🌱 Horticum ← Zurück zur Startseite

Auftragsverarbeitung

DEENITFRESPLROBGRUUKTR

1. Gegenstand und Dauer

Der Auftragnehmer (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, support@horticum.com) stellt dem Auftraggeber die Software „Horticum" als SaaS-Anwendung zur Verfügung und verarbeitet dabei personenbezogene Daten ausschließlich im Auftrag des Auftraggebers gemäß Art. 28 DSGVO. Diese Vereinbarung wird mit Abschluss des Nutzungsvertrags wirksam und endet automatisch mit dessen Beendigung. Die Verarbeitung erfolgt ausschließlich in der EU/EWR bzw. in Drittländern mit Angemessenheitsbeschluss oder auf Basis von Standardvertragsklauseln (SCC).

2. Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist die Bereitstellung der App-Funktionen, insbesondere: • Beetbelegung, Kulturplanung, Aufgaben- und Tagesplanverwaltung • Stundenerfassung und Abwesenheitsverwaltung der Mitarbeiter • Pflanzenschutz- und Düngedokumentation • Erste-Hilfe-Buch (Verbandbuch nach DGUV) • Kontaktverwaltung (Kunden, Lieferanten, Ansprechpartner) • Etiketten- und Listendruck (Pro+-Abo) • Synchronisation zwischen Endgeräten • Account- und Abo-Verwaltung

3. Art der personenbezogenen Daten

• Stamm- und Kommunikationsdaten (Name, Adresse, Telefon, E-Mail) • Login-/Account-Daten (E-Mail, Passwort-Hash, Session-Token, IP-Adressen) • Vertragsstammdaten (Steuernummer, USt-IdNr., IBAN/BIC) • Betriebliche Planungs- und Steuerungsdaten • Stundenerfassungs- und Abwesenheitsdaten • Besondere Kategorien gemäß Art. 9 DSGVO: Gesundheitsdaten von Beschäftigten im digitalen Erste-Hilfe-Buch (gesetzliche Aufbewahrung 5 Jahre nach DGUV Vorschrift 1) • Pflanzenschutz-Anwendungsdaten (Sachkundenachweis-Daten, Anwender-Namen, Anwendungen — gem. § 11 PflSchG, 3 Jahre) • Düngungsdaten (gem. DüV)

4. Kategorien betroffener Personen

• Inhaber bzw. Geschäftsführung des Auftraggebers • Mitarbeiter und Auszubildende des Auftraggebers • Kunden, Lieferanten und Ansprechpartner des Auftraggebers • Endkunden des Auftraggebers (soweit in der Kontaktverwaltung gespeichert)

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarung und nach den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO). Die mit der Verarbeitung befassten Personen werden zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO). Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrung der Betroffenenrechte (Art. 12–22 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO (Datenschutz-Folgeabschätzung, Vorab-Konsultation, Meldung von Datenschutzverletzungen). Erkennbar an den Auftraggeber gerichtete Anfragen werden unverzüglich weitergeleitet. Ansprechperson für Datenschutz: Simon Kappelmeir, support@horticum.com. Ein Datenschutzbeauftragter ist gesetzlich derzeit nicht erforderlich.

6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer ergreift alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Dazu zählen insbesondere: • Zutrittskontrolle: Server-Hosting in einem zertifizierten Rechenzentrum in Deutschland (ISO 27001), physische Zutrittskontrolle und 24/7-Bewachung • Zugangskontrolle: Authentifizierung per E-Mail/Passwort, Argon2id-/Bcrypt-Hashes, SSH-Public-Key für Admin-Zugriff, Rate-Limiting, Session-Ablauf • Zugriffskontrolle: Mandantentrennung pro Betrieb über Appwrite-Teams, rollenbasiertes Berechtigungsmodell • Weitergabekontrolle: ausschließlich TLS 1.2+ (HTTPS), HSTS aktiviert • Eingabekontrolle: Audit-Trail (createdAt, updatedAt) auf allen relevanten Datensätzen, Synchronisations-Versionen erlauben Rückverfolgung • Auftragskontrolle: AVV mit allen Sub-Auftragsverarbeitern • Verfügbarkeitskontrolle: stündliche Backups (24 Slots, 1 Tag Aufbewahrung), tägliche Backups (30 Tage), monatliche Backups (12 Monate), CAS-Dedup, Monitoring, RPO < 1 h, Firewall, regelmäßige Sicherheits-Updates • Trennungskontrolle: getrennte Test-/Entwicklungs-/Produktivumgebungen, Mandantentrennung auf Datenbank-Ebene • Pseudonymisierung: interne Account-IDs statt Klarnamen in Server-Logs

