Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzrechtlichen Verpflichtungen zwischen dem Nutzer der Plattform referrion.com (nachfolgend „Verantwortlicher") und der What's Next Ventures GmbH (nachfolgend „Auftragsverarbeiter" oder „Referrion") im Zusammenhang mit der Nutzung der Plattform.

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von Referrion.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Plattform referrion.com.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag über die Plattform gemäß AGB). Der AVV endet automatisch mit Beendigung des Hauptvertrages.

(3) Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (primärer Serverstandort: europe-west1, Belgien).

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung erfolgt zur Bereitstellung der folgenden Plattformfunktionen:

• Technische Übermittlung und Speicherung von Lead-Daten zwischen Partnern und Anbietern;
• Tracking und Dokumentation von Empfehlungen und Deals;
• Berechnung und Nachverfolgung von Provisionsansprüchen;
• Kommunikation zwischen Plattformnutzern (Broadcasts, Benachrichtigungen);
• Durchführung von Feedback-Umfragen;
• Bereitstellung von Statistiken und Auswertungen.

(2) Die Art der Verarbeitung umfasst: Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Änderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Abgleich, Verknüpfung, Einschränkung, Löschen und Vernichtung.

§ 3 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten werden im Rahmen der Auftragsverarbeitung verarbeitet:

• Stammdaten: Name, Vorname, Firma/Unternehmen;
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift;
• Berufliche Daten: Position, Jobtitel;
• Kommunikationsdaten: Nachrichteninhalte, Notizen;
• Nutzungsdaten: Anmeldedaten, Aktivitäten auf der Plattform;
• Vertragsdaten: Provisionsvereinbarungen, Deal-Status;
• Feedback-Daten: Umfrageantworten, Bewertungen.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind folgende Kategorien betroffener Personen betroffen:

• Leads: Potenzielle Kunden, die von Partnern empfohlen werden;
• Kunden des Verantwortlichen: Bestandskunden, die an Umfragen teilnehmen;
• Partner: Empfehlungsgeber, die mit dem Verantwortlichen zusammenarbeiten;
• Mitarbeiter: Angestellte des Verantwortlichen mit Plattformzugang.

§ 5 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen allein verantwortlich.

(2) Der Verantwortliche hat sicherzustellen, dass er zur Erhebung und Weitergabe der personenbezogenen Daten berechtigt ist und die erforderlichen Einwilligungen oder sonstigen Rechtsgrundlagen vorliegen.

(3) Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in dokumentierter elektronischer Form (z.B. per E-Mail oder über die Plattformeinstellungen).

(4) Der Verantwortliche benennt einen Ansprechpartner für im Rahmen des Vertrages anfallende datenschutzrelevante Fragen.

§ 6 Pflichten des Auftragsverarbeiters

6.1 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, der Auftragsverarbeiter ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet.

(2) Die Nutzung der Plattformfunktionen durch den Verantwortlichen gilt als dokumentierte Weisung.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

6.2 Vertraulichkeit

(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

6.3 Unterstützungspflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten bezüglich:

• Beantwortung von Anfragen betroffener Personen (Art. 15-22 DSGVO);
• Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO);
• Benachrichtigung betroffener Personen (Art. 34 DSGVO);
• Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO);
• Vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO:

7.1 Vertraulichkeit

• Zutrittskontrolle: Serverstandorte in ISO 27001-zertifizierten Rechenzentren mit physischen Zugangskontrollen;
• Zugangskontrolle: Passwortgeschützte Benutzerkonten, Multi-Faktor-Authentifizierung für Admin-Zugänge;
• Zugriffskontrolle: Rollenbasierte Zugriffsrechte (Role-Based Access Control), Row Level Security auf Datenbankebene;
• Trennungskontrolle: Logische Mandantentrennung durch Datenbankschema-Design.

7.2 Integrität

• Weitergabekontrolle: TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen;
• Eingabekontrolle: Protokollierung von Änderungen (Audit Logs), Zeitstempel bei allen Datensätzen.

7.3 Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Redundante Serverinfrastruktur, automatische Backups;
• Rasche Wiederherstellbarkeit: Point-in-Time Recovery, regelmäßige Backup-Tests;
• Belastbarkeit: Auto-Scaling der Infrastruktur bei erhöhter Last.

7.4 Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsupdates und Patch-Management;
• Kontinuierliche Überwachung der Systemintegrität;
• Incident-Response-Prozesse bei Sicherheitsvorfällen.

§ 8 Unterauftragnehmer (Sub-Prozessoren)

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragnehmer).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

(3) Aktuelle Liste der Unterauftragnehmer:

(4) Der Auftragsverarbeiter stellt sicher, dass die Unterauftragnehmer dieselben Datenschutzverpflichtungen einhalten wie in diesem AVV festgelegt.

(5) Die CRM-Integrationen (Salesforce, HubSpot) werden nur aktiviert, wenn der Anbieter diese explizit in seinen Einstellungen einrichtet und den OAuth-Authentifizierungsprozess durchläuft. In diesem Fall handelt der CRM-Anbieter als weiterer Auftragsverarbeiter im Auftrag des jeweiligen Referrion-Anbieters.

§ 9 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Dies kann erfolgen durch:

• Einholen von Auskünften und Nachweisen;
• Einsichtnahme in relevante Dokumentationen;
• Vor-Ort-Inspektionen nach vorheriger Abstimmung (mit angemessener Vorankündigung).

(2) Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden.

(3) Für Inspektionen vor Ort ist eine Vorankündigung von mindestens 14 Tagen erforderlich, es sei denn, es liegt ein dringender Verdacht auf einen Datenschutzverstoß vor.

§ 10 Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde.

(2) Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung;
• Kategorien und ungefähre Anzahl der betroffenen Personen;
• Kategorien und ungefähre Anzahl der betroffenen Datensätze;
• Beschreibung der wahrscheinlichen Folgen;
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht.

(2) Vor der Löschung hat der Verantwortliche die Möglichkeit, einen Datenexport anzufordern. Der Auftragsverarbeiter stellt die Daten in einem gängigen, maschinenlesbaren Format zur Verfügung.

(3) Die Löschung erfolgt gemäß den in der Datenschutzerklärung beschriebenen Aufbewahrungsfristen und unter Beachtung gesetzlicher Aufbewahrungspflichten.

§ 12 Haftung

(1) Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Bestimmungen sowie den Regelungen in den AGB.

(2) Der Auftragsverarbeiter haftet gegenüber betroffenen Personen nur für Schäden, die durch eine Verarbeitung verursacht wurden, welche gegen die speziell an Auftragsverarbeiter gerichteten Pflichten aus der DSGVO oder gegen rechtmäßige Anweisungen des Verantwortlichen verstößt.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform oder dokumentierten elektronischen Form.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

(3) Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses AVV in Bezug auf datenschutzrechtliche Fragen vor.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

Kontakt für Datenschutzanfragen

What's Next Ventures GmbH
Datenschutz
Freie-Vogel-Straße 369
44269 Dortmund
Deutschland

E-Mail: datenschutz@referrion.com