Auftragsverarbeitungsvertrag (AVV)

Dieser Vertrag konkretisiert die Pflichten der Parteien zum Datenschutz, die sich aus der Nutzung von SimpleCRM ergeben. Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder von ihm beauftragte Subunternehmer personenbezogene Daten des Auftraggebers verarbeiten.

Auftragnehmer: Philip Eden, Grünecker Str. 18i, 85375 Neufahrn b. Freising (Betreiber von SimpleCRM, „mysimplecrm.de").
Auftraggeber: der Kunde / Nutzer des Dienstes.

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der CRM-Software. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzungsverhältnis) und endet mit dessen Beendigung.

Speicherung, Organisation, Anzeige, Änderung und Löschung von Kontakt-, Vertriebs-, Termin- und Finanzdaten zum Zweck des Kundenbeziehungsmanagements, ausschließlich nach Weisung des Auftraggebers.

• Datenarten: Stammdaten (Name, Firma), Kontaktdaten (E-Mail, Telefon, Adresse), Vertriebs-/Vertragsdaten, Notizen, Termin- und Finanzdaten, die der Auftraggeber eingibt.
• Betroffene: Kunden, Interessenten, Geschäftspartner und Beschäftigte des Auftraggebers.

• Verarbeitung nur auf dokumentierte Weisung des Auftraggebers.
• Verpflichtung der Beschäftigten auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
• Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe /sicherheit).
• Unterstützung des Auftraggebers bei Betroffenenrechten sowie bei Meldepflichten nach Art. 33/34 DSGVO.
• Unverzügliche Meldung von Datenschutzverletzungen.

Die getroffenen Maßnahmen (EU-Hosting, Verschlüsselung in Transit und at-rest, Mandantentrennung per Row Level Security, Zugriffskontrolle, Rate-Limiting, Härtungs-Maßnahmen) sind unter mysimplecrm.de/sicherheit beschrieben und Bestandteil dieses Vertrags.

Der Auftraggeber stimmt dem Einsatz der unter /sicherheit genannten Subprozessoren zu. Der Auftragnehmer informiert über beabsichtigte Änderungen und schließt mit jedem Subunternehmer entsprechende Verträge mit gleichwertigen Datenschutzpflichten.

Die Verarbeitung erfolgt innerhalb der Europäischen Union (App-Server in Frankfurt, Datenbank in Irland). Eine Übermittlung in Drittländer findet nur auf Grundlage geeigneter Garantien (z. B. Standardvertragsklauseln) statt.

Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrung der Betroffenenrechte. Nach Beendigung des Vertrags werden die Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Der Auftragnehmer weist die Einhaltung der Pflichten auf Anfrage nach (z. B. durch diese Dokumentation und Auskünfte). Der Auftraggeber ist berechtigt, sich von der Einhaltung im erforderlichen Umfang zu überzeugen.