7. Unterauftragsverarbeiter

Der Auftraggeber erteilt mit Abschluss dieses Vertrags die allgemeine Genehmigung zur Beauftragung der folgenden Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO): • dogado GmbH (Dortmund, DE) — Web-/Mail-Hosting, Server-Proxy für VIES-Validierung sowie Betrieb des Appwrite-Servers in Deutschland • Stripe Payments Europe Ltd. (Dublin, IE) — Zahlungsabwicklung Pro-/Pro+-Abos im Web und auf Android (bei US-Transfer: SCC + Data Privacy Framework) • Apple Distribution International Ltd. (Cork, IE) — Zahlungsabwicklung iOS/macOS via In-App-Purchase • fintectura GmbH / openiban.com (Berlin, DE) — IBAN-Validierung • Europäische Kommission, GD TAXUD (Brüssel, BE) — VIES USt-IdNr.-Prüfung • komoot GmbH (Karlsruhe, DE) — Photon-Geocoding (Straßen-Autocomplete) • zippopotam.us — PLZ-zu-Ort-Lookup Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus in Textform über beabsichtigte Änderungen. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichen Grund Einspruch erheben. Der Auftragnehmer haftet für die Einhaltung der Datenschutzpflichten durch die Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO).

8. Datenschutz-Folgenabschätzung und Vorab-Konsultation

Der Auftragnehmer unterstßtzt den Auftraggeber im Rahmen seiner MÜglichkeiten bei der Erstellung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und einer Vorab-Konsultation der AufsichtsbehÜrde (Art. 36 DSGVO), insbesondere durch Bereitstellung der benÜtigten Informationen zu Verarbeitungsvorgängen, TOMs und Sub-Auftragsverarbeitern.

9. Meldung von Datenpannen

Datenpannen werden dem Auftraggeber unverzüglich, spätestens binnen 48 Stunden nach Bekanntwerden, per E-Mail an die hinterlegte Kontaktadresse gemeldet — damit der Auftraggeber seine eigene 72-Stunden-Frist nach Art. 33 DSGVO einhalten kann. Die Meldung enthält Art und Umfang der Verletzung, betroffene Datenkategorien und ungefähre Anzahl der betroffenen Personen, voraussichtliche Folgen sowie ergriffene oder geplante Gegenmaßnahmen.

10. Beendigung der Verarbeitung

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Verlangen des Auftraggebers werden die Daten zuvor in einem maschinenlesbaren Format (JSON-Export) bereitgestellt. Daten mit gesetzlicher Aufbewahrungspflicht (Erste-Hilfe-Einträge: 5 Jahre nach DGUV; Pflanzenschutz-Daten: 3 Jahre nach PflSchG) werden bis zum Ablauf der Frist gesperrt aufbewahrt und anschließend gelöscht. Auf Verlangen wird die Löschung schriftlich bestätigt.

11. Nachweise und Audit

Der Auftraggeber kann die Einhaltung dieser Vereinbarung beim Auftragnehmer überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Die Überprüfung erfolgt vorrangig durch Anforderung aktueller Nachweise (Datenschutz-Konzept, TOMs, Subprozessor-Liste, Audit-Berichte). Vor-Ort-Prüfungen sind nach vorheriger Terminabstimmung mit mindestens 4 Wochen Vorlauf, einmal jährlich, während der üblichen Geschäftszeiten möglich. Aufwand für die Begleitung wird nach vorab vereinbartem Stundensatz erstattet.

12. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform; dies gilt auch für die Aufhebung dieser Klausel. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt die wirksame Bestimmung, die dem wirtschaftlichen Zweck am nächsten kommt. Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – Maisach (Sitz des Auftragnehmers). Die Haftung richtet sich nach Art. 82 DSGVO sowie im Übrigen nach dem Hauptvertrag.