AV-Vertrag.

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO zwischen dem Betreiber der Plattform stepd (nachfolgend „Auftragsverarbeiter“) und dem jeweiligen registrierten Nutzer der Software (nachfolgend „Auftraggeber“).

Mit Registrierung und Nutzung der Plattform erklärt sich der Auftraggeber mit diesem Vertrag einverstanden. Der AV-Vertrag wird Bestandteil des Nutzungsvertrags.

1. Vertragsparteien

Auftraggeber:
Der jeweilige Nutzer der SaaS-Plattform „stepd“, der mit dem Auftragsverarbeiter einen Hauptvertrag über die Nutzung der Software abschließt.
– im Folgenden „Auftraggeber“ –

Auftragsverarbeiter:
Patrick Wiesenthal Dörpfeldstraße 3a 33739 Bielefeld Deutschland Kontakt: 📧 patrick@stepd.de

2. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung des ERP-Systems „stepd“. Die Verarbeitung erfolgt ausschließlich auf Grundlage dieses Vertrags und dauert so lange, wie der Nutzungsvertrag besteht.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung und dem Betrieb des ERP-Systems. Dies umfasst insbesondere:

  • Speicherung und Verarbeitung von Aufgaben, Projekten, Kundendaten
  • Benutzerverwaltung, Rollen- und Rechtevergabe
  • Kommunikation innerhalb des Systems
  • Bereitstellung technischer Infrastruktur
  • Fehlerdiagnose und Support

4. Art der verarbeiteten Daten

  • Name, E-Mail-Adresse, Firmenname
  • System-Logins, Aktivitäten
  • Projekt- und Aufgabeninhalte
  • Hochgeladene Dateien (PDF, Bilder)
  • IP-Adresse, Geräteinformationen, technische Logdaten

5. Kategorien betroffener Personen

  • Mitarbeiter des Auftraggebers
  • Kunden und Lieferanten des Auftraggebers
  • Sonstige Dritte, deren Daten der Auftraggeber im System verarbeitet

6. Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass alle erforderlichen Einwilligungen vorliegen. Er dokumentiert Weisungen zur Verarbeitung und überprüft regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen.

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung zu verarbeiten
  • Vertraulichkeit der Mitarbeitenden sicherzustellen
  • technische und organisatorische Maßnahmen umzusetzen (siehe § 8)
  • Datenschutzverletzungen unverzüglich zu melden
  • den Auftraggeber bei Betroffenenanfragen zu unterstützen
  • Daten nach Vertragsende zu löschen oder zurückzugeben

8. Technische und organisatorische Maßnahmen (TOM)

Folgende Maßnahmen wurden ergriffen:

  • SSL-Verschlüsselung sämtlicher Verbindungen
  • Passwort-Hashing und Zugriffskontrollen
  • 2-Faktor-Authentifizierung (optional)
  • Rollenbasierte Rechtevergabe
  • ISO 27001 und SOC 2 zertifizierte Server (Microsoft Azure, Deutschland)
  • Tägliche Backups und Wiederherstellungsmöglichkeiten

9. Subunternehmer

Die folgenden Unterauftragsverarbeiter werden eingesetzt:

  • Microsoft Azure – Hosting, Region Deutschland
  • Stripe Payments Europe – Zahlungsabwicklung

Weitere Subunternehmer dürfen nur mit schriftlicher Zustimmung des Auftraggebers beauftragt werden.

10. Rechte und Mitwirkung des Auftraggebers

Der Auftraggeber hat das Recht, sich regelmäßig vom Einhalten dieses Vertrags zu überzeugen. Der Auftragsverarbeiter stellt hierfür geeignete Nachweise bereit (z. B. Zertifizierungen, Protokolle) und ermöglicht Audits nach Vorankündigung.

11. Löschung und Rückgabe von Daten

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch erhält der Auftraggeber vorab einen Export.

12. Haftung

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags sowie nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet nur bei Vorsatz oder grober Fahrlässigkeit.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Stand: 12.06.2025