvertrags.

§ 2 Art, Umfang und Zweck der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der vertraglich vereinbarten Leistungen (Heizlast- und Energiebedarfsberechnung nach DIN EN 12831, Fördermittel- und Wartungsdokumentation, Kunden- und Projektverwaltung). Verarbeitet werden insbesondere Stammdaten der Nutzer (Name, dienstliche Kontaktdaten), Projektdaten, Bau- und Berechnungsdaten, Wartungsprotokolle sowie Nutzungs- und Protokolldaten. Kategorien betroffener Personen sind Beschäftigte und Beauftragte des Auftraggebers (z. B. SHK-Handwerker, Energieberater, Endkunden des Auftraggebers).

§ 3 Pflichten des Auftragsverarbeiters

• Verarbeitung personenbezogener Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO);
• Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe § 4);
• Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen sowie bei Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 lit. e, f DSGVO);
• unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere verschlüsselte Datenübertragung (TLS), Zugriffskontrolle über Authentifizierung (Clerk) und rollenbasierte Berechtigungen, mandantengetrennte Datenhaltung in einer PostgreSQL-Datenbank (Neon, EU-Region Frankfurt) sowie Hosting auf Infrastruktur mit anerkannter Zertifizierung (ISO 27001 / SOC 2). Die Maßnahmen werden bei technischer Weiterentwicklung fortgeschrieben.

§ 5 Unterauftragsverhältnisse

Der Auftraggeber stimmt der Hinzuziehung der in der Subprozessoren-Liste genannten Unterauftragsverarbeiter zu. Diese Liste ist Anlage zu diesem Vertrag. Über beabsichtigte Änderungen (Hinzuziehung oder Austausch) informiert der Auftragsverarbeiter rechtzeitig; dem Auftraggeber steht ein Widerspruchsrecht aus wichtigem Grund zu.

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen betroffener Personen, die beim Auftragsverarbeiter eingehen, werden an den Auftraggeber weitergeleitet.

§ 7 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Ein Datenexport ist während der Vertragslaufzeit jederzeit möglich.

§ 8 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Auftraggeber die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 9 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in Datenschutzfragen vor.