← Zur Startseite
wrenchly
AVV

Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvertrag)

Zwischen

Egor Ferber Getreidestraße 17 84160 Frontenhausen Deutschland

— nachfolgend bezeichnet als „Auftragsverarbeiter" —

und

Firma/Name: [Werkstatt-Firma laut Handelsregister oder Inhaber-Name] Straße, Hausnr.: [Geschäftsanschrift Straße + Hausnummer] PLZ, Ort, Land: [Geschäftsanschrift PLZ Ort, Deutschland] Geschäftsführer: [Geschäftsführer/Inhaber-Name]

— nachfolgend bezeichnet als „Auftraggeber" —

— beide nachfolgend als „die Vertragsparteien" bezeichnet —

Alle Begrifflichkeiten verstehen sich geschlechtsneutral.

wird der folgende Auftragsverarbeitungsvertrag (nachfolgend „AVV") geschlossen:

Präambel und Anwendungsbereich

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dieser AVV konkretisiert die Auftragsverarbeitung im Hinblick auf ihren Gegenstand und die sich aus dem Auftragsverarbeitungsverhältnis ergebenden Ansprüche und Pflichten zwischen den Vertragsparteien. Er gilt als Anlage zum Hauptvertrag (Wrenchly-Nutzungsvertrag/Abonnement gemäß AGB) und wird mit Abschluss des Hauptvertrages im elektronischen Format akzeptiert.

1. Begrifflichkeiten und Definitionen

a) „Auftragsverarbeitung" — im Einklang mit Art. 4 Nr. 8 DSGVO die im Auftrag des Verantwortlichen, unabhängig von der Zahl dazwischen geschalteter Auftragsverarbeiter, durch den Auftragsverarbeiter entsprechend dem Gegenstand dieses AVV durchgeführte Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO.

b) „Hauptvertrag" — alle laufenden Geschäftsbeziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter, in deren Rahmen der Auftragsverarbeiter personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers verarbeitet. Der Hauptvertrag im Sinne dieses AVV ist der jeweils zwischen den Vertragsparteien geschlossene Wrenchly-Nutzungsvertrag (Abonnement) auf Grundlage der unter https://wrenchly.de/agb einsehbaren AGB.

c) „Verantwortlicher" — wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

d) „Personenbezogene Daten" — im Einklang mit Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

e) „Betroffene Personen" — Personen, die mittels personenbezogener Daten zumindest identifizierbar sind. Die von dieser Auftragsverarbeitung betroffenen Personen ergeben sich aus dem Anhang „Gegenstand der Auftragsverarbeitung".

f) „Dritte" — natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

g) „Unterauftragsverarbeitung" — Beauftragung eines weiteren Auftragsverarbeiters durch den Auftragsverarbeiter. Die dem ersten Auftragsverarbeiter folgenden Auftragsverarbeiter werden als „Unterauftragsverarbeiter" bezeichnet.

h) „Elektronisches Format" — Erklärungen gelten als im elektronischen Format gem. Art. 28 Abs. 9 DSGVO abgegeben, wenn die erklärende Person erkennbar ist und das elektronische Erklärungsformat sich zum Nachweis der Erklärung eignet (insb. Textform, E-Mail, digitale Signierverfahren, dedizierte Onlinefunktionen in Benutzerkonten).

2. Gegenstand der Auftragsverarbeitung

a) Die Auftragsverarbeitung erfolgt im Rahmen der folgenden Rechtsbeziehung (Hauptvertrag): Wrenchly-Nutzungsvertrag (Abonnement) auf Grundlage der jeweils gültigen Allgemeinen Geschäftsbedingungen, einsehbar unter https://wrenchly.de/agb, abgeschlossen bei Registrierung des Auftraggebers.

b) Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung richten sich nach den Vorgaben des Anhangs „Gegenstand der Auftragsverarbeitung".

c) Ergänzende Detailangaben zum Gegenstand der Verarbeitung sind unter der folgenden Webseite abrufbar: https://wrenchly.de/datenschutz.

3. Art der Auftragsverarbeitung

Der Auftraggeber ist Verantwortlicher der Auftragsverarbeitung und im Rahmen dieses AVV für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Rechtmäßigkeit der Beauftragung des Auftragsverarbeiters verantwortlich.

4. Weisungsbefugnis

a) Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten und nur insoweit die Verarbeitung im Rahmen des Hauptvertrages erforderlich ist.

b) Die Weisungen werden anfänglich durch den Hauptvertrag oder diesen AVV festgelegt und können vom Auftraggeber danach durch Weisungen in schriftlicher Form oder in einem elektronischen Format (Textform, z. B. E-Mail) an den Auftragsverarbeiter oder die vom Auftragsverarbeiter bezeichnete Stelle geändert, ergänzt oder ersetzt werden.

c) Mündliche Weisungen können erfolgen, wenn sie aufgrund der Umstände (z. B. Eilbedürftigkeit) geboten sind, und sind unverzüglich schriftlich oder in elektronischer Form zu bestätigen.

d) Ist der Auftragsverarbeiter aufgrund objektiver Umstände der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird der Auftragsverarbeiter den Auftraggeber unverzüglich darauf hinweisen und die Ansicht sachlich begründen. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur ausdrücklichen Bestätigung der Weisung durch den Auftraggeber auszusetzen und offensichtlich rechtswidrige Weisungen abzulehnen.

e) Der Auftragsverarbeiter kann Weisungen ablehnen, sofern deren Erfüllung dem Auftragsverarbeiter nicht möglich oder nicht zuzumuten ist (insbesondere bei unverhältnismäßigem Aufwand oder fehlenden technischen Möglichkeiten). Die Ablehnung kann nur unter sachgerechter Berücksichtigung des Schutzes der Daten der betroffenen Personen erfolgen und berechtigt den Auftraggeber zur außerordentlichen Kündigung des AVV, wenn dessen Fortsetzung dem Auftraggeber nicht zuzumuten ist.

f) Der Auftragsverarbeiter kann durch Recht der Union oder der Mitgliedstaaten und behördliche sowie gerichtliche Maßnahmen zur Durchführung von Verarbeitungen oder Mitteilung von Informationen verpflichtet werden. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber die rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Gesetz oder die Anordnung eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

g) Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

h) Der Auftragsverarbeiter benennt im Anhang „Ansprechpartner" die zum Empfang von Weisungen berechtigten Personen und ist verpflichtet, Änderungen unverzüglich mitzuteilen.

