RedisPay

Auftragsverarbeitungsvertrag

Template gemäß Art. 28 DSGVO (Inline-Vorschau & Download)

PDF herunterladen

Hinweis zur Nutzung dieses Templates

Ersetzen Sie vor der Unterzeichnung alle mit {{…}} markierten Platzhalter durch Ihre Kunden-Firmierung und Kontaktdaten. Die finale, unterzeichnete Fassung erhalten Sie als Bestandteil Ihres Vertragspakets.

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen

{{Kunden-Firmierung, Straße, PLZ Ort}} (nachfolgend „Verantwortlicher")
und
{{Firmierung: z. B. my-scale GmbH}}, {{Straße}}, {{PLZ}} {{Ort}} (nachfolgend „Auftragsverarbeiter"),

die sich aus dem zugrundeliegenden SaaS-Nutzungsvertrag über die Anwendung „RedisPay" (nachfolgend „Hauptvertrag") ergeben.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Durchführung des Hauptvertrags (Betrieb der Plattform RedisPay). Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung der SaaS-Anwendung zur Redispatch- und Abregelungs-Abrechnung einschließlich Datenimport, Berechnung, Archivierung, Nutzerverwaltung, Support und IT-Sicherheit.

§ 3 Art der personenbezogenen Daten

  • Stammdaten der Nutzer: Name, geschäftliche E-Mail-Adresse, Rolle, Mandantenzuordnung.
  • Authentifizierungsdaten: Passwort-Hashes, Session-Kennungen, ggf. MFA-Secrets.
  • Kontakt- und Rechnungsdaten der Kunden-Organisation.
  • Nutzungs- und Audit-Daten: IP-Adressen, Zeitstempel, durchgeführte Aktionen.
  • Fach-/Messdaten mit möglichem Personenbezug (z. B. Betreiberdaten zu Einzelanlagen).

§ 4 Kategorien betroffener Personen

  • Mitarbeitende und Ansprechpartner des Verantwortlichen.
  • Vertragspartner, Kunden und Lieferanten des Verantwortlichen.
  • Anlagenbetreiber, soweit ihre Daten im System erfasst werden.

§ 5 Pflichten des Auftragsverarbeiters

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  2. Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
  3. Ergreifung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).
  4. Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte (Art. 12 – 22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).
  5. Unverzügliche Meldung von Datenschutzverletzungen an den Verantwortlichen, spätestens innerhalb von 24 Stunden nach Kenntnis.
  6. Löschung oder Rückgabe aller personenbezogenen Daten nach Ende der Leistungserbringung, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung mit einer Vorankündigungsfrist von 30 Tagen informieren und einen Widerspruch ermöglichen.

  • Vercel Inc., San Francisco (USA) — Hosting der Webanwendung; Server in der EU.
  • Neon Inc., San Francisco (USA) — verwaltetes PostgreSQL; Datenspeicherung in der EU-Region.
  • Cloudflare Inc., San Francisco (USA) — DDoS-Schutz und Turnstile Bot-Management.
  • {{SMTP-Provider, z. B. Postmark / Amazon SES}} — Versand transaktionaler E-Mails.

§ 7 Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich für die Rechtmäßigkeit der Verarbeitung sowie die Wahrung der Rechte der betroffenen Personen. Der Verantwortliche ist berechtigt, Weisungen an den Auftragsverarbeiter zu erteilen.

§ 8 Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der gesetzlichen Vorschriften und dieses AVV durch den Auftragsverarbeiter zu kontrollieren, entweder selbst oder durch einen beauftragten Dritten. Kontrollen erfolgen nach angemessener Vorankündigung zu üblichen Geschäftszeiten. Der Auftragsverarbeiter kann den Nachweis der TOM durch aktuelle Zertifizierungen oder Prüfberichte (z. B. ISO 27001, SOC 2 Typ II) erbringen.

§ 9 Drittlandübermittlung

Soweit Daten in Drittländer übermittelt werden, erfolgt dies nur auf Grundlage geeigneter Garantien i. S. d. Art. 46 DSGVO (insb. EU-Standardvertragsklauseln in der jeweils aktuellen Fassung).

§ 10 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haften die Parteien jeweils im Rahmen ihrer datenschutzrechtlichen Verantwortung.

§ 11 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (Textform genügt). Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter stellt die folgenden TOM sicher (Auszug — vollständige Liste auf Anfrage oder im Informationssicherheits-Dokument):

  • Zutrittskontrolle: Rechenzentren der Unterauftragsverarbeiter mit ISO-27001-Zertifizierung, Mehrfaktor-Zutritt.
  • Zugangskontrolle: Individuelle Benutzerkonten, MFA für administrative Zugriffe, Passwort-Richtlinien gemäß BSI-Empfehlung.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungsmodell (RBAC), Mandantentrennung auf Anwendungs- und Datenbankebene.
  • Weitergabekontrolle: TLS 1.2+ für alle Datenübertragungen, verschlüsselte Backups.
  • Eingabekontrolle: Revisionssichere Audit-Logs mit Hash-Chain (LedgerEvent).
  • Auftragskontrolle: Schriftliche AVV-Vereinbarungen mit allen Unterauftragsverarbeitern.
  • Verfügbarkeitskontrolle: Tägliche Backups, redundante Infrastruktur, dokumentiertes Wiederherstellungs-Verfahren.
  • Trennungsgebot: Logische und zum Teil physische Trennung von Produktion, Staging und Entwicklung.

Unterschriften

Verantwortlicher

{{Kunden-Firmierung}}
Ort, Datum: ______________________
Unterschrift: ____________________

Auftragsverarbeiter

{{Firmierung: z. B. my-scale GmbH}}
Ort, Datum: ______________________
Unterschrift: ____________________

Stand: {{TT.MM.JJJJ}}