Auftragsverarbeitung
1. Gegenstand und Dauer
Der Auftragnehmer (Simon Kappelmeir â Dienstleistung, Weiherbachweg 6, 82216 Maisach, support@horticum.com) stellt dem Auftraggeber die Software âHorticum" als SaaS-Anwendung zur VerfĂźgung und verarbeitet dabei personenbezogene Daten ausschlieĂlich im Auftrag des Auftraggebers gemäà Art. 28 DSGVO. Diese Vereinbarung wird mit Abschluss des Nutzungsvertrags wirksam und endet automatisch mit dessen Beendigung. Die Verarbeitung erfolgt ausschlieĂlich in der EU/EWR bzw. in Drittländern mit Angemessenheitsbeschluss oder auf Basis von Standardvertragsklauseln (SCC).
2. Art und Zweck der Verarbeitung
Zweck der Verarbeitung ist die Bereitstellung der App-Funktionen, insbesondere: ⢠Beetbelegung, Kulturplanung, Aufgaben- und Tagesplanverwaltung ⢠Stundenerfassung und Abwesenheitsverwaltung der Mitarbeiter ⢠Pflanzenschutz- und Dßngedokumentation ⢠Erste-Hilfe-Buch (Verbandbuch nach DGUV) ⢠Kontaktverwaltung (Kunden, Lieferanten, Ansprechpartner) ⢠Etiketten- und Listendruck (Pro+-Abo) ⢠Synchronisation zwischen Endgeräten ⢠Account- und Abo-Verwaltung
3. Art der personenbezogenen Daten
⢠Stamm- und Kommunikationsdaten (Name, Adresse, Telefon, E-Mail) ⢠Login-/Account-Daten (E-Mail, Passwort-Hash, Session-Token, IP-Adressen) ⢠Vertragsstammdaten (Steuernummer, USt-IdNr., IBAN/BIC) ⢠Betriebliche Planungs- und Steuerungsdaten ⢠Stundenerfassungs- und Abwesenheitsdaten ⢠Besondere Kategorien gemäà Art. 9 DSGVO: Gesundheitsdaten von Beschäftigten im digitalen Erste-Hilfe-Buch (gesetzliche Aufbewahrung 5 Jahre nach DGUV Vorschrift 1) ⢠Pflanzenschutz-Anwendungsdaten (Sachkundenachweis-Daten, Anwender-Namen, Anwendungen â gem. § 11 PflSchG, 3 Jahre) ⢠DĂźngungsdaten (gem. DĂźV)
4. Kategorien betroffener Personen
⢠Inhaber bzw. Geschäftsfßhrung des Auftraggebers ⢠Mitarbeiter und Auszubildende des Auftraggebers ⢠Kunden, Lieferanten und Ansprechpartner des Auftraggebers ⢠Endkunden des Auftraggebers (soweit in der Kontaktverwaltung gespeichert)
5. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschlieĂlich im Rahmen dieser Vereinbarung und nach den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO). Die mit der Verarbeitung befassten Personen werden zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO). Der Auftragnehmer unterstĂźtzt den Auftraggeber bei der Wahrung der Betroffenenrechte (Art. 12â22 DSGVO) sowie bei den Pflichten nach Art. 32â36 DSGVO (Datenschutz-Folgeabschätzung, Vorab-Konsultation, Meldung von Datenschutzverletzungen). Erkennbar an den Auftraggeber gerichtete Anfragen werden unverzĂźglich weitergeleitet. Ansprechperson fĂźr Datenschutz: Simon Kappelmeir, support@horticum.com. Ein Datenschutzbeauftragter ist gesetzlich derzeit nicht erforderlich.