5. Technische und organisatorische Maßnahmen (TOMs)

a) Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und insbesondere TOMs zur angemessenen Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten des Auftraggebers treffen sowie deren Aufrechterhaltung durch regelmäßige, mindestens jährliche Evaluation sicherstellen.

b) Die bei Vertragsschluss durch den Auftragsverarbeiter mitgeteilten TOMs definieren das vom Auftragsverarbeiter geschuldete Minimum des Sicherheitsniveaus. Die TOMs dürfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden.

c) Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten befassten Mitarbeitern, Beauftragten und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen auf Vertraulichkeit und Verschwiegenheit verpflichtet worden sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

d) Der Auftragsverarbeiter sorgt dafür, dass die bei ihm zur Verarbeitung eingesetzten Personen im Hinblick auf den Schutz personenbezogener Daten angemessen häufig an wiederkehrenden Schulungs- und Sensibilisierungsmaßnahmen teilnehmen.

e) Die Verarbeitung der personenbezogenen Daten außerhalb der Betriebsstätte des Auftragsverarbeiters (z. B. im Home- oder Mobileoffice oder bei Fernzugriff) ist zulässig, sofern die erforderlichen TOMs ergriffen und dokumentiert werden.

f) Die Verarbeitung der personenbezogenen Daten auf Privatgeräten der Beschäftigten des Auftragsverarbeiters und seiner Beauftragten ist zulässig, sofern die erforderlichen TOMs ergriffen und dokumentiert werden.

g) Sofern durch gesetzliche Vorgaben erforderlich, benennt der Auftragsverarbeiter eine den gesetzlichen Anforderungen entsprechende datenschutzbeauftragte Person und teilt dem Auftraggeber deren Kontaktinformationen mit.

h) Die im Auftrag durchgeführten Verarbeitungsprozesse werden vom Auftragsverarbeiter in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert und dem Auftraggeber auf Anforderung bereitgestellt.

i) Die im Rahmen des AVV überlassenen Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien verbleiben im Eigentum bzw. in Inhaberschaft des Auftraggebers, sind durch den Auftragsverarbeiter sorgfältig zu verwahren und vor Zugang durch unberechtigte Dritte zu schützen. Kopien dürfen nur erstellt werden, wenn sie zur Erfüllung der Pflichten des Auftragsverarbeiters erforderlich sind (z. B. Backups).

j) Der Auftragsverarbeiter ist verpflichtet, eine Rückgabe bzw. Löschung der Daten und Datenträger auch bei Unterauftragsverarbeitern herbeizuführen.

k) Der Auftragsverarbeiter hat den Nachweis einer ordnungsgemäß erfolgten Vernichtung bzw. Löschung von Daten zu führen und auf Verlangen dem Auftraggeber zur Verfügung zu stellen.

l) Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

m) Der Auftragsverarbeiter führt im angemessenen Umfang den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten TOMs sowie ihrer Wirksamkeit. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

n) Soweit die getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Auftraggeber unverzüglich.

o) Die bestehenden TOMs werden im Anhang „Technische und organisatorische Maßnahmen" aufgeführt und vom Auftraggeber akzeptiert.

6. Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters

a) Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Auftraggeber oder im Fall zwingender gesetzlicher Pflichten erteilen. Wendet sich eine betroffene Person an den Auftragsverarbeiter und macht ihre Betroffenenrechte geltend (insbesondere Rechte auf Auskunft, Berichtigung oder Löschung), wird der Auftragsverarbeiter die betroffene Person an den Auftraggeber verweisen und den Antrag unverzüglich an den Auftraggeber weiterleiten.

b) Der Auftragsverarbeiter hat den Auftraggeber unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung der personenbezogenen Daten Fehler oder Unregelmäßigkeiten feststellt.

c) Der Auftragsverarbeiter wird den Auftraggeber unverzüglich informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann.

d) Sollte die Sicherheit der personenbezogenen Daten des Auftraggebers durch Maßnahmen Dritter (z. B. Gläubiger, Behörden, Gerichte) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren), wird der Auftragsverarbeiter die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber liegen.

e) Der Auftragsverarbeiter stellt dem Auftraggeber Informationen zur Verfügung, die für die Erfüllung von gesetzlichen Pflichten des Auftraggebers erforderlich sind, und unterstützt diesen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.

f) Die Informationspflichten des Auftragsverarbeiters erstrecken sich auf Informationen, die dem Auftragsverarbeiter, seinen Beschäftigten und Beauftragten vorliegen. Informationen müssen nicht von dritten Quellen beschafft werden, wenn die Beschaffung durch den Auftraggeber im zumutbaren Rahmen erfolgen könnte.

g) Der Auftragsverarbeiter muss die Einhaltung seiner Pflichten jederzeit mit geeigneten Mitteln nachweisen können.

7. Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes

a) Stellt der Auftragsverarbeiter Tatsachen fest, die die Annahme einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO begründen, hat er den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen und den Auftraggeber bei der Erfüllung seiner Pflichten zu unterstützen.

b) Die Information über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung, zu erfolgen.

c) Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO mindestens folgende Angaben enthalten:

d) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße gegen datenschutzrechtliche Bestimmungen oder die Festlegungen dieses AVV.

8. Überprüfungen und Inspektionen

a) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses AVV, insbesondere der TOMs, beim Auftragsverarbeiter jederzeit im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren.

b) Der Auftragsverarbeiter hat den Auftraggeber bei den Kontrollen und Inspektionen im erforderlichen Rahmen zu unterstützen.

c) Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten und sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage) anzumelden. In Notfällen kann eine kürzere Frist gewählt werden.

d) Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters sowie den Schutz personenbezogener Daten Dritter Rücksicht nehmen. Soweit dem Anlass und Zweck der Prüfung genügend, soll sich eine Kontrolle auf Stichproben beschränken.

e) Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und zur Vertraulichkeit verpflichtet sind. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen, hat der Auftragsverarbeiter ein Einspruchsrecht.

f) Statt der Einsichtnahmen und Vor-Ort-Kontrollen darf der Auftragsverarbeiter den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z. B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- bzw. IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen, sofern dies dem Auftraggeber zumutbar ist.

g) Der Auftraggeber übt sein Kontrollrecht grundsätzlich nicht häufiger als alle 12 Monate aus, es sei denn ein konkreter Anlass (insbesondere eine Verletzung des Datenschutzes, ein Sicherheitsvorfall oder das Ergebnis einer Auditierung) macht Kontrollen vor Ablauf dieses Zeitraums erforderlich.

9. Unterauftragsverhältnisse

a) Der Auftraggeber erklärt sich ausdrücklich damit einverstanden, dass der Auftragsverarbeiter im Rahmen der Auftragsverarbeitung Unterauftragsverarbeiter einsetzen darf. Der Auftragsverarbeiter informiert den Auftraggeber mit einer angemessenen Vorfrist (regelmäßig 14 Werktage) über neue Unterauftragsverarbeiter und gibt dem Auftraggeber die Möglichkeit, vor deren Einsatz Einspruch zu erheben. Erhebt der Auftraggeber keinen Einspruch innerhalb der Vorfrist, darf der Unterauftragsverarbeiter eingesetzt werden.

b) Nimmt der Auftragsverarbeiter Dienste eines Unterauftragsverarbeiters in Anspruch, muss er dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, zu denen sich der Auftragsverarbeiter in diesem AVV verpflichtet hat.

c) Der Auftragsverarbeiter wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und Zuverlässigkeit sowie der Eignung der vom Unterauftragsverarbeiter getroffenen TOMs sorgfältig aus.

d) Die Weiterleitung von Daten an Unterauftragsverarbeiter ist erst zulässig, wenn der Auftragsverarbeiter sich davon überzeugt hat, dass der Unterauftragsverarbeiter seine Verpflichtungen vollständig erfüllt hat. Die Prüfung ist zu dokumentieren.

e) Der Auftragsverarbeiter hat die Einhaltung der Pflichten der Unterauftragsverarbeiter regelmäßig, spätestens alle 12 Monate, zu überprüfen. Statt eigener Überprüfung darf er auf Überprüfungen durch unabhängige Dritte oder geeignete Zertifizierungen verweisen.

f) Die Verantwortlichkeiten zwischen Auftragsverarbeiter und Unterauftragsverarbeiter sind eindeutig zu regeln.

g) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragsverarbeiter gegenüber dem Auftraggeber.

h) Verarbeitungen von personenbezogenen Daten, die keinen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen und bei denen der Auftragsverarbeiter Leistungen Dritter als Nebenleistung in Anspruch nimmt (z. B. Reinigungs-, Wartungs-, Telekommunikations-, Transportleistungen), stellen keine Unterauftragsverarbeitung im Sinne dieses AVV dar.

i) Unterauftragsverhältnisse, die dem Auftraggeber bei Abschluss dieses AVV mitgeteilt wurden, gelten in dem mitgeteilten Umfang unter Geltung der Regelungen dieses AVV als genehmigt.

j) Die bereits zum Abschluss dieses AVV bestehenden Unterauftragsverhältnisse werden im Anhang „Unterauftragsverarbeiter" aufgeführt und durch den Auftragsverarbeiter aktualisiert.

10. Räumlicher Bereich der Auftragsverarbeitung

a) Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind: insbesondere wenn (a) die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, (b) wirksame Standardvertragsklauseln (SCC) vorliegen oder (c) verbindliche interne Datenschutzvorschriften anerkannt sind.

b) Die Genehmigung von Unterauftragsverhältnissen durch den Auftraggeber im Rahmen dieses AVV erstreckt sich auch auf den räumlichen Bereich der Auftragsverarbeitung.

c) Die Auftragsverarbeitung in einem anderen als den vorstehend genannten Ländern bedarf der vorherigen Genehmigung des Auftraggebers.

11. Pflichten des Auftraggebers

a) Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

b) Der Auftraggeber benennt die zum Empfang von Weisungen berechtigten Ansprechpartner und ist verpflichtet, Änderungen unverzüglich mitzuteilen.

c) Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, dritte Unternehmen oder Behörden hinsichtlich etwaiger Ansprüche aufgrund der Verarbeitung im Rahmen dieses AVV verpflichtet sich der Auftraggeber, den Auftragsverarbeiter bei der Abwehr des Anspruchs im Rahmen seiner Möglichkeiten zu unterstützen.

12. Haftung

Es finden die Haftungsregelungen und -beschränkungen des Hauptvertrages Anwendung.

