DSGVO Art. 28

Auftragsverarbeitungsvertrag (AVV)

Stand: 03.05.2026 · Version 1.0 · Gemäß Art. 28 DSGVO

Inhalt

  1. Vertragsparteien & Präambel
  2. § 1 Gegenstand, Dauer, Art und Zweck
  3. § 2 Art der personenbezogenen Daten
  4. § 3 Kategorien betroffener Personen
  5. § 4 Pflichten des Auftragsverarbeiters
  6. § 5 Sub-Auftragsverarbeiter
  7. § 6 Pflichten des Verantwortlichen
  8. § 7 Technisch-organisatorische Maßnahmen (TOM)
  9. § 8 Rechte der betroffenen Personen
  10. § 9 Meldepflicht bei Datenpannen
  11. § 10 Vertraulichkeit
  12. § 11 Löschung / Rückgabe nach Vertragsende
  13. § 12 Haftung
  14. § 13 Anwendbares Recht
  15. § 14 Schlussbestimmungen

Vertragsparteien & Präambel

Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Der Fahrradhändler / Werkstattbetreiber, der sich über das Registrierungsformular auf samorad.de angemeldet hat.

– nachfolgend „Verantwortlicher" oder „Auftraggeber" –

Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)

Armin Imamovic · Einzelunternehmer

E-Mail: info@samorad.de

– nachfolgend „Auftragsverarbeiter" oder „samoRad" –

Hinweis zur Vertragspartei: Auftragsverarbeiter ist Armin Imamovic als natürliche Person / Einzelunternehmer, handelnd unter der Bezeichnung samoRad. Eine Handelsregistereintragung besteht nicht.

Der Verantwortliche nutzt auf Grundlage des Lizenzvertrags die SaaS-Plattform „samoRad". Im Rahmen dieser Leistung verarbeitet der Auftragsverarbeiter personenbezogene Daten (insbesondere Endkunden-Buchungsdaten und Kundenstammdaten der Werkstatt) im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten gemäß Art. 28 DSGVO.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt im Rahmen der Bereitstellung der SaaS-Plattform samoRad, insbesondere zur:

  1. Annahme, Bearbeitung und Ausgabe von Werkstattaufträgen,
  2. Online-Terminbuchung durch Endkunden über das Marketplace-Portal samorad.de,
  3. Versand transaktionsbezogener E-Mails (Buchungsbestätigungen, Status-Updates),
  4. Speicherung und Verwaltung von Kunden- und Auftragsdaten,
  5. Erstellung von Belegen, Rechnungsentwürfen und Werkstatt-Labels.

Die Verarbeitung beginnt mit der erstmaligen Nutzung der Plattform und endet mit Beendigung des Lizenzvertrages (zuzüglich der in § 11 geregelten Löschfristen).

§ 2 Art der personenbezogenen Daten

(1) Endkundendaten:

(2) Mitarbeiterdaten des Verantwortlichen: Name, Benutzername, gehashte Passwörter, Rolle/Berechtigungen, Login-Zeitpunkte, IP-Adresse, Audit-Log-Einträge.

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet.

§ 3 Kategorien betroffener Personen

§ 4 Pflichten des Auftragsverarbeiters (samoRad)

(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen sind grundsätzlich in Textform (per E-Mail an info@samorad.de) zu erteilen.

(3) Vertraulichkeit: Der Auftragsverarbeiter verpflichtet sämtliche zur Verarbeitung berechtigten Personen schriftlich zur Vertraulichkeit.

(4) Technisch-organisatorische Maßnahmen: Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen (siehe § 7).

(5) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12 ff. DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO.

§ 5 Sub-Auftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung von Sub-Auftragsverarbeitern gemäß Art. 28 Abs. 2 Satz 2 DSGVO.

