Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Odenwald-IT-Service UG, im Folgenden „Auftragnehmer") im Auftrag des Verantwortlichen (im Folgenden „Auftraggeber") im Rahmen des Dienstes UpdateKing.de.

(2) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags (UpdateKing-Abo). Er endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Datenverarbeitung

(1) Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des UpdateKing-Dienstes:

• Zentrale Verwaltung von Joomla-Updates (Core, Komponenten, Module, Plugins, Templates)
• Uptime-Monitoring der angebundenen Joomla-Sites
• Generierung von Site-Screenshots zur visuellen Kontrolle
• Versand von Update-Reports per E-Mail
• Audit-Logging aller durchgeführten Aktionen

(2) Eine Verarbeitung zu anderen Zwecken (z. B. Profiling, Werbung, Verkauf an Dritte) findet nicht statt.

§ 3 Art der personenbezogenen Daten und Kategorien Betroffener

(1) Folgende Datenkategorien werden verarbeitet:

• Auftraggeber-Daten: Name, E-Mail, Firma, Rechnungsadresse, IP-Adresse, User-Agent
• Joomla-Site-Metadaten: URL, Joomla-Version, PHP-Version, installierte Erweiterungen, Update-Status
• Audit-Daten: Login-Zeitpunkte, ausgelöste Updates, IP-Adressen bei sicherheitsrelevanten Aktionen

(2) Nicht verarbeitet werden: Inhalte der Joomla-Datenbank des Auftraggebers (Artikel, Endkunden-Daten, Bestellungen etc.), FTP-/SSH-/DB-Zugangsdaten. Die Kommunikation erfolgt ausschließlich über das UpdateKing-Plugin via signierte HTTPS-API.

(3) Kategorien Betroffener: Auftraggeber selbst sowie ggf. Mitarbeiter des Auftraggebers (bei Team-Accounts ab Agentur-Plan).

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• die Vertraulichkeit aller zur Verarbeitung berechtigten Personen sicherzustellen
• angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu treffen (siehe § 7)
• den Auftraggeber unverzüglich zu informieren bei Verletzungen des Schutzes personenbezogener Daten
• nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben (mit Ausnahme gesetzlicher Aufbewahrungspflichten, z. B. Rechnungen gemäß GoBD/AO 10 Jahre)
• dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO-Pflichten zur Verfügung zu stellen

§ 5 Unterauftragsverarbeiter

(1) Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:

(2) Der Auftraggeber stimmt der Beauftragung dieser Unterauftragsverarbeiter zu. Änderungen werden mindestens 30 Tage im Voraus angekündigt; der Auftraggeber hat ein Widerspruchsrecht.

§ 6 Rechte der betroffenen Personen

(1) Soweit der Auftraggeber dazu gesetzlich verpflichtet ist, unterstützt der Auftragnehmer ihn bei der Wahrnehmung der Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch).

(2) Der Auftragnehmer leitet entsprechende Anfragen, die direkt bei ihm eingehen, unverzüglich an den Auftraggeber weiter.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt folgende TOMs gemäß Art. 32 DSGVO um:

Vertraulichkeit

• Zutrittskontrolle: Server im zertifizierten Rechenzentrum (Mittwald, ISO 27001)
• Zugangskontrolle: Login-Pflicht, Zwei-Faktor-Authentifizierung, Passwort-Hash (bcrypt cost 12)
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (admin / customer)
• Trennungskontrolle: Mandantenfähigkeit, user_id-Filter auf allen DB-Queries

Integrität

• Weitergabekontrolle: HTTPS mit HSTS für alle Verbindungen, HMAC-SHA256-signierte API-Calls zum Plugin
• Eingabekontrolle: Audit-Log aller sicherheitsrelevanten Aktionen (Login, Konto-Änderungen, Updates)

Verfügbarkeit und Belastbarkeit

• Tägliche Backups durch Mittwald, Aufbewahrung 14 Tage
• Verfügbarkeitsziel 99,0 % p. a.
• Monitoring durch externe Uptime-Checks

Verfahren zur regelmäßigen Überprüfung

• Datenschutz-Folgenabschätzung dokumentiert
• Sicherheits-Audit der Software-Komponenten bei jedem Major-Release
• Auftragskontrolle: dokumentierte Weisungen, Rolle des Datenschutzbeauftragten

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags durch den Auftragnehmer zu kontrollieren. Der Auftragnehmer stellt die zur Kontrolle erforderlichen Informationen auf Anfrage bereit.

(2) Vor-Ort-Kontrollen sind nach mindestens 14 Tagen Vorankündigung und nur während üblicher Geschäftszeiten möglich.

§ 9 Mitteilungspflicht bei Datenschutzverletzungen

Der Auftragnehmer meldet jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Auftraggeber. Die Meldung erfolgt per E-Mail an die im Account hinterlegte Adresse.

§ 10 Schlussbestimmungen

(1) Im Falle eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag (UpdateKing-AGB) geht dieser AVV vor, soweit es um die Verarbeitung personenbezogener Daten geht.

(2) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers, soweit gesetzlich zulässig.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt der übrige Vertrag wirksam.

Unterschriften

So wird der AVV abgeschlossen

1. Diese Seite oben rechts auf „Drucken / als PDF speichern" klicken
2. Auf der Unterschriften-Seite Firma, Ort, Datum eintragen und unterschreiben
3. Signiertes Exemplar einscannen und an info@updateking.de senden – wir gegenzeichnen und schicken die finale Version zurück
4. Das gegengezeichnete Exemplar zu deinen Unterlagen nehmen (Aufbewahrung empfohlen 10 Jahre)

Bei Fragen oder Anpassungswünschen (z. B. abweichende TOMs deines Kundenstamms): einfach Mail an info@updateking.de.

Weiterführend: Datenschutz · AGB · Impressum