13. Laufzeit und Fortgeltung nach Vertragsende

a) Dieser AVV wird mit dessen Abschluss im elektronischen Format wirksam.

b) Laufzeit und Ende dieses AVV richten sich nach der Laufzeit und dem Ende des Hauptvertrages.

c) Der AVV kann von jeder Vertragspartei mit einer Frist von drei Monaten gekündigt werden.

d) Das Recht auf außerordentliche Kündigung bleibt vorbehalten, insbesondere im Fall eines schwerwiegenden Verstoßes gegen die Pflichten dieses AVV und des geltenden Datenschutzrechts.

e) Die Kündigung dieses AVV als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

f) Die sich aus diesem AVV ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des AVV fort, sofern der Auftragsverarbeiter weiterhin die vom AVV umfassten personenbezogenen Daten verarbeitet (insbesondere aufgrund gesetzlicher Aufbewahrungspflichten gemäß § 147 AO, § 257 HGB).

14. Löschung und Herausgabe von Daten

a) Nach Abschluss der Erbringung der Verarbeitungsleistungen wird der Auftragsverarbeiter alle personenbezogenen Daten und deren Kopien nach Wahl des Auftraggebers entweder vernichten oder zurückgeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht. Die Vernichtung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist. Die Einrede eines Zurückbehaltungsrechts wird ausgeschlossen.

b) Der Auftragsverarbeiter ist verpflichtet, sämtliche Dokumentationen, Nachweise, Protokolle und sonstigen Unterlagen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, mindestens für einen Zeitraum von drei Jahren ab Ende des Auftragsverarbeitungsverhältnisses aufzubewahren.

c) Während der Laufzeit darf der Auftragsverarbeiter personenbezogene Daten ausschließlich nach dokumentierter Weisung des Auftraggebers berichtigen, löschen, zurückgeben oder deren Verarbeitung einschränken.

d) Der Auftragsverarbeiter hat nach dokumentierter Weisung das Löschkonzept, das Recht auf Vergessenwerden, die Berichtigung sowie die Datenübertragbarkeit umzusetzen. Maßnahmen sind vollständig, nachvollziehbar und revisionssicher zu dokumentieren.

e) Nach Abschluss der vertraglich vereinbarten Arbeiten hat der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Auftraggebers herauszugeben oder, nach vorheriger Zustimmung, datenschutzkonform zu löschen oder zu vernichten.

f) Die Löschung und Vernichtung hat datenschutzkonform und nach dem Stand der Technik zu erfolgen. Soweit Datenträger zu vernichten sind, hat die Vernichtung mindestens nach DIN 66399 Teile 1–3 unter Anwendung der Sicherheitsstufe 4 zu erfolgen. Ist eine sofortige Löschung auf Sicherungskopien nur mit unverhältnismäßig hohem Aufwand möglich, sind die betroffenen Daten unverzüglich für jede weitere Verarbeitung einzuschränken und mit dem nächsten regulären Lösch- oder Überschreibungszyklus endgültig zu löschen.

g) Die datenschutzkonforme Löschung und Vernichtung ist vollständig, nachvollziehbar und revisionssicher zu dokumentieren.

h) Die zu erstellenden Lösch- und Vernichtungsprotokolle müssen mindestens enthalten:

i) Mit Beendigung des Auftragsverarbeitungsverhältnisses hat der Auftragsverarbeiter sicherzustellen, dass ihm sowie Unterauftragsverarbeitern keinerlei Zugriffs- oder Nutzungsmöglichkeiten auf personenbezogene Daten verbleiben. Sämtliche Benutzerkonten, Zugriffsrechte, Zugangsdaten, Schlüssel oder Token sind unverzüglich zu deaktivieren oder zu löschen.

j) Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auch nach Beendigung alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Pflichten zur Löschung gegenüber Aufsichtsbehörden, Gerichten oder betroffenen Personen nachzuweisen. Der Auftraggeber ist berechtigt, die ordnungsgemäße Durchführung innerhalb von drei Jahren nach Vertragsende zu überprüfen.

k) Soweit der Auftragsverarbeiter personenbezogene Daten aufgrund zwingender gesetzlicher Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB) über das Ende des Auftragsverarbeitungsverhältnisses hinaus speichern muss, hat er den Auftraggeber hierüber unverzüglich in Textform zu informieren. Die betroffenen Daten sind für jede weitere Verarbeitung zu sperren und ausschließlich zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflicht zu verarbeiten. Nach Wegfall der Aufbewahrungspflicht sind die Daten unverzüglich zu löschen.

l) Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich sämtlicher im Rahmen des Auftragsverarbeitungsverhältnisses verarbeiteten personenbezogenen Daten ausgeschlossen, unabhängig von etwaigen offenen Forderungen.

15. Aufwandsentschädigung

a) Zusätzliche Aufwände bei der Unterstützung des Auftraggebers bei der Erfüllung seiner datenschutzrechtlichen oder anderer Pflichten werden mit den nach dem Hauptvertrag vereinbarten oder branchenüblichen Sätzen vergütet.

b) Die Aufwandsentschädigung umfasst auch die Arbeitszeit des beanspruchten Personals sowie erforderliche Auslagen.

c) Soweit eine Handlung des Auftragsverarbeiters zu einer Störung, Datenschutzverletzung oder Unregelmäßigkeit führt, hat der Auftraggeber keine Kosten für die hieraus resultierenden Unterstützungshandlungen zu tragen.

d) Die Höhe der Aufwandsentschädigung bestimmt sich nach den üblichen Sätzen des Auftragsverarbeiters bzw. nach branchenüblichen Sätzen.

e) Überschreitet der Aufwand für Weisungen, Mitwirkungspflichten, Kontrollen oder Löschung/Rückgabe einen nach dem Hauptvertrag vereinbarten oder branchenüblichen Rahmen und der Auftragsverarbeiter trägt kein Verschulden, hat der Auftraggeber den Mehraufwand gesondert zu vergüten.

