Auftragsverarbeitervertrag
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
zwischen
dem Kunden (Betreiber oder betreuende Agentur eines Shops/einer Website auf der Smarda-Plattform, wie im Hauptvertrag bezeichnet) — nachfolgend „Verantwortlicher" oder „Kunde"; zur Rollenverteilung bei Agentur-Konstellationen siehe § 3 Abs. 4 bis 6 —
und
Smarda GmbH, Businesspark 6, Top 49, 8200 Gleisdorf, Österreich, eingetragen im Firmenbuch des Landesgerichts für Zivil- und Handelssachen Graz unter FN 513822x — nachfolgend „Auftragsverarbeiter" —
— gemeinsam die „Parteien" —
Präambel
Der Auftragsverarbeiter stellt dem Verantwortlichen ein cloudbasiertes Shop- und Website-System als Software-as-a-Service zur Verfügung („Hauptvertrag"). Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Sie orientiert sich an den Standardvertragsklauseln der Europäischen Kommission gemäß Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021.
§ 1 Gegenstand, Dauer und Spezifizierung der Verarbeitung
- Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen des Betriebs, der Wartung und der Weiterentwicklung der vom Verantwortlichen genutzten Shop-/Website-Instanz einschließlich zugehöriger Dienste (Hosting, Datenbankbetrieb, E-Mail-Versand, Support, Backups, optionale Zusatzfunktionen).
- Gegenstand und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 beschrieben. Anlage 1 ist Bestandteil dieser Vereinbarung.
- Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Sie endet nicht vor der vollständigen Löschung bzw. Rückgabe sämtlicher personenbezogener Daten gemäß § 10.
- Die Verarbeitung findet ausschließlich in Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Eine Verarbeitung in Drittländern erfolgt nur unter den Voraussetzungen des § 8.
§ 2 Weisungsrecht des Verantwortlichen
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
- Der Hauptvertrag, diese Vereinbarung sowie die Nutzung der von der Plattform bereitgestellten Funktionen und Konfigurationsmöglichkeiten durch den Verantwortlichen (einschließlich Einstellungen im Backend, API-Aufrufe und Aktivierung optionaler Dienste) gelten als dokumentierte Weisungen. Weitergehende Einzelweisungen bedürfen der Textform (z. B. E-Mail oder Support-/Ticketsystem).
- Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
- Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
- Weisungsberechtigte Personen des Verantwortlichen sind dessen im Backend hinterlegte Administratoren sowie die im Hauptvertrag benannten Ansprechpartner.
§ 3 Verantwortlichkeit, Rollen und Rechtmäßigkeit der Verarbeitung
- Der Verantwortliche ist im Verhältnis der Parteien grundsätzlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er ist insbesondere verantwortlich für die Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO), die Wahrung der Betroffenenrechte sowie die Erfüllung der Informationspflichten (Art. 12 ff. DSGVO) gegenüber den betroffenen Personen seines Shops/seiner Website.
- Übermittelt der Verantwortliche über Schnittstellen der Plattform personenbezogene Daten an von ihm selbst beauftragte Dritte (z. B. Zahlungsdienstleister, Versanddienstleister, Warenwirtschafts-/ERP-Systeme, Marktplätze oder sonstige über App-/API-Integrationen angebundene Systeme), handelt der Auftragsverarbeiter insoweit lediglich als Übermittler auf Weisung. Verantwortlich für die Auswahl dieser Dritten und die Rechtsgrundlage der Übermittlung ist der Verantwortliche; erforderliche Verträge mit diesen Dritten schließt der Verantwortliche selbst.
- Zahlungsdienstleister (z. B. PayPal, Mollie) verarbeiten Zahlungsdaten regelmäßig als eigenständige Verantwortliche und sind keine Unterauftragsverarbeiter des Auftragsverarbeiters.