Aktuelle Sub-Auftragsverarbeiter:

NameSitzZweckDatenstandort
Hetzner Online GmbHGunzenhausen, DeutschlandHosting (Server, Datenbanken, Backups)Deutschland
E-Mail-Dienstleister (tbd)Deutschland / EUVersand transaktionaler E-MailsEU

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzuziehung eines neuen Sub-Auftragsverarbeiters. Eine Datenübermittlung in Drittländer findet derzeit nicht statt.

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche stellt insbesondere sicher, dass für die Verarbeitung eine Rechtsgrundlage besteht, die betroffenen Personen ordnungsgemäß informiert werden (Art. 13, 14 DSGVO), erforderliche Einwilligungen eingeholt werden und das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) eigenständig geführt wird.

§ 7 Technisch-organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

Zutrittskontrolle

  • Hosting in Hochsicherheits-RZ der Hetzner Online GmbH
  • Zutrittskontrolle, Videoüberwachung, 24/7-Sicherheit

Zugangskontrolle

  • Passwörter ausschließlich gehasht (bcrypt)
  • 2FA für Mitarbeiter-Accounts (aktiviert ab Go-Live)
  • SSH-Zugang per Public-Key, keine Passwort-Logins
  • Rate-Limiting gegen Brute-Force

Zugriffskontrolle

  • Rollen- und Rechtekonzept (Inhaber, Meister, Mitarbeiter)
  • Mandantentrennung auf Anwendungsebene
  • Prinzip der minimalen Rechte (Least Privilege)

Verschlüsselung

  • HTTPS / TLS 1.3 (HSTS aktiviert)
  • AES-256-GCM für sensible Dateien und Backups
  • Secrets nur in Umgebungsvariablen, nie im Quellcode

Integrität

  • Audit-Log: Login, Datenänderungen mit Zeitstempel + User-ID
  • Logs gegen nachträgliche Veränderung geschützt

Verfügbarkeit

  • Tägliches automatisiertes Backup (DB + Uploads)
  • Aufbewahrung 60 Tage (rolling)
  • DDoS-Schutz auf Provider-Ebene
  • Firewall-Härtung auf OS-Ebene

§ 8 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunftsrecht (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).

Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden innerhalb von 5 Werktagen an den Verantwortlichen weitergeleitet.

§ 9 Meldepflicht bei Datenpannen (Art. 33, 34 DSGVO)

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung in Textform — mit Beschreibung der Art der Verletzung, betroffenen Datenkategorien, wahrscheinlichen Folgen und ergriffenen Maßnahmen.

§ 10 Vertraulichkeit

Der Auftragsverarbeiter und seine Beschäftigten dürfen die im Rahmen dieses Vertrages bekanntgewordenen personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen verwenden. Die Vertraulichkeitspflicht besteht über das Vertragsende hinaus fort.

§ 11 Löschung / Rückgabe der Daten nach Vertragsende

Nach Vertragsende werden sämtliche personenbezogene Daten nach Wahl des Verantwortlichen (Frist: 14 Tage vor Vertragsende in Textform) entweder als strukturierter Export herausgegeben oder gelöscht. Ohne Wahl erfolgt die Löschung 30 Tage nach Vertragsende. Backups werden gemäß 60-Tage-Rolling-Konzept automatisch überschrieben. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 12 Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Lizenzvertrags (§ 8 Lizenzvertrag) entsprechend, soweit zwingende gesetzliche Vorschriften nicht entgegenstehen.

§ 13 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist der Geschäftssitz des Auftragsverarbeiters.

§ 14 Schlussbestimmungen

Im Konfliktfall gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV gegenüber dem Lizenzvertrag vor. Änderungen bedürfen der Textform.

Anlagen: Anlage 1: Liste der genehmigten Sub-Auftragsverarbeiter (§ 5 Abs. 2) · Anlage 2: TOM (§ 7)

Für den Verantwortlichen — Ort, Datum, Unterschrift
Für den Auftragsverarbeiter (Armin Imamovic · Einzelunternehmer) — Ort, Datum, Unterschrift