Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Zwischen

dem jeweiligen Shopify-Händler, der die App "InvoPass" installiert hat (nachfolgend „Verantwortlicher“)

und

Stephen Schwindt, Uferstraße 10, 32657 Lemgo (nachfolgend „Auftragsverarbeiter“).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Der Auftragsverarbeiter übernimmt für den Verantwortlichen die automatisierte Erstellung von elektronischen Rechnungen (inkl. ZUGFeRD und XRechnung) auf Basis der übermittelten Bestelldaten aus dem Shopify-Shop des Verantwortlichen.

(2) Dauer: Der Vertrag beginnt mit der Installation der App "InvoPass" im Shopify-Store des Verantwortlichen und endet automatisch mit der vollständigen Deinstallation der App.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Speichern, Auslesen, Verwenden und Löschen von Daten mittels automatisierter Verfahren (Software-Applikation).

(2) Zweck: Ausschließlicher Zweck ist die Generierung von buchhaltungs- und steuerkonformen Rechnungsdokumenten für die Endkunden des Verantwortlichen sowie die Bereitstellung dieser Dokumente zum Download.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Art der Daten: Verarbeitet werden Bestelldaten (Rechnungs- und Lieferadressen, E-Mail-Adressen, Namen der Käufer), Artikeldaten und Kaufbeträge.

(2) Betroffene Personen: Die Endkunden (Käufer) des Verantwortlichen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Verantwortlichen (welche durch die Nutzung der App erfolgen).

(2) Die Datenverarbeitung findet ausschließlich auf Servern innerhalb der Europäischen Union (bzw. in Deutschland) statt.

(3) Der Auftragsverarbeiter löscht alle verarbeiteten personenbezogenen Daten nach Abschluss der Leistungserbringung (z.B. nach endgültiger Deinstallation der App oder Ablauf gesetzlicher Aufbewahrungsfristen), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

• Verschlüsselte Datenübertragung (SSL/TLS).
• Physische und logische Zugangskontrollen zu den genutzten Servern.
• Regelmäßige Backups der Datenbank zur Sicherstellung der Verfügbarkeit.

§ 6 Unterauftragsverhältnisse

(1) Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter (Subunternehmer) zur Bereitstellung der Infrastruktur zu:

(2) Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern entsprechende Verträge gemäß Art. 28 Abs. 4 DSGVO geschlossen wurden. Wechselt der Auftragsverarbeiter den Hosting-Anbieter, wird der Verantwortliche rechtzeitig informiert.

§ 7 Rechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich vor Beginn der Datenverarbeitung und danach regelmäßig von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.