Skip to main content

Auftragsverarbeitungs­vertrag (AVV) nach Art. 28 DSGVO

Zwischen

MJOO GmbH
Großer Burstah 50–52
20457 Hamburg, Deutschland
Telefon: +49 40 228 650 390
E-Mail: info@mjoo.de
– nachfolgend „Auftragsverarbeiter“ genannt –

und dem jeweiligen Kunden der Plattform „greet.video“
– nachfolgend „Verantwortlicher“ genannt –

wird folgender Auftragsverarbeitungsvertrag geschlossen.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand dieses Vertrages ist die Nutzung der Plattform „greet.video“ zur Erstellung, Personalisierung, Speicherung und zum Versand von Grußvideos an Empfänger im Auftrag des Verantwortlichen. Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und nach Weisung des Verantwortlichen.

Die Dauer der Verarbeitung richtet sich nach den einbezogenen AGB des Auftragsverarbeiters. Nach Beendigung der vertraglichen Leistungen werden die Daten gemäß den Bestimmungen dieses Vertrages und der AGB gelöscht oder anonymisiert.

2. Umfang, Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der technischen und organisatorischen Durchführung von Grußvideo-Kampagnen, einschließlich Speicherung, Versand, Bereitstellung und statistischer Auswertung der Kampagnenergebnisse.

Die Verarbeitung der Daten des Verantwortlichen durch den Auftragsverarbeiter findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragsverarbeiter gleichwohl gestattet, Daten des Verantwortlichen unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Verantwortlicher vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 – 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

3. Art der Daten und Kategorien betroffener Personen

Die Verarbeitung umfasst folgende Kategorien personenbezogener Daten:
- Stammdaten (z. B. Vorname, Nachname, Geschlecht, E-Mail-Adresse)
- Kommunikationsdaten (z. B. Versandstatus, Öffnungs- und Abrufraten)
- Systemdaten (z. B. IP-Adressen, Zeitstempel, Logfiles)

Betroffene Personengruppen sind insbesondere:
- Kunden und Mitarbeiter des Verantwortlichen,
- Empfänger der personalisierten Grußvideos.

Die Daten werden nachfolgend als „Daten des Verantwortlichen“ bezeichnet.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Er trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten. Die im Anhang (Anlage 1) aufgeführten technischen und organisatorischen Maßnahmen sind verbindlicher Bestandteil dieses Vertrages. Der Auftragsverarbeiter darf Änderungen an den Maßnahmen vornehmen, sofern das Schutzniveau der Daten nicht unterschritten wird.

Der Auftragsverarbeiter stellt sicher, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

Er unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 DSGVO.

Der Auftragsverarbeiter meldet dem Verantwortlichen, unverzüglich nachdem ihm eine
Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) bekannt geworden ist, jede Verletzung des Schutzes von Daten des Verantwortlichen, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Daten des Verantwortlichen führen.

Die Meldung enthält nach Möglichkeit eine Beschreibung:

  • der Art der Verletzung des Schutzes der Daten des Verantwortlichen, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • der wahrscheinlichen Folgen der Verletzung des Schutzes der Daten des Verantwortlichen;
  • der von dem Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten des Verantwortlichen und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Für den Fall, dass der Verantwortliche verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragsverarbeiter den Verantwortlichen auf dessen Anfrage unterstützen, diese Pflichten einzuhalten.

Der Auftragsverarbeiter wird den Verantwortlichen im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten verantwortlich. Er trägt zudem die Verantwortung zur Erfüllung der Informationspflichten gegenüber den betroffenen Personen, die Einholung erforderlicher Einwilligungen und die Wahrung der Betroffenenrechte. Er ist verpflichtet, den Auftragsverarbeiter unverzüglich zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung festgestellt werden.

6. Unterauftragsverhältnisse

Der Verantwortliche genehmigt hiermit dem Auftragsverarbeiter in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter. Die gegenwärtig vom Auftragsverarbeiter eingesetzten weiteren Auftragsverarbeiter sind in Anlage 2 genannt.

Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Verantwortliche ist berechtigt, gegen jede beabsichtigte Änderung Einspruch zu erheben. Erhebt der Verantwortliche Einspruch, ist dem Auftragsverarbeiter die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird der Auftragsverarbeiter die Liste der weiteren Auftragsverarbeiter in Anlage 2 entsprechend aktualisieren und auf der Datenschutzhinweisseite der Plattform „greet.video“ unverlangt zur Verfügung stellen.

Der Auftragsverarbeiter wird jedem weiteren Auftragsverarbeiter vertraglich im Wesentlichen dieselben Datenschutzpflichten auferlegen, die in dieser Anlage in Bezug auf den Auftragsverarbeiter festgelegt sind.

Der Auftragsverarbeiter wird vor jeder Beauftragung sowie regelmäßig während der Beauftragung überprüfen, dass die weiteren Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen haben und diese so durchgeführt werden, dass die Verarbeitung der Daten des Verantwortlichen gemäß dieser Anlage erfolgt.

7. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich und zumutbar, bei der Erfüllung von Anträgen betroffener Personen gemäß Kapitel III DSGVO. Anträge, die unmittelbar an den Auftragsverarbeiter gerichtet werden, werden unverzüglich an den Verantwortlichen weitergeleitet.