16. Schlussbestimmungen

a) Das anwendbare Recht bestimmt sich nach dem Hauptvertrag.

b) Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.

c) Dieser AVV stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.

d) Mit Zustandekommen dieses AVV werden alle früheren Verträge aufgehoben, die zwischen den Vertragsparteien zur Verarbeitung personenbezogener Daten im Auftrag abgeschlossen wurden.

e) Änderungen sowie Ergänzungen dieses AVV als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

f) Bei etwaigen Widersprüchen gehen Regelungen dieses AVV zum Datenschutz den Regelungen des Hauptvertrages vor.

g) Sollten eine oder mehrere Bestimmungen unwirksam oder undurchführbar sein, wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die unwirksamen Bestimmungen werden im Wege der ergänzenden Auslegung ersetzt.

Dieser AVV wird im elektronischen Format abgeschlossen und ist ohne Unterschriften der Vertragsparteien wirksam.

Anhang A: Gegenstand der Auftragsverarbeitung

Die folgenden Angaben zur Art und zum Zweck der Verarbeitung, der Art der personenbezogenen Daten sowie den Kategorien betroffener Personen bestimmen den Gegenstand der durch diesen AVV geregelten Verarbeitung. Änderungen sind zwischen den Vertragsparteien gemeinsam abzustimmen und zu dokumentieren.

Zwecke der Verarbeitung

a) Bereitstellung der Software-as-a-Service-Plattform „Wrenchly" zur Erstellung digitaler Fahrzeug-Annahmeprotokolle;

b) Erstellung, Speicherung und Versand signierter Annahmeprotokolle (PDF) an Endkunden der Werkstatt;

c) Automatisierte Anonymisierung (Pixelung) von KFZ-Kennzeichen auf Fahrzeugfotos vor Speicherung im Langzeit-Storage;

d) Einrichtung, Wartung und Betreuung der informationstechnischen Anlagen und Systeme, auf denen die Plattform betrieben wird;

e) Erbringung von Leistungen im Bereich der IT-Sicherheit (z. B. Zugangskontrolle, Verschlüsselung, Schutz vor unbefugtem Zugriff);

f) Kundenmanagement und Kundensupport für den Auftraggeber;

g) Verarbeitung im Rahmen von KI-Prozessen gemäß Artikel 4 der KI-Verordnung — ohne Verarbeitung der im Auftrag eingehenden Daten zum Zweck des Modell-Trainings. Eine Nutzung anonymisierter Annotationsdaten zur Verbesserung des Erkennungsmodells erfolgt ausschließlich auf Basis ausdrücklicher Einwilligung des betroffenen Endkunden und ist nicht Gegenstand dieses AVV.

Arten und Kategorien personenbezogener Daten

a) Bestandsdaten (z. B. Vor- und Nachname, Anschrift, Werkstatt-Zugehörigkeit, Rolle/Funktion);

b) Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer);

c) Inhaltsdaten (z. B. Texteingaben im Annahmeprotokoll, Schadensbeschreibungen, Unterschriften);

d) Bild- und Videoaufnahmen — Fahrzeugfotos (Walkaround-Aufnahmen, Detailaufnahmen von Schäden);

e) Vertragsdaten (z. B. Wrenchly-Abonnement-Plan, Vertragslaufzeit, Annahmeauftrags-Details);

f) Zahlungsdaten und Abrechnungsdaten (Stripe-Kunden-/Subscription-IDs, Rechnungsdaten — keine Speicherung vollständiger Zahlungsmittel-Daten beim Auftragsverarbeiter);

g) Nutzungsdaten (z. B. genutzte Funktionen, Seitenaufrufe im Dashboard, Klickpfade);

h) Protokolldaten (z. B. Server-Logfiles, Login-Protokolle, Audit-Logs);

i) Meta- und Kommunikationsdaten (z. B. IP-Adressen, Zeitstempel, User-Agent, Identifikationsnummern);

j) Fahrzeugdaten (z. B. KFZ-Kennzeichen vor Anonymisierung, Fahrzeug-Identifikationsnummer, Marke, Modell, Erstzulassung, Kilometerstand).

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Eine systematische Verarbeitung besonderer Kategorien personenbezogener Daten findet nicht statt. Eine Verarbeitung ist auf den folgenden Sonderfall beschränkt:

Kategorien betroffener Personen

a) Webseitenbesucher der vom Auftragsverarbeiter betriebenen Onlineangebote;

b) Softwarenutzer (Inhaber, Service-Mitarbeitende und sonstiges Personal des Auftraggebers);

c) Abonnenten (Vertragspartner des Wrenchly-Abonnements);

d) Interessenten an den angebotenen Leistungen;

e) Verbraucher und private Endkunden (Fahrzeughalter, deren Fahrzeug im Annahmeprotokoll des Auftraggebers erfasst wird);

f) Geschäftskunden und sonstige Vertragspartner des Auftraggebers, soweit sie im Annahmeprozess erfasst werden;

g) ggf. unbeabsichtigt erfasste Dritte auf Fahrzeugfotos (s. besondere Kategorien).

Quellen der verarbeiteten Daten

a) Erhebung bei betroffenen Personen (z. B. Endkunde unterschreibt am Tablet, gibt Kontaktdaten an);

b) Eingaben des Auftraggebers (z. B. Erfassung der Fahrzeug- und Kundendaten durch das Werkstatt-Personal);

c) Erhebung im Rahmen der Nutzung von Software, Applikationen, Webseiten und anderen Onlinediensten (z. B. automatische Protokolldaten);

d) Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch oder im Auftrag des Auftraggebers.

