Dieser Auftragsverarbeitungsvertrag ("AVV") ist Teil der Nutzungsbedingungen zwischen Ihnen ("Verantwortlicher") und VantarGroup LLC ("Auftragsverarbeiter") und regelt die Verarbeitung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO).

1. Parteien und Geltungsbereich

Dieser AVV gilt, wenn der Verantwortliche die Matproof-Dienste zur Verarbeitung personenbezogener Daten nutzt. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

2. Gegenstand und Dauer

Gegenstand der Datenverarbeitung ist die Bereitstellung der Matproof Compliance-Automatisierungsplattform. Die Dauer entspricht der Laufzeit des Servicevertrags.

3. Art und Kategorien der Daten

Arten der verarbeiteten personenbezogenen Daten:

Mitarbeiterdaten (Namen, E-Mail-Adressen, Berufsbezeichnungen)
Benutzerkontoinformationen
Compliance- und Audit-Dokumentation
Kommunikationsaufzeichnungen

Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Verantwortlichen.

4. Pflichten des Auftragsverarbeiters (Art. 28 DSGVO)

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung einzusetzen
Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
Bei Meldungen von Sicherheitsverletzungen und Datenschutz-Folgenabschätzungen zu unterstützen
Personenbezogene Daten nach Beendigung der Dienste zu löschen oder zurückzugeben
Alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung zu stellen

5. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Sicherheitsmaßnahmen um:

Verschlüsselung ruhender und übertragener Daten (AES-256, TLS 1.3)
Zugangskontrollen und Authentifizierung (MFA, RBAC)
Regelmäßige Sicherheitsbewertungen und Penetrationstests
Verfahren zur Reaktion auf Vorfälle und Geschäftskontinuität
EU-Datenresidenz (alle Daten in deutschen Rechenzentren gespeichert)
ISO 27001-konforme Sicherheitskontrollen und jährliche Penetrationstests

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt dem Auftragsverarbeiter die Beauftragung folgender Unterauftragsverarbeiter:

Neon (PostgreSQL-Hosting - EU)
Upstash (Redis-Caching - EU)
AWS (Dateispeicherung - EU-Region)
Resend (E-Mail-Versand - EU)

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann gegen neue Unterauftragsverarbeiter Einspruch erheben.

7. Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) innerhalb von 72 Stunden nach Erhalt solcher Anfragen.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich (innerhalb von 24 Stunden), nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die die Daten des Verantwortlichen betrifft.

9. Prüfrechte

Der Verantwortliche kann die Einhaltung dieses AVV durch den Auftragsverarbeiter einmal jährlich nach angemessener Ankündigung prüfen. Der SOC 2 Type II-Bericht des Auftragsverarbeiters kann diese Anforderung erfüllen.

10. Löschung oder Rückgabe von Daten

Nach Beendigung der Dienste löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen an den Verantwortlichen zurück, sofern nicht EU-Recht eine weitere Speicherung erfordert.

Fragen oder AVV-Anfragen

Für AVV-Unterzeichnungsanfragen oder Fragen kontaktieren Sie bitte:

E-Mail: legal@matproof.com

Auftragsverarbeitungsvertrag (AVV)