Auftragsverarbeitungsvertrag (AVV)
Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und Shayan Helmi, Carconnects (nachfolgend „Auftragsverarbeiter") geschlossen und ist Bestandteil des Nutzungsvertrags für die Software Carconnects.
Präambel
Der Auftragsverarbeiter verarbeitet im Rahmen der vertraglich vereinbarten Dienstleistungen personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO. Dieser AVV regelt die Rechte und Pflichten beider Parteien im Bereich des Datenschutzes.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand der Datenverarbeitung ist die Bereitstellung der Carconnects Händlerportal-Software als SaaS-Lösung einschließlich aller damit verbundenen Datenspeicherungs-, Verarbeitungs- und Übermittlungsvorgänge personenbezogener Daten.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag).
§ 2 Art der Daten und Kategorien von Betroffenen
Kategorien personenbezogener Daten
- Kontaktdaten (Name, Adresse, E-Mail-Adresse, Telefonnummer)
- Kundendaten (Kommunikationsverlauf, Fahrzeuginteressen)
- Fahrzeugdaten (Fahrgestellnummer, Kennzeichen, technische Daten)
- Transaktionsdaten (Verträge, Angebote, Exposés)
- Nutzerdaten des Autohauses (Benutzername, E-Mail-Adresse, Rolle)
Kategorien von Betroffenen
- Kunden und Interessenten des Autohauses
- Mitarbeiter und Nutzer des Autohauses
- Lieferanten und Geschäftspartner
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — im Rahmen des Nutzungsvertrags — und nicht für eigene Zwecke.
Alle in die Verarbeitung eingebundenen Personen unterliegen einer Vertraulichkeitsverpflichtung oder einer gesetzlichen Verschwiegenheitspflicht.
Der Auftragsverarbeiter setzt alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen um (siehe § 4 dieses AVV).
Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO.
§ 4 Technische und Organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen implementiert:
- Verschlüsselung: Transportverschlüsselung (TLS 1.2/1.3) und Verschlüsselung der Daten in der Datenbank
- Zugangskontrolle: Sicheres Passwort-Hashing, rollenbasiertes Berechtigungsmanagement, Prinzip der minimalen Rechtevergabe
- Pseudonymisierung: Verschlüsselung sensibler Felder mittels AES-256-CBC
- Datensicherung: Regelmäßige automatisierte Datensicherungen mit Wiederherstellungsfähigkeit
- Serverstandorte: Ausschließlich innerhalb der EU (Deutschland)
- Mandantentrennung: Strikte logische Trennung der Daten aller Kunden mittels Tenant-ID-basierter Zugriffssteuerung
- Monitoring: Kontinuierliches Fehler- und Sicherheitsmonitoring
§ 5 Unterauftragsverarbeiter
Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz der nachfolgend aufgelisteten Unterauftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen über geplante Änderungen mit angemessener Vorankündigung informieren.
Der Verantwortliche kann geplanten Änderungen innerhalb von 14 Tagen nach Benachrichtigung aus datenschutzrechtlichen Gründen widersprechen.
Aktuelle Unterauftragsverarbeiter
- Supabase Inc. — Datenbankhosting und Authentifizierung (AWS eu-central-1, Frankfurt, Deutschland) — Standardvertragsklauseln gem. Art. 46 DSGVO
- Hetzner Online GmbH — Serverhosting (Falkenstein, Deutschland) — EU-Rechenzentrum
- Stripe Payments Europe Ltd. — Zahlungsabwicklung (Dublin, Irland) — EU-Rechenzentrum
- Google LLC — KI-Bildverarbeitung über Gemini API (USA) — Standardvertragsklauseln gem. Art. 46 DSGVO
- Microsoft Corporation — E-Mail-Versand über Microsoft Graph API / Outlook (USA) — Standardvertragsklauseln gem. Art. 46 DSGVO
§ 6 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich und zumutbar bei der Erfüllung von Betroffenenrechten gemäß Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).
Datenexport- und Löschfunktionen stehen dem Verantwortlichen direkt in der Software zur Verfügung.
§ 7 Löschung und Rückgabe
Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Verantwortlichen für 30 Tage aufbewahrt, um einen abschließenden Datenexport zu ermöglichen. Anschließend werden die Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der Verantwortliche kann jederzeit einen vollständigen Datenexport in maschinenlesbarem Format anfordern.
§ 8 Kontrollrechte des Verantwortlichen
Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und der vereinbarten Maßnahmen durch den Auftragsverarbeiter in angemessenem Umfang zu überprüfen oder durch Dritte überprüfen zu lassen.
Kontrollen sind unter Wahrung der betrieblichen Abläufe des Auftragsverarbeiters mit mindestens 14 Tagen Vorankündigung durchzuführen und auf das notwendige Maß zu beschränken.
§ 9 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.
Der Verantwortliche ist selbst für die Meldung an die zuständige Aufsichtsbehörde verantwortlich (gemäß Art. 33 DSGVO: soweit möglich innerhalb von 72 Stunden nach Bekanntwerden).
§ 10 Drittlandübermittlungen
Einige Unterauftragsverarbeiter (insbesondere Supabase Inc., Google LLC und Microsoft Corporation) haben ihren Sitz in den USA oder verarbeiten Daten auf Servern außerhalb der EU. Für diese Übermittlungen kommen die Standardvertragsklauseln (SCC) der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO zur Anwendung.
§ 11 Ansprechpartner
Für datenschutzrechtliche Anfragen im Rahmen dieses AVV ist der Anbieter wie folgt erreichbar:
Shayan Helmi
Carconnects
E-Mail: datenschutz@carconnects.de
Ein gesetzlich bestellter Datenschutzbeauftragter ist derzeit nicht erforderlich. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.
Stand: Mai 2026