Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Begriffsdefinitionen

Primärdaten: Daten des Auftraggebers
Sekundärdaten: Personenbezogene Daten von betroffenen Dritten (wie zum Beispiel Kunden und Lieferanten des Auftraggebers), welche vom Auftragnehmer verarbeitet werden müssen

Präambel

Die Get mika GmbH (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter" genannt) verarbeitet im Auftrag des Vertragspartners (nachfolgend „Auftraggeber" oder „Verantwortlicher" genannt) personenbezogene Daten. Dieser Anhang zum Hauptvertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der mika App und der mika Website.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Vertrags ist die Erbringung von Dienstleistungen des Auftragnehmers für den Auftraggeber gemäß dem zwischen den Parteien bestehenden Hauptvertrag über die Nutzung der mika Software-Lösungen.

(2) Der Auftragnehmer verarbeitet dabei Primärdaten sowie Sekundärdaten, die vom Auftraggeber zur Verfügung gestellt werden.

(3) Die Dauer dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Der Vertrag endet automatisch mit der Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen

(1) Art und Zweck der Verarbeitung:

  • Bereitstellung und Betrieb der mika App und mika Website
  • Analyse des Nutzerverhaltens in pseudonymisierter Form
  • Fehleranalyse und -behebung
  • Integration von Bankdaten über FinAPI
  • Kommunikation mit dem Finanzamt über Datev
  • Einsatz von KI-Modellen zur Verarbeitung von Daten

(2) Kategorien personenbezogener Daten:

  • Primärdaten (Daten des Auftraggebers)
  • Sekundärdaten (personenbezogene Daten von betroffenen Dritten)
  • Bankdaten und Transaktionsdaten
  • Finanzdaten und Buchhaltungsdaten
  • Belegdaten
  • Nutzungsdaten der Software

(3) Kategorien betroffener Personen:

  • Mitarbeiter des Auftraggebers
  • Kunden und Lieferanten des Auftraggebers
  • Sonstige Geschäftspartner und betroffene Dritte

§ 3 Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten.

(2) Die vom Auftragnehmer implementierten technisch-organisatorischen Maßnahmen umfassen insbesondere:

  • Pseudonymisierung von Daten in Analyse-Tools
  • Hosting von Daten ausschließlich in der EU
  • Nutzung von EU-kompatiblen Cloud-Diensten (AWS eu-central-1, GCP mit EU-Compliance)
  • Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme
  • Sicherstellung der Wiederherstellbarkeit von Daten bei technischen Zwischenfällen
  • Regelmäßige Überprüfung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen

(3) Der Auftragnehmer behält sich vor, die technisch-organisatorischen Maßnahmen weiterzuentwickeln, sofern dabei mindestens ein gleichwertiges Schutzniveau gewährleistet bleibt.

§ 4 Rechte und Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers.

(2) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12 bis 22 DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter in Anspruch zu nehmen.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

(3) Der Auftragnehmer setzt derzeit folgende Unterauftragsverarbeiter ein:

Für die mika App:

  • Posthog (EU-Server)
    • Zweck: Pseudonymisierte Analyse von Nutzerverhalten
    • Verarbeitete Daten: Nutzungsdaten (pseudonymisiert)
  • Sentry (EU-Server)
    • Zweck: Analyse von Fehlerdaten, Logging
    • Verarbeitete Daten: Fehlerprotokolle, potenziell Primärdaten und Sekundärdaten in Fehlerlogs
  • Amazon Web Services (AWS)
    • Standort: Frankfurt am Main (eu-central-1)
    • Zweck: Cloud-Hosting, Datenspeicherung, Business-Logik
    • Verarbeitete Daten: Primärdaten und Sekundärdaten
    • Besonderheiten:
      • Amazon Bedrock (KI-Modelle, insb. Claude)
      • Amazon Textract (Texterkennung)
  • Google Cloud Platform (GCP)
    • Standort: Frankfurt am Main (eu-central-1)
    • Zweck: Besondere Berechnungen als sekundäre Cloud
    • Verarbeitete Daten: Primärdaten und Sekundärdaten (keine dauerhafte Speicherung)
    • Verwendete Services:
      • Google Maps API
      • Google Drive Synchronisation (optional)
      • Vertex (KI-Modelle, insb. Gemini)
  • Orq
    • Standort: Niederlande
    • Zweck: Abstraktion zwischen KI-Modellen und Code, Protokollierung von KI-Konversationen
    • Verarbeitete Daten: Primärdaten und Sekundärdaten
  • FinAPI
    • Standort: Deutschland
    • Zweck: Anbindung von Bankkonten
    • Verarbeitete Daten: Primärdaten, Bankdaten, Transaktionsdaten
  • Datev
    • Standort: Deutschland
    • Zweck: Kommunikation mit dem Finanzamt, Buchhaltung
    • Verarbeitete Daten: Primärdaten, Transaktionsdaten, Belege und somit Sekundärdaten
  • Stripe
    • Standort:(EU-Server)
    • Zweck: Zahlungsdatenspeicherung
    • Verarbeitete Daten: Primärdaten

Für die mika Website:

  • Webflow
    • Zweck: CMS, integrierte Analytics
    • Verarbeitete Daten: Website-Nutzungsdaten
  • Google Analytics
    • Zweck: Anonymes Analytics
    • Verarbeitete Daten: Anonymisierte Nutzungsdaten
  • Google Tag Manager
    • Zweck: Tag Management System
    • Verarbeitete Daten: Website-Nutzungsdaten
  • Posthog (EU Cloud)
    • Zweck: Anonymisierte Nutzerverhaltensanalyse
    • Verarbeitete Daten: Anonymisierte Nutzungsdaten
  • Hubspot
    • Zweck: Formulare, Tracking, Terminbuchungen
    • Verarbeitete Daten: Formular-Eingaben, Nutzungsdaten, Terminvereinbarungsdaten
  • Zapier
    • Zweck: Übertragung von Daten zwischen den oben genannten Systemen
    • Verarbeitete Daten: Formulardaten

(4) Der Auftragnehmer verpflichtet sich, mit Unterauftragsverarbeitern Vereinbarungen zu treffen, die den Anforderungen des Art. 28 DSGVO entsprechen.

§ 6 Rechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, jederzeit Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.

(2) Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzbestimmungen und der vertraglichen Vereinbarungen durch den Auftragnehmer zu kontrollieren oder durch Dritte kontrollieren zu lassen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über alle Verletzungen des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 8 Beendigung des Auftrags

(1) Nach Abschluss der Verarbeitung oder nach Beendigung dieses Vertrags hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Der Auftragnehmer bestätigt dem Auftraggeber auf Anforderung schriftlich die Löschung bzw. Vernichtung der Daten.

§ 9 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Anhangs bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

(2) Sollten einzelne Bestimmungen dieses Anhangs unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

(3) Im Übrigen gelten die Bestimmungen des Hauptvertrags.

(4) Dieser Anhang ist integraler Bestandteil des Hauptvertrags zwischen den Parteien.

Diese Website verwendet Cookies, um ein verbessertes Nutzererlebnis zu bieten. Per Klick auf „Zustimmen“ erkläre ich mich mit der Verwendung von Cookies einverstanden. Datenschutzerklärung

Einstellungen

Alle ablehnen

Zustimmen