8. Löschung und Rückgabe von Daten

Nach Abschluss der vertraglich vereinbarten Verarbeitung werden die Daten nach Maßgabe der AGB des Auftragsverarbeiters oder auf Anweisung des Verantwortlichen gelöscht oder anonymisiert, sofern keine gesetzlichen oder vertraglichen Aufbewahrungspflichten bestehen. Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage des Verantwortlichen.

9. Haftung

Im Verhältnis der Vertragsparteien untereinander gelten die Haftungsregelungen gemäß Punkt 9 AGB des Auftragsverarbeiters. Im Übrigen gelten die maßgeblichen gesetzlichen Haftungsregelungen, insbesondere nach Art. 82 DSGVO.

10. Nachweise und Überprüfungen

(1) Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. Der Auftraggeber vergütet dem Auftragnehmer den angemessenen Aufwand, der ihm im Rahmen einer anlassfreien Kontrolle entsteht, es sei denn, die Kontrolle deckt eine wesentliche Verletzung dieses Vertrages durch den Auftragsverarbeiter auf. Ein Anlass für eine Kontrolle liegt vor, wenn konkrete Anhaltspunkte für Verstöße des Auftragsverarbeiters gegen seine vertraglichen oder gesetzlichen Pflichten vorliegen. Die Vergütung erfolgt auf Basis eines Stundensatzes in Höhe von 250 € (zzgl. gesetzlicher Umsatzsteuer) pro eingesetzten Mitarbeiter bei minutengenauen Zeiterfassung. Die Erfüllung der Auskunftsverpflichtung nach Abs. 2 S. 2 und der Nachweiserbringung nach Abs. 3 sind von der Kostenregelung nicht umfasst.

(2) Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortliche auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

11. Schlussbestimmung

Ergänzend gelten die Bestimmungen des Hauptvertrages zwischen den Parteien. Dieser Vertrag tritt mit Unterzeichnung oder durch Nutzung der Plattform in Kraft. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg, soweit gesetzlich zulässig.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Die folgenden Maßnahmen dienen der Sicherstellung der Datensicherheit gemäß Art. 32 DSGVO. Sie werden regelmäßig überprüft, angepasst und entsprechen dem Stand der Technik.

Kategorie

Maßnahmenbeschreibung

Ziel / Schutzwirkung

Zutrittskontrolle

Alarmanlage, biometrische Zugangssysteme, elektronische Schließsysteme, Videoüberwachung, Pförtnerdienste, Besucherdokumentation.

Verhindert unbefugten physischen Zutritt zu Rechenzentren und Serverräumen.

Zugangskontrolle

Individuelle Benutzerkonten, sichere Passwörter, Firewalls.

Verhindert unbefugten Systemzugriff und schützt Zugangsdaten.

Zugriffskontrolle

Rollenbasierte Berechtigungen, Protokollierung von Zugriffen, Minimierung von Administratorrechten.

Sichert, dass Daten nur von berechtigten Personen verarbeitet werden.

Weitergabekontrolle

Datenübertragung ausschließlich verschlüsselt (TLS, VPN), Dokumentation von Empfängern, pseudonymisierte Datenweitergabe.

Verhindert unbefugte Offenlegung oder Veränderung bei der Übertragung.

Eingabekontrolle

Protokollierung aller Eingaben, Änderungen und Löschungen, eindeutige Benutzerkennungen, Berechtigungskonzept.

Stellt Nachvollziehbarkeit und Verantwortlichkeit bei Datenänderungen sicher.

Auftragskontrolle

Vertragliche Verpflichtungen, Kontrolle von Subunternehmern, Vertraulichkeitsvereinbarungen, Schulungen der Mitarbeiter.

Sichert, dass Verarbeitung ausschließlich nach Weisung des Verantwortlichen erfolgt.

Verfügbarkeitskontrolle

USV, Brandschutz, Backup-Systeme, Redundanzen, Notfallpläne, Server in Hochsicherheitsräumen.

Schützt Daten vor Verlust oder Beschädigung.

Trennungsgebot

Logische Trennung von Datenbanken, getrennte Entwicklungs- und Produktivsysteme.

Gewährleistet die getrennte Verarbeitung unterschiedlicher Datensätze nach Zweckbestimmung.

Anlage 2 – Unterauftragsverarbeiter

Dienstleister

Zweck der Verarbeitung

Sitz / Land

Datenschutzerklärung

n@work GmbH

Hosting und Serverbetrieb (ISO 27001 zertifiziertes Rechenzentrum)

Deutschland / EU

https://www.work.de/datenschutz/

Amazon Web Services (AWS)

Speicherung von Video-Assets und verschlüsselten Datenbankbackups (S3, Region Frankfurt)

Irland / EU

https://aws.amazon.com/de/privacy/

Webflow Inc.

Hosting der Produkt-
Landingpage

USA

https://webflow.com/legal/eu-privacy-policy

Stripe Technology Company Limited (STC)

Abwicklung von Zahlungen und Rechnungsstellung

Irland / EU

https://stripe.com/de/privacy

Sendinblue GmbH, “Brevo”

Versand von E-Mails und Transaktionsnachrichten

Deutschland / EU

https://www.brevo.com/de/legal/privacypolicy/

Crisp IM Sàrl

Kundensupport-Tool

Frankreich / EU

https://crisp.chat/de/privacy/