- Kunde als Auftragsverarbeiter (Agentur-/Reseller-Konstellation): Verarbeitet der Kunde personenbezogene Daten in Bezug auf einzelne Shops/Websites nicht für eigene Zwecke, sondern als Auftragsverarbeiter eines Dritten (z. B. als Agentur für deren Auftraggeber als Betreiber des Shops/der Website), gilt diese Vereinbarung für die betreffenden Daten mit folgender Maßgabe: Der Auftragsverarbeiter (Smarda) handelt insoweit als Unterauftragsverarbeiter; die in dieser Vereinbarung dem „Verantwortlichen" zugewiesenen Rechte und Pflichten stehen dem Kunden in seiner Rolle als Auftragsverarbeiter des jeweiligen Verantwortlichen zu bzw. obliegen ihm.
- Für diesen Fall gilt ergänzend: (a) Weisungen des Kunden gelten als die durchgereichten, dokumentierten Weisungen des jeweiligen Verantwortlichen; alleiniger Ansprechpartner des Auftragsverarbeiters bleibt der Kunde. (b) Der Kunde sichert zu, dass sein Vertrag mit dem jeweiligen Verantwortlichen den Anforderungen des Art. 28 Abs. 3 DSGVO genügt und die Beauftragung des Auftragsverarbeiters als Unterauftragsverarbeiter — einschließlich der in der in Anlage 3 referenzierten Liste genannten weiteren Unterauftragsverarbeiter — gestattet (Art. 28 Abs. 2 und 4 DSGVO). (c) Meldungen und Unterstützungsleistungen nach § 7 erbringt der Auftragsverarbeiter gegenüber dem Kunden; die Weiterleitung an den jeweiligen Verantwortlichen sowie die Kommunikation mit diesem obliegen dem Kunden. (d) Der Nachweis- und Kontrollanspruch nach § 9 umfasst auch Informationen, die der Kunde zur Erfüllung seiner Nachweispflichten gegenüber dem jeweiligen Verantwortlichen benötigt.
- Handelt der Kunde teils als Verantwortlicher (z. B. für eigene Shops, Test- und Demo-Umgebungen und eigene Kundendaten) und teils als Auftragsverarbeiter, gelten die Absätze 1 bis 5 je Shop/Website in der jeweils einschlägigen Rolle nebeneinander. Einer gesonderten Vereinbarung bedarf es nicht.
§ 4 Vertraulichkeit
- Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die Vertraulichkeitspflicht besteht auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses fort.
- Der Zugriff auf personenbezogene Daten des Verantwortlichen ist auf diejenigen Beschäftigten beschränkt, die ihn zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 beschrieben.
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter darf sie weiterentwickeln und durch gleichwertige oder bessere Maßnahmen ersetzen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert; die jeweils aktuelle Fassung der Anlage 2 stellt der Auftragsverarbeiter dem Verantwortlichen auf Anforderung, spätestens auf jährlicher Basis, zur Verfügung.
§ 6 Unterauftragsverarbeiter
- Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung (Art. 28 Abs. 2 Satz 1 DSGVO) zur Hinzuziehung von Unterauftragsverarbeitern. Die eingesetzten Unterauftragsverarbeiter ergeben sich aus der in Anlage 3 referenzierten Liste unter https://smarda.com/subverarbeiter; die bei Vertragsschluss veröffentlichte Fassung dieser Liste gilt hiermit als genehmigt.
- Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters mindestens sechs Wochen im Voraus in Textform (z. B. per E-Mail an die hinterlegte Kontaktadresse und/oder durch Hinweis im Backend nebst aktualisierter Liste).
- Der Verantwortliche kann der beabsichtigten Änderung innerhalb von vier Wochen nach Zugang der Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn konkrete Anhaltspunkte dafür bestehen, dass der neue Unterauftragsverarbeiter die Anforderungen dieser Vereinbarung oder der DSGVO nicht erfüllt. Im Fall eines berechtigten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung (z. B. Verzicht auf den Einsatz für die Daten des Verantwortlichen, soweit technisch möglich). Ist eine solche Lösung nicht möglich oder zumutbar, ist der Verantwortliche berechtigt, den Hauptvertrag und diese Vereinbarung mit Wirkung zum Zeitpunkt der geplanten Änderung außerordentlich zu kündigen. Widerspricht der Verantwortliche nicht fristgerecht, gilt die Änderung als genehmigt.
- Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in dieser Vereinbarung festgelegt sind (Art. 28 Abs. