Auftragsdatenverarbeitung

1. Gegenstand und Dauer der Auftragsdatenverarbeitung

k7a labs (nachfolgend "Auftragsverarbeiter") verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden (nachfolgend "Verantwortlicher") im Rahmen der Nutzung der Softwareprodukte. Die Dauer der Datenverarbeitung richtet sich nach der Dauer des Vertragsverhältnisses. Nach Beendigung des Vertragsverhältnisses werden die personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Datenverarbeitung

Die Art und der Zweck der Datenverarbeitung ergeben sich aus dem jeweiligen Vertrag und den Produktbeschreibungen. Im Wesentlichen umfasst die Datenverarbeitung die Bereitstellung, den Betrieb und die Wartung der Softwareprodukte sowie die damit verbundene technische Unterstützung.

3. Art der personenbezogenen Daten

Verarbeitet werden die personenbezogenen Daten, die für die Erbringung der vertraglich vereinbarten Leistungen erforderlich sind. Dies kann insbesondere umfassen:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Nutzungsdaten (Login-Daten, Zugriffszeiten, Nutzungsverhalten)
  • Technische Daten (IP-Adressen, Geräteinformationen, Browser-Daten)
  • Geschäftsdaten (soweit diese in der Software gespeichert werden)

4. Rechte der betroffenen Person

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15-22 DSGVO. Der Auftragsverarbeiter leitet Anfragen betroffener Personen unverzüglich an den Verantwortlichen weiter und unterstützt diesen bei der Beantwortung.

5. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten um, insbesondere:

  • Verschlüsselung von Daten in Übertragung und Speicherung
  • Zugriffskontrollen und Authentifizierungsverfahren
  • Regelmäßige Sicherheitsupdates und Patches
  • Backup- und Wiederherstellungsverfahren
  • Regelmäßige Sicherheitsaudits
  • Schulung des Personals im Datenschutz

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter kann Unterauftragsverarbeiter einsetzen, sofern dies dem Verantwortlichen mitgeteilt wird und dieser nicht innerhalb von 14 Tagen widerspricht. Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter die gleichen datenschutzrechtlichen Anforderungen erfüllen. Eine Liste der aktuellen Unterauftragsverarbeiter wird auf Anfrage zur Verfügung gestellt.

7. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen zur Verfügung und ermöglicht Prüfungen nach vorheriger Ankündigung.

8. Meldepflichten bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über festgestellte Verletzungen des Schutzes personenbezogener Daten. Die Information umfasst alle verfügbaren Angaben zur Art und zum Umfang der Verletzung sowie Vorschläge zur Schadensbegrenzung.

9. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Verantwortlichen können die Daten auch zurückgegeben werden. Die Löschung erfolgt nachweisbar und dokumentiert.

10. Standort der Datenverarbeitung

Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Sollten Daten außerhalb der EU verarbeitet werden, erfolgt dies nur im Rahmen angemessener Garantien gemäß Art. 44 ff. DSGVO.

11. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen. Änderungen der Art oder des Umfangs der Datenverarbeitung bedürfen der vorherigen Zustimmung des Verantwortlichen.

12. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, alle personenbezogenen Daten vertraulich zu behandeln und nur diejenigen Personen mit der Datenverarbeitung zu beauftragen, die zur Erfüllung der Aufgaben befugt und zur Vertraulichkeit verpflichtet sind.

Stand: 12. November 2025