Anhang B: Zuständige Personen und Ansprechpartner

Die im Folgenden benannten Ansprechpersonen sind für die Erteilung bzw. den Empfang von Weisungen berechtigt. Änderungen der Ansprechpersonen, deren nicht nur vorübergehende Verhinderung oder ihrer Kontaktinformationen müssen der anderen Vertragspartei angezeigt werden.

Ansprechpartner beim Auftraggeber

Ansprechpartner Datenschutz:

Datenschutzbeauftragte/-r (falls bestellt): [Name, E-Mail — sonst „nicht bestellt"]

Ansprechpartner beim Auftragsverarbeiter

Ansprechpartner Datenschutz:

Datenschutzbeauftragte/-r: Nicht bestellt. Eine gesetzliche Pflicht zur Benennung nach § 38 BDSG besteht nicht. Bei Anfragen zur Datenverarbeitung wenden Sie sich an die oben genannte Ansprechperson.

Anhang C: Technische und organisatorische Maßnahmen (TOMs)

Es wird für die konkrete Verarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit so berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

C.1 Organisatorische Maßnahmen

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.

a) Implementiertes Datenschutzkonzept (dokumentiert in der internen Compliance-Dokumentation des Auftragsverarbeiters);

b) Geeignete Organisationsstruktur für Datensicherheit und Datenschutz; Informationssicherheit integriert in unternehmensweite Prozesse;

c) Interne Sicherheitsrichtlinien sind definiert und werden allen Mitarbeitenden gegenüber als verbindliche Regeln kommuniziert;

d) Mindestens jährliche Überprüfung, Bewertung und Evaluation der Wirksamkeit der TOMs nach PDCA-Zyklus;

e) Fortlaufende Beobachtung des Stands der Technik sowie aktueller Bedrohungen und Sicherheitsmaßnahmen mit Ableitung auf das eigene Sicherheitskonzept;

f) Etabliertes Konzept zur Wahrung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerruf);

g) Konsequente Dokumentation von Sicherheitsvorkommnissen, auch ohne externe Meldepflicht („Security Reporting");

h) Sorgfältige Auswahl von Dienstleistern für nebengeschäftliche Aufgaben; Verpflichtung auf Verschwiegenheit, sofern Zugang zu personenbezogenen Daten besteht;

i) Berücksichtigung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design / by Default) — exemplarisch realisiert durch die automatische Kennzeichen-Anonymisierung;

j) Eingesetzte Software und Hardware wird auf aktuellem Stand gehalten; Software-Aktualisierungen werden ohne Verzug ausgeführt; keine Verwendung von Software/Hardware, die vom Anbieter nicht mehr aktualisiert wird;

k) Bezug von Standardsoftware und Updates nur aus vertrauenswürdigen Quellen;

l) Geführtes „papierloses Büro" — Unterlagen werden grundsätzlich nur digital gespeichert;

m) Unterlagen im Papierformat werden nur dann aufbewahrt, wenn keine adäquate digitale Kopie vorliegt oder eine Aufbewahrung gesetzlich erforderlich ist;

n) Etabliertes Lösch- und Entsorgungskonzept entsprechend dem Stand der Technik (insb. DIN 66399); Mitarbeiter sind über Löschfristen und Vernichtungsvorgaben unterrichtet;

o) Einschränkung der Verarbeitung durch Sperrvermerke und/oder Aussonderung für Daten, die aufgrund gesetzlicher Archivierungspflichten (insb. § 147 AO, § 257 HGB) nicht gelöscht werden dürfen.

C.2 Datenschutz auf Mitarbeiterebene

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit der Verarbeitung beschäftigten Personen über die erforderliche Sachkenntnis und Zuverlässigkeit verfügen.

a) Verpflichtung der Mitarbeiter auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis);

b) Sensibilisierung und Unterrichtung im Hinblick auf den Datenschutz entsprechend den Anforderungen der Funktion; Wiederholung in angemessenen Zeitabständen;

c) Relevante Richtlinien (E-Mail-/Internetnutzung, Schadcodemeldungen, Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar;

d) Unterrichtung der Mitarbeiter über besondere Sicherheitsanforderungen bei Home- und Mobileoffice; Verpflichtung auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten;

e) Unterrichtung der Mitarbeiter über besondere Sicherheitsanforderungen bei Einsatz von Privatgeräten (BYOD); Verpflichtung auf deren Einhaltung;

f) Einzug von Schlüsseln, Zugangskarten, Codes und Berechtigungen bei Ausscheiden oder Zuständigkeitswechsel;

g) Clean Desk Policy: Arbeitsumgebung wird aufgeräumt verlassen; Zugang zu Unterlagen oder Datenträgern mit personenbezogenen Daten wird verhindert.

C.3 Zutrittskontrolle

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern.

a) In den eigenen Geschäftsräumlichkeiten des Auftragsverarbeiters werden — bis auf die Arbeitsplatzrechner und mobile Geräte — keine Server-Anlagen unterhalten. Die produktiven Verarbeitungssysteme und der Object-Storage werden bei der Hetzner Online GmbH (Rechenzentren Falkenstein und/oder Nürnberg, Deutschland) unter Beachtung der Vorgaben für Auftragsverarbeitung betrieben. Die physischen Zutrittskontrollen am Serverstandort (Pförtnerdienst, Videoüberwachung, Zutritts-Protokollierung, Brand- und Einbruchsschutz, redundante Stromversorgung) werden durch den Unterauftragsverarbeiter Hetzner gewährleistet und sind dessen TOMs zu entnehmen.

b) Zugang zu Datenverarbeitungsanlagen (Arbeitsplatzrechner, mobile Geräte) ist durch Geräte-Verschlüsselung und Benutzer-Authentifizierung zusätzlich gesichert;

c) Verpflichtung zur Sperrung von Geräten beim Verlassen der Arbeitsumgebung;

d) Sichere Aufbewahrung etwaiger Akten und Dokumente in verschließbaren Behältnissen;

e) Sichere Aufbewahrung von Datenträgern; nicht mehr benötigte Datenträger werden datenschutzkonform vernichtet.