6. Technische und organisatorische MaĂnahmen (TOMs)
Der Auftragnehmer ergreift alle erforderlichen technischen und organisatorischen MaĂnahmen nach Art. 32 DSGVO. Dazu zählen insbesondere: ⢠Zutrittskontrolle: Server-Hosting in einem zertifizierten Rechenzentrum in Deutschland (ISO 27001), physische Zutrittskontrolle und 24/7-Bewachung ⢠Zugangskontrolle: Authentifizierung per E-Mail/Passwort, Argon2id-/Bcrypt-Hashes, SSH-Public-Key fĂźr Admin-Zugriff, Rate-Limiting, Session-Ablauf ⢠Zugriffskontrolle: Mandantentrennung pro Betrieb Ăźber Appwrite-Teams, rollenbasiertes Berechtigungsmodell ⢠Weitergabekontrolle: ausschlieĂlich TLS 1.2+ (HTTPS), HSTS aktiviert ⢠Eingabekontrolle: Audit-Trail (createdAt, updatedAt) auf allen relevanten Datensätzen, Synchronisations-Versionen erlauben RĂźckverfolgung ⢠Auftragskontrolle: AVV mit allen Sub-Auftragsverarbeitern ⢠VerfĂźgbarkeitskontrolle: stĂźndliche Backups (24 Slots, 1 Tag Aufbewahrung), tägliche Backups (30 Tage), monatliche Backups (12 Monate), CAS-Dedup, Monitoring, RPO < 1 h, Firewall, regelmäĂige Sicherheits-Updates ⢠Trennungskontrolle: getrennte Test-/Entwicklungs-/Produktivumgebungen, Mandantentrennung auf Datenbank-Ebene ⢠Pseudonymisierung: interne Account-IDs statt Klarnamen in Server-Logs
7. Unterauftragsverarbeiter
Der Auftraggeber erteilt mit Abschluss dieses Vertrags die allgemeine Genehmigung zur Beauftragung der folgenden Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO): ⢠dogado GmbH (Dortmund, DE) â Web-/Mail-Hosting, Server-Proxy fĂźr VIES-Validierung sowie Betrieb des Appwrite-Servers in Deutschland ⢠Stripe Payments Europe Ltd. (Dublin, IE) â Zahlungsabwicklung Pro-/Pro+-Abos im Web und auf Android (bei US-Transfer: SCC + Data Privacy Framework) ⢠Apple Distribution International Ltd. (Cork, IE) â Zahlungsabwicklung iOS/macOS via In-App-Purchase ⢠fintectura GmbH / openiban.com (Berlin, DE) â IBAN-Validierung ⢠Europäische Kommission, GD TAXUD (BrĂźssel, BE) â VIES USt-IdNr.-PrĂźfung ⢠komoot GmbH (Karlsruhe, DE) â Photon-Geocoding (StraĂen-Autocomplete) ⢠zippopotam.us â PLZ-zu-Ort-Lookup Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus in Textform Ăźber beabsichtigte Ănderungen. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichen Grund Einspruch erheben. Der Auftragnehmer haftet fĂźr die Einhaltung der Datenschutzpflichten durch die Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO).
8. Datenschutz-Folgenabschätzung und Vorab-Konsultation
Der Auftragnehmer unterstßtzt den Auftraggeber im Rahmen seiner MÜglichkeiten bei der Erstellung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und einer Vorab-Konsultation der AufsichtsbehÜrde (Art. 36 DSGVO), insbesondere durch Bereitstellung der benÜtigten Informationen zu Verarbeitungsvorgängen, TOMs und Sub-Auftragsverarbeitern.
9. Meldung von Datenpannen
Datenpannen werden dem Auftraggeber unverzĂźglich, spätestens binnen 48 Stunden nach Bekanntwerden, per E-Mail an die hinterlegte Kontaktadresse gemeldet â damit der Auftraggeber seine eigene 72-Stunden-Frist nach Art. 33 DSGVO einhalten kann. Die Meldung enthält Art und Umfang der Verletzung, betroffene Datenkategorien und ungefähre Anzahl der betroffenen Personen, voraussichtliche Folgen sowie ergriffene oder geplante GegenmaĂnahmen.
10. Beendigung der Verarbeitung
Nach Beendigung des Nutzungsvertrags lĂśscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Verlangen des Auftraggebers werden die Daten zuvor in einem maschinenlesbaren Format (JSON-Export) bereitgestellt. Daten mit gesetzlicher Aufbewahrungspflicht (Erste-Hilfe-Einträge: 5 Jahre nach DGUV; Pflanzenschutz-Daten: 3 Jahre nach PflSchG) werden bis zum Ablauf der Frist gesperrt aufbewahrt und anschlieĂend gelĂśscht. Auf Verlangen wird die LĂśschung schriftlich bestätigt.
11. Nachweise und Audit
Der Auftraggeber kann die Einhaltung dieser Vereinbarung beim Auftragnehmer ĂźberprĂźfen (Art. 28 Abs. 3 lit. h DSGVO). Die ĂberprĂźfung erfolgt vorrangig durch Anforderung aktueller Nachweise (Datenschutz-Konzept, TOMs, Subprozessor-Liste, Audit-Berichte). Vor-Ort-PrĂźfungen sind nach vorheriger Terminabstimmung mit mindestens 4 Wochen Vorlauf, einmal jährlich, während der Ăźblichen Geschäftszeiten mĂśglich. Aufwand fĂźr die Begleitung wird nach vorab vereinbartem Stundensatz erstattet.
12. Schlussbestimmungen
Ănderungen und Ergänzungen dieser Vereinbarung bedĂźrfen der Textform; dies gilt auch fĂźr die Aufhebung dieser Klausel. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der Ăźbrigen Bestimmungen unberĂźhrt. Anstelle der unwirksamen Bestimmung gilt die wirksame Bestimmung, die dem wirtschaftlichen Zweck am nächsten kommt. Es gilt deutsches Recht. Gerichtsstand ist â soweit gesetzlich zulässig â Maisach (Sitz des Auftragnehmers). Die Haftung richtet sich nach Art. 82 DSGVO sowie im Ăbrigen nach dem Hauptvertrag.