Vereinbarung zur Auftragsverarbeitung

§ 1 Gegenstand und Dauer der Verarbeitung

1. Der Auftragsverarbeiter (Geodemo UG (haftungsbeschränkt), nachfolgend „Anbieter") verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (nachfolgend „Nutzer") im Rahmen der Bereitstellung der Plattform HiProfile.
2. Gegenstand der Verarbeitung ist die Bereitstellung einer webbasierten Anwendung zur Erstellung, Verwaltung und Veröffentlichung von Profilseiten (Onepagern) einschließlich Hosting, Datenspeicherung und Authentifizierung.
3. Die Verarbeitung beginnt mit dem Vertragsschluss und endet mit der vollständigen Löschung der Daten nach Vertragsende gemäß den Nutzungsbedingungen.

§ 2 Art und Zweck der Verarbeitung

1. Die Verarbeitung umfasst folgende Tätigkeiten:
   1. Speicherung und Bereitstellung von Profildaten und Inhalten des Nutzers
   2. Hosting und öffentliche Bereitstellung des Onepagers
   3. Authentifizierung und Zugangsmanagement
   4. Generierung und Darstellung des Impressums aus den Nutzerdaten
   5. Erhebung anonymisierter Nutzungsstatistiken
2. Der Zweck der Verarbeitung ergibt sich aus den Nutzungsbedingungen. Eine Verarbeitung zu anderen Zwecken findet nicht statt.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

1. Bestandsdaten des Nutzers: E-Mail-Adresse, Name, Firmenbezeichnung, Anschrift, Telefonnummer (sofern angegeben), USt-IdNr. (sofern angegeben), Handelsregisterdaten (sofern angegeben)
2. Inhaltsdaten: Profilbilder, Texte, Portfolio-Arbeiten, Links und sonstige vom Nutzer eingestellte Inhalte
3. Nutzungsdaten: Zugangsdaten, Zeitpunkt der Anmeldung, Version der akzeptierten Nutzungsbedingungen
4. Zahlungsdaten: Stripe-Kunden-ID, Abrechnungszeitraum, Zahlungsstatus (Zahlungsdaten selbst werden ausschließlich von Stripe verarbeitet)
5. Besucherdaten der Onepager: IP-Adressen (anonymisiert), Seitenaufrufe, Referrer, Geräteinformationen (anonymisiert, keine Zuordnung zu einzelnen Personen)

§ 4 Kategorien betroffener Personen

1. Nutzer der Plattform: Gewerbetreibende und Freiberufler, die die Plattform zur Erstellung eines Onepagers nutzen
2. Besucher der Onepager: Personen, die die veröffentlichten Onepager der Nutzer aufrufen

§ 5 Pflichten des Anbieters

1. Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Nutzers, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Anbieter dem Nutzer diese rechtlichen Anforderungen vor der Verarbeitung mit.
2. Der Anbieter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Der Anbieter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Hierzu gehören insbesondere:
   1. Verschlüsselung der Datenübertragung mittels TLS/SSL
   2. Zugriffskontrolle und Authentifizierung
   3. Regelmäßige Sicherungskopien
   4. Hosting in der Europäischen Union
   5. Trennung der Daten verschiedener Nutzer
4. Der Anbieter unterstützt den Nutzer unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit bei der Erfüllung von Anfragen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
5. Der Anbieter unterstützt den Nutzer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
6. Der Anbieter informiert den Nutzer unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
7. Nach Beendigung des Auftrags löscht der Anbieter sämtliche personenbezogenen Daten gemäß den in den Nutzungsbedingungen festgelegten Fristen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
8. Der Anbieter stellt dem Nutzer alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 Unterauftragsverarbeiter

1. Der Nutzer erteilt dem Anbieter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Anbieter informiert den Nutzer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Nutzer die Möglichkeit, gegen diese Änderungen Einspruch zu erheben.
2. Zum Zeitpunkt des Abschlusses dieser Vereinbarung setzt der Anbieter folgende Unterauftragsverarbeiter ein:

3. Der Anbieter stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in dieser Vereinbarung festgelegt sind, insbesondere die Pflicht, hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
4. Soweit Unterauftragsverarbeiter ihren Sitz außerhalb des EWR haben, stellt der Anbieter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch Standardvertragsklauseln der EU-Kommission, einen Angemessenheitsbeschluss oder das EU-US Data Privacy Framework.

§ 7 Rechte und Pflichten des Nutzers

1. Der Nutzer ist als Verantwortlicher im Sinne der DSGVO für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2. Der Nutzer hat das Recht, dem Anbieter Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen sind in Textform (E-Mail) zu erteilen.
3. Der Nutzer informiert den Anbieter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 8 Kontrollrechte

1. Der Nutzer hat das Recht, die Einhaltung dieser Vereinbarung durch den Anbieter zu überprüfen. Der Anbieter stellt hierfür die erforderlichen Informationen zur Verfügung.
2. Inspektionen durch den Nutzer oder von ihm beauftragte Prüfer sind nach angemessener Vorankündigung und unter Berücksichtigung der Geschäftsgeheimnisse des Anbieters möglich.

§ 9 Haftung und Schlussbestimmungen

1. Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Haftungsregelungen der Nutzungsbedingungen.
2. Änderungen dieser Vereinbarung bedürfen der Textform.
3. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
4. Es gilt das Recht der Bundesrepublik Deutschland. Der Gerichtsstand richtet sich nach den Nutzungsbedingungen.