Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Systric IT) im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform NIS2-Autopilot.

Der AVV gilt für die Dauer des Hauptvertrags (Nutzungsvertrag / AGB). Er endet automatisch mit dem Ende des Hauptvertrags, vorbehaltlich der Regelungen zur Löschung in Art. 10.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:

• Bereitstellung und Betrieb der NIS2-Autopilot-Plattform
• Verwaltung von Nutzerkonten und Organisationsdaten
• Speicherung und Verarbeitung von Compliance-Daten und Dokumenten
• Versand transaktionaler E-Mails (über Unterauftragsverarbeiter Resend)
• Datensicherung und Wiederherstellung

Eine Verarbeitung zu anderen Zwecken — insbesondere für eigene Geschäftszwecke des Auftragsverarbeiters — findet nicht statt.

Kategorien betroffener Personen:

• Mitarbeiter und Nutzer des Auftraggebers (registrierte Accounts)
• Kontaktpersonen des Auftraggebers

Kategorien personenbezogener Daten:

• Stammdaten: Name, E-Mail-Adresse, Rolle im Unternehmen
• Zugangsdaten: E-Mail, Passwort-Hash (keine Klartextpasswörter)
• Nutzungsdaten: Login-Zeitstempel, Aktivitätsprotokoll
• Unternehmensdaten: Firmenname, Branche, Mitarbeiterzahl, Umsatz, Sektor
• Compliance-Daten: Antworten im Betroffenheitscheck und der Gap-Analyse
• Dokumente und Nachweise, die der Auftraggeber hochlädt

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet, sofern der Auftraggeber diese nicht selbst in Dokumenten einstellt.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland — es sei denn, er ist durch das Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

Weisungen können schriftlich (E-Mail) oder über die Plattform-Einstellungen erteilt werden. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

Der Auftragsverarbeiter verpflichtet sich insbesondere:

• Personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers zu verarbeiten
• Sicherzustellen, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 8 dieses AVV) zu unterstützen
• Den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über Datenschutzverletzungen gemäß Art. 33 DSGVO zu informieren
• Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen nach Art. 32 DSGVO implementiert:

Der Auftraggeber erteilt seine Einwilligung zur Beauftragung folgender Unterauftragsverarbeiter:

Über geplante Änderungen (Hinzunahme oder Austausch von Unterauftragsverarbeitern) wird der Auftraggeber mindestens 4 Wochen vorab informiert. Der Auftraggeber hat das Recht, begründeten Widerspruch zu erheben.

Der Auftragsverarbeiter unterstützt den Auftraggeber dabei, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu beantworten.

Entsprechende Anfragen können an info@systric.de gerichtet werden. Der Auftragsverarbeiter bearbeitet diese innerhalb von 5 Werktagen.

Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieses AVV durch den Auftragsverarbeiter zu überprüfen — durch Inspektionen oder Audits, die er selbst oder ein beauftragter Prüfer durchführt.

Zur Vermeidung von Betriebsstörungen sind Audits mindestens 4 Wochen vorab anzukündigen und während der üblichen Geschäftszeiten (Mo–Fr, 9–17 Uhr) durchzuführen. Die Kosten für Audits trägt der Auftraggeber.

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung und leistet angemessene Unterstützung bei Kontrollmaßnahmen.

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Auftraggebers wie folgt behandelt:

• 30 Tage Übergangsfrist: Daten bleiben für eventuelle Datenexporte und Wiederherstellungen zugänglich.
• Nach 30 Tagen: Unwiderrufliche Löschung aller personenbezogenen Daten aus der Produktionsdatenbank, den Backups und dem Objektspeicher (MinIO).
• Auf Anfrage: Der Auftraggeber kann vor Ablauf der 30 Tage einen vollständigen Datenexport (JSON/CSV) anfordern. Anfragen an info@systric.de.

Gesetzliche Aufbewahrungspflichten (z. B. Rechnungsdaten nach § 147 AO: 10 Jahre) bleiben von der Löschung unberührt.

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den Haftungsregelungen im Hauptvertrag (§ 10 AGB).

Jede Partei haftet für Datenschutzverstöße, die sie zu vertreten hat. Der Auftragsverarbeiter haftet nur, wenn er seinen spezifisch ihm nach der DSGVO auferlegten Pflichten nicht nachgekommen ist oder außerhalb der rechtmäßigen Weisungen des Auftraggebers gehandelt hat.

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail genügt).

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Wartenberg.

Dieser AVV ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien und wird wirksam mit der Registrierung auf der Plattform.