Skip to content

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für den Deratix-Dienst.

Auftragsverarbeitungsvertrag

Gültig ab: 17. März 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ist ein Anhang zu den Allgemeinen Geschäftsbedingungen des Deratix-Dienstes (nachfolgend „AGB") und regelt die gegenseitigen Rechte und Pflichten der Parteien bei der Verarbeitung personenbezogener Daten gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO).

1. Parteien und ihre Rollen

1.1. Verantwortlicher (Kunde): Natürliche oder juristische Person – Unternehmer, der mit dem Anbieter einen Vertrag gemäß den AGB geschlossen hat und personenbezogene Daten in den Dienst eingibt.
1.2. Auftragsverarbeiter (Anbieter): Deratix s. r. o., mit Sitz in Štúrova 1359/12, 900 28 Ivanka pri Dunaji, Slowakische Republik, Unternehmens-ID: 57512833.
1.3. Der Kunde ist der Verantwortliche für die in den Dienst eingegebenen personenbezogenen Daten. Der Anbieter verarbeitet diese ausschließlich nach den Weisungen des Kunden.

2. Gegenstand und Zweck der Verarbeitung

2.1. Der Anbieter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Diensterbringung:

  • Betrieb der Deratix-Anwendung (SaaS),
  • Speicherung und Anzeige von DDD-Protokollen,
  • Erstellung von PDF-Dokumenten,
  • Verwaltung der Kundendatenbank des Kunden,
  • Versand von System-E-Mail-Benachrichtigungen.

3. Kategorien betroffener Personen und Daten

3.1. Betroffene Personen:

  • Kunden des Kunden (Empfänger von DDD-Dienstleistungen),
  • Mitarbeiter und Techniker des Kunden.

3.2. Kategorien personenbezogener Daten:

  • Identifikationsdaten (Name, Nachname, Steuer-ID),
  • Kontaktdaten (E-Mail, Telefon, Adresse),
  • Standortdaten (GPS-Koordinaten),
  • Unterschriften (elektronisch, in PDF-Dokumenten),
  • Fotodokumentation,
  • DDD-Tätigkeitsdaten (Art der Behandlung, Materialien, Befunde).

4. Pflichten des Auftragsverarbeiters

  • 4.1. Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.
  • 4.2. Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
  • 4.3. Angemessene technische und organisatorische Maßnahmen umsetzen (siehe Abschnitt 7).
  • 4.4. Keinen weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung einsetzen (siehe Abschnitt 5).
  • 4.5. Den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO unterstützen.
  • 4.6. Den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren, spätestens innerhalb von 48 Stunden.
  • 4.7. Alle personenbezogenen Daten innerhalb von 30 Tagen nach Beendigung des Dienstes löschen.
  • 4.8. Alle Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO bereitstellen und Audits ermöglichen.

5. Unterauftragsverarbeiter

5.1. Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für die nachfolgend aufgeführten Unterauftragsverarbeiter. Änderungen werden mindestens 14 Tage im Voraus per E-Mail mitgeteilt.

Unterauftragsverarbeiter Standort / Daten Zweck
Hetzner Online GmbHDeutschland (EU)Server- und Datenbank-Hosting
SFTPCloud.ioFrankfurt, Deutschland (EU)Verschlüsselte Datensicherungen
MechanicWeb Inc.USA → Daten: Deutschland (EU)Infrastrukturverwaltung
cPanel / SoftaculousUSA → Daten: Deutschland (EU)Serverumgebungsverwaltung
Emailit (emailit.com)EUTransaktionale E-Mail-Zustellung

5.3. Für Unterauftragsverarbeiter mit Sitz in den USA werden die Daten ausschließlich in der EU (Deutschland) gespeichert. Übermittlungen basieren auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c) DSGVO.

6. Pflichten des Verantwortlichen

  • 6.1. Eine rechtmäßige Rechtsgrundlage für die Verarbeitung sicherstellen.
  • 6.2. Die Informationspflicht gegenüber betroffenen Personen erfüllen.
  • 6.3. Auf Anfragen betroffener Personen reagieren.
  • 6.4. Keine besonderen Kategorien von Daten (Art. 9 DSGVO) über das Notwendige hinaus eingeben.

7. Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung und Übertragung:

  • Kommunikation verschlüsselt mit TLS 1.2+,
  • Backups verschlüsselt mit AES-256,
  • Datenbanken nur aus dem internen Netzwerk zugänglich.

Zugriffskontrolle:

  • rollenbasiertes Zugriffssystem (RBAC),
  • jeder Zugriff wird im Audit-Trail protokolliert,
  • Passwörter ausschließlich als Hash gespeichert (bcrypt).

Verfügbarkeit und Wiederherstellung:

  • automatische tägliche Backups (SFTPCloud, Frankfurt),
  • 24/7-Verfügbarkeitsüberwachung,
  • garantierte Verfügbarkeit von 99,5 % monatlich.

Organisatorische Maßnahmen:

  • Personal zur Vertraulichkeit verpflichtet,
  • regelmäßige Software-Updates und Sicherheitspatches,
  • Incident-Response-Verfahren.

8. Dauer und Löschung

8.1. Dieser AVV gilt für die gesamte Vertragsdauer.
8.2. Nach Beendigung werden die Daten innerhalb von 30 Tagen gelöscht.
8.3. Der Kunde muss seine Daten vor Beendigung des Dienstes exportieren.

9. Audits

9.1. Der Verantwortliche darf einmal jährlich einen Audit durchführen (30 Tage Vorankündigung).
9.2. Der Audit kann vom Verantwortlichen oder einem unabhängigen Prüfer durchgeführt werden.
9.3. Die Kosten trägt der Verantwortliche, es sei denn, der Audit deckt einen wesentlichen Verstoß auf.

10. Schlussbestimmungen

10.1. Dieser AVV unterliegt slowakischem Recht und der DSGVO.
10.2. Bei Widersprüchen mit den AGB hat dieser AVV im Bereich Datenschutz Vorrang.
10.3. Kontakt: support@deratix.com

AGB