Rechtliches

Auftragsverarbeitungsvertrag.

Gemäß Art. 28 DSGVO · Stand: 06/2026 · Standard-AVV der Eywora GmbH.

1. Parteien

Auftragsverarbeiter: signundsinn GmbH, Jean-Paul-Richter-Str. 3, 81369 München (Anbieter der Eywora-Plattform).

Verantwortlicher: Der Kunde, mit dem ein Vertrag über die Nutzung der Eywora-Plattform besteht.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung sind die im Rahmen der Eywora-Plattform anfallenden Daten, insbesondere Produkt- und Katalogdaten sowie ggf. enthaltene personenbezogene Daten (z. B. in Produktbeschreibungen, Kundenrezensionen).

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages über die Nutzung der Eywora-Plattform.

3. Art der Daten und Kategorien betroffener Personen

Datenkategorien: Produktdaten, Kataloginformationen, Suchanfragen-Logs (anonymisiert), ggf. von Nutzern angegebene Daten in Produktbewertungen oder Suchanfragen.

Kategorien betroffener Personen: Endkunden des Verantwortlichen, soweit personenbezogene Daten in den Katalog- oder Logdaten enthalten sind.

Eywora erhebt keine darüber hinausgehenden Daten der Endkunden des Verantwortlichen.

4. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

5. Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Hierzu zählen insbesondere:

  • Zutrittskontrolle: Rechenzentrum in Deutschland mit dokumentierter Zutrittskontrolle, Video-Überwachung, mehrstufiger Authentifizierung.
  • Zugangskontrolle: Benutzerverwaltung mit individuellen Accounts, Passwort-Policy, 2-Faktor-Authentifizierung für Admin-Zugänge.
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Mindest-Prinzip (least privilege), Audit-Logs für privilegierte Aktionen.
  • Trennungskontrolle: Mandantentrennung auf Datenbankebene, keine Vermischung von Kundendaten.
  • Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Daten in Ruhe.
  • Verfügbarkeitskontrolle: Tägliche Backups, georedundante Spiegelung innerhalb Deutschlands, Disaster-Recovery-Plan.
  • Integritätskontrolle: Checksums für Datenintegrität, signierte Audit-Logs.
  • Auftragskontrolle: Schriftliche Weisungen, dokumentierte Verarbeitungstätigkeiten.

Eine ausführliche TOM-Dokumentation wird auf Anfrage zur Verfügung gestellt.

6. Einsatz von Unterauftragnehmern

Der Auftragsverarbeiter setzt für die Erbringung seiner Leistungen Unterauftragnehmer ein. Der Verantwortliche erteilt hierzu eine allgemeine schriftliche Genehmigung.

Aktuelle Liste der Unterauftragnehmer (in Deutschland bzw. EU):

  • Rechenzentrums-Betreiber für Hosting (Deutschland)
  • E-Mail-Versand-Dienstleister (EU, DSGVO-konform)
  • Monitoring-Dienst für Verfügbarkeitsüberwachung (EU)

Änderungen an dieser Liste werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Der Verantwortliche kann innerhalb von 14 Tagen Einwände erheben.

7. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen (Art. 12-22 DSGVO), insbesondere bei Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Anfragen werden in der Regel innerhalb von 5 Werktagen bearbeitet.

8. Meldung von Datenpannen

Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung enthält alle Informationen, die der Verantwortliche für eine eigene Meldung an die Aufsichtsbehörde benötigt.

9. Audits und Nachweise

Der Auftragsverarbeiter ermöglicht dem Verantwortlichen die Überprüfung der Einhaltung der vereinbarten Maßnahmen. Diese kann erfolgen durch:

  • Vorlage aktueller Zertifikate (z. B. ISO 27001)
  • Schriftliche Auskunft zu technisch-organisatorischen Maßnahmen
  • Vor-Ort-Audit nach vorheriger Anmeldung mit angemessener Frist

10. Beendigung und Datenrückgabe

Nach Beendigung des Hauptvertrages werden alle vom Auftragsverarbeiter gehaltenen Daten innerhalb von 30 Tagen vollständig gelöscht oder, auf Wunsch des Verantwortlichen, in einem strukturierten, maschinenlesbaren Format zurückgegeben.

Die Löschung wird auf Anfrage schriftlich bestätigt.

11. Haftung

Die Parteien haften nach den Vorgaben des Art. 82 DSGVO. Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrages.

12. Schlussbestimmungen

Dieser AVV ist Bestandteil des Hauptvertrages über die Nutzung der Eywora-Plattform. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Regelungen dieses AVV Vorrang in Datenschutzfragen.

Änderungen und Ergänzungen bedürfen der Schriftform. Es gilt das Recht der Bundesrepublik Deutschland.

Sie benötigen den AVV unterzeichnet? Wir stellen Ihnen den AVV als signierbares PDF auf Anfrage zur Verfügung. Schreiben Sie an kontakt@signundsinn.de.