C.4 Zugangskontrolle

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird.

a) Passwortkonzept mit Mindestlänge 12 Zeichen und Komplexitätsanforderungen entsprechend aktuellen BSI-/NIST-Empfehlungen;

b) Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt;

c) Passwörter werden nicht im Klartext gespeichert; Speicherung als Hash (bcrypt/argon2 via BetterAuth); Übertragung verschlüsselt über TLS;

d) Einsatz einer Passwort-Management-Software;

e) Zwei-Faktor-Authentifizierung für administrative Zugänge zu den Unterauftragsverarbeitern (Hetzner, Stripe, Resend, Hosting-Verwaltung);

f) Rate-Limiting auf sicherheitsrelevanten Anwendungs-Endpunkten (Anmeldung, Registrierung, Passwort-Reset, E-Mail-Versand) — Begrenzung der Login-Versuche pro IP und Zeitfenster zur Abwehr von Brute-Force-Angriffen;

g) Löschung oder Deaktivierung von Zugangsdaten ausgeschiedener Mitarbeiter oder Beauftragter;

h) Einsatz einer Hardware-Firewall (Hetzner Cloud Firewall);

i) Einsatz einer Software-Firewall auf den Servern (ufw/iptables);

j) Backups werden verschlüsselt gespeichert (AES-256), in einem separaten Backup-Bucket; tägliche Backup-Zyklen, 7-Tage-Rolling-Retention, monatliche Restore-Tests.

C.5 Interne Zugriffskontrolle und Eingabekontrolle

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Es sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert, entfernt oder sonst verarbeitet worden sind.

a) Rechte- und Rollenkonzept: Mehrstufige Berechtigungs-Hierarchie (Workshop-Administrator, Service-Mitarbeitender, eingeschränkter Anwender); Zugriff nur in dem erforderlichen Umfang;

b) Regelmäßige Evaluation und Aktualisierung des Berechtigungskonzepts;

c) Administratoren-Tätigkeiten werden im Rahmen rechtlich zulässiger Möglichkeiten überwacht und protokolliert;

d) Nachvollziehbarkeit von Datenzugriffen über Application-Audit-Logs, Caddy-Zugriffslogs sowie Datenbank-Logs;

e) Protokollierung von Login-Vorgängen, Daten-Eingaben, -Veränderungen und -Löschungen;

f) Schutz der Protokolldateien vor Veränderung oder Verlust durch reguläre Backup-Prozesse.

C.6 Weitergabekontrolle

Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

a) Administrativer Zugriff auf Produktivsysteme erfolgt verschlüsselt über SSH mit Public-Key-Authentifizierung;

b) Mobile Datenträger (z. B. Laptops) werden durchgängig verschlüsselt (Disk-Encryption, FileVault o. Ä.);

c) Transportverschlüsselung von E-Mails über die verwendeten Anbieter (Resend, Mail-Provider);

d) Übermittlung und Verarbeitung personenbezogener Daten über die Online-Angebote des Auftragsverarbeiters erfolgt durchgängig über TLS/SSL (HTTPS) mit von Let's Encrypt automatisch verwalteten Zertifikaten;

e) Verschlüsselte Speicherung in Cloud-Diensten (Server-Side-Encryption bei Hetzner Object Storage; Disk-Encryption auf Cloud-VMs).

C.7 Auftragskontrolle, Zweckbindung und Trennungskontrolle

Es sind Maßnahmen ergriffen worden, die sicherstellen, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden und keine ungewollte Vermengung mit Daten anderer Verarbeitungen erfolgt.

a) Gesonderte Dokumentation der für den Auftraggeber durchgeführten Verarbeitungsprozesse in einem Verzeichnis von Verarbeitungstätigkeiten;

b) Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern (s. Anhang D);

c) Information und Instruktion von Mitarbeitern und Beauftragten über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen;

d) Regelmäßige Überprüfung der Einhaltung von Weisungen und des zulässigen Rahmens;

e) Besondere Beachtung der Löschfristen für Auftragsdaten — Dokumentation im Löschkonzept des Auftragsverarbeiters:

f) Pseudonymisierung und Anonymisierung als zentrale Verarbeitungskomponente — KFZ-Kennzeichen werden auf Fahrzeugfotos vor der Speicherung im Langzeit-Storage automatisch unkenntlich gemacht; Rohaufnahmen verlassen die Storage-Infrastruktur nicht über die öffentliche API;

g) Logische Mehrmandantentrennung der Daten verschiedener Auftraggeber durch konsequente Verwendung einer workshop_id-Identifikation in allen Datenbank-Tabellen und Object-Storage-Pfaden; Zugriffsprüfung auf Anwendungs- und Datenbank-Ebene;

h) Strikte Trennung von Produktiv- und Test-/Entwicklungssystemen: lokale Entwicklung erfolgt auf separater Docker-basierter Infrastruktur ohne Zugang zu Produktivdaten.

