Vertrag zur Auftragsverarbeitung

gemäß Art. 28 DSGVO

zwischen

____________________________________ (nachfolgend „Verantwortlicher")

und

____________________________________ (nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Dauer

Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Software „SHK-Förder-Wizard". Der Vertrag beginnt mit Unterzeichnung und endet mit Beendigung des zugrunde liegenden Hauptvertrags. Eine ordentliche Kündigung ist mit Frist von 30 Tagen möglich.

§ 2 Art und Zweck der Verarbeitung

Speicherung von Kunden-Stammdaten (Endkunden des Verantwortlichen)
Erstellung und Versand von Angeboten und Förder-Empfehlungen
Kalender-/Termin-Management
Vorausfüllen von BAFA-/KfW-Formularen für Förderanträge

§ 3 Art der Daten

Stammdaten (Name, Anschrift, Kontakt)
Liegenschaftsdaten (Baujahr, Energieverbrauch, technische Anlagen)
Kommunikationsverlauf
Auftrags-/Vertragsdaten
Bankdaten soweit benötigt

§ 4 Pflichten des Auftragsverarbeiters

Verarbeitung ausschließlich nach dokumentierter Weisung.
Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO — alle Mitarbeitende auf Verschwiegenheit verpflichtet.
Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO — Anlage 1.
Unterstützung bei Anfragen Betroffener (Art. 12-22 DSGVO).
Mitwirkungspflicht bei Datenschutz-Folgenabschätzung (Art. 35, 36).
Meldung von Datenpannen innerhalb 24 Stunden an Verantwortlichen.
Rückgabe/Löschung aller Daten nach Ende der Verarbeitung (Wahl des Verantwortlichen).

§ 5 Subunternehmer

Folgende Subunternehmer werden eingesetzt:

Hosting: ____________________________________
E-Mail-Versand: ____________________________________
Zahlungsabwicklung: ____________________________________ (Stripe Inc., AVV separat)

Weitere Subunternehmer werden mit 30-Tage-Vorabankündigung mitgeteilt; Widerspruch innerhalb 14 Tagen möglich.

§ 6 Kontrollrechte

Der Verantwortliche darf einmal jährlich und auf eigene Kosten den Auftragsverarbeiter prüfen lassen. Vor-Ort-Prüfung mit 14 Tagen Vorankündigung.

§ 7 Haftung

Beide Parteien haften nach Art. 82 DSGVO; im Innenverhältnis nach gesetzlicher Regelung.

Ort, Datum: ____________________

Verantwortlicher

Ort, Datum: ____________________

Auftragsverarbeiter

Anlage 1: Technisch-organisatorische Maßnahmen

Vertraulichkeit: Zugriff nur via 2FA-gesicherte Accounts; passwort-gehashed mit Argon2id.
Integrität: Audit-Hash-Chain (SHA-256) für alle relevanten Datenänderungen; Unveränderbarkeit nach Versand.
Verfügbarkeit: Tägliche Backups; Restore-Test quartalsweise; Hosting in DE/EU.
Belastbarkeit: TLS 1.3 in Transit; ggf. Verschlüsselung at-rest auf Hosting-Ebene.
Auftragskontrolle: Multi-Tenant-Isolation auf Anwendungsebene (betrieb_id).
Verfügbarkeitskontrolle: Health-Checks; Monitoring; Wiederherstellungszeit < 4 h.