C.8 Sicherung der Integrität, Verfügbarkeit und Belastbarkeit

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.

a) Kontinuierliche Überwachung und Diagnose der Datenverarbeitungssysteme über Anbieter-Monitoring (Hetzner) sowie eigene Logs;

b) Speicherung der personenbezogenen Daten bei einem sorgfältig ausgewählten externen Hosting-Anbieter (Hetzner Online GmbH, Deutschland), der die einschlägigen Anforderungen an Brand-, Feuchtigkeits-, Stromausfall- und Katastrophenschutz sowie an die Gebäudesicherung erfüllt;

c) Regelmäßiges und dokumentiertes Patch-/Update-Management auf Betriebssystem- und Anwendungs-Ebene;

d) Schutz vor Distributed-Denial-of-Service-Angriffen über die Anti-DDoS-Maßnahmen des Hosting-Anbieters;

e) Unterbrechungsfreie Stromversorgung am Serverstandort (gewährleistet durch den Hosting-Anbieter);

f) Brandschutz, Schutz vor Feuchtigkeitsschäden, Videoüberwachung sowie Einbruchs- und Kontaktmelder am Serverstandort (gewährleistet durch den Hosting-Anbieter);

g) Systemseitiger Schutz der Datensätze des Auftraggebers vor versehentlicher Änderung oder Löschung durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups;

h) Zuverlässiges und kontrolliertes Backup- und Wiederherstellungskonzept — nächtliche, verschlüsselte Postgres-Backups (AES-256), 7 Tage Rolling-Retention, separate Backup-Storage-Region;

i) Monatliche Restore-Tests zur Validierung der Wiederherstellbarkeit der Backups.

C.9 Spezielle Maßnahmen für den Einsatz Künstlicher Intelligenz

Es sind die erforderlichen Maßnahmen ergriffen worden, die sicherstellen, dass der Einsatz von Künstlicher Intelligenz (KI) den gesetzlichen Anforderungen entspricht.

Eingesetzte KI im Sinne dieses AVV: Lokal betriebenes Erkennungsmodell zur automatischen Unkenntlichmachung (Pixelung) von KFZ-Kennzeichen auf Fahrzeugfotos. Das Modell wird auf eigenen Servern des Auftragsverarbeiters in Deutschland betrieben (Hetzner Cloud). Eine Übermittlung an externe KI-Anbieter findet nicht statt.

Klassifikation: Das Modell ist kein Hochrisiko-KI-System im Sinne von Anhang III der KI-Verordnung. Es bewirkt das Gegenteil einer biometrischen Identifizierung — die Identifizierbarkeit über das Kennzeichen wird durch das Modell aufgehoben (Pixelung). Es trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Betroffenen im Sinne von Art. 22 DSGVO.

a) Vor Einsatz des Modells wurde eine Risikobewertung und -analyse durchgeführt. Das Risiko wurde als gering eingestuft, da Eingangsdaten ausschließlich zur Inferenz und nicht zur Identifizierung von Personen genutzt werden;

b) Die technischen Details des Modells (Architektur, Trainingsdatensatz-Herkunft, Versionierung) sind dokumentiert und werden bei Modell-Updates aktualisiert;

c) Die Funktionsweise des Modells und der Anonymisierungs-Pipeline ist in der Datenschutzerklärung des Auftragsverarbeiters transparent dargestellt;

d) Mechanismen zur Wahrung der Rechte betroffener Personen sind etabliert (z. B. Löschung, Berichtigung, Auskunft);

e) Der Betrieb des Modells wird kontinuierlich überwacht. Bei Modell-Fehlern wird das betroffene Foto als pending_model oder failed markiert und nicht ausgeliefert; eine Speicherung im Langzeit-Storage erfolgt erst nach erfolgreicher Anonymisierung;

f) Eingangsdaten (Fahrzeugfotos des Auftraggebers) fließen nicht in das Training des Modells. Eine Nutzung anonymisierter Annotationsdaten zur Modellverbesserung erfolgt ausschließlich auf Basis ausdrücklicher Einwilligung des betroffenen Endkunden (separate Rechtsgrundlage nach Art. 6 Abs. 1 lit. a DSGVO, dokumentiert in der Datenschutzerklärung) und ist nicht Gegenstand dieses AVV;

g) Schulung und Sensibilisierung der mit dem KI-Betrieb betrauten Personen im Hinblick auf gesetzliche Anforderungen, KI-Kompetenz und sichere Bedienung;

h) Das Modell wird gemäß Betriebsanweisungen und in Übereinstimmung mit technischen Spezifikationen verwendet; geeignete TOMs sind eingesetzt, um Sicherheit und Genauigkeit zu gewährleisten;

i) Die Datenschutzgesetze werden eingehalten; Datenqualität, -integrität und -sicherheit sind durch die zugrundeliegende Datenverarbeitungs-Pipeline gewährleistet;

j) Maßnahmen zur Genauigkeit und Zuverlässigkeit des Modells (Validierung gegen Test-Datensätze, Versions-Pinning, kontrollierte Modell-Updates), Schutz gegen Cyberangriffe und unbefugten Zugriff durch die in C.4–C.6 beschriebenen Maßnahmen.

Anhang D: Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:

D.1 Hetzner Online GmbH

D.2 Resend, Inc.

D.3 Stripe Payments Europe, Limited

Diese AVV-Vorlage wird per elektronischem Abschluss als Anlage zum Hauptvertrag (Wrenchly-Nutzungsvertrag/Abonnement) wirksam und bedarf keiner Unterschriften. Die im Onboarding gerenderte, mit den Werkstatt-spezifischen Angaben befüllte Version wird zusammen mit Datum, Hash und Auftraggeber-Identifikation in der Akzeptanz-Datenbank des Auftragsverarbeiters dokumentiert.

Stand: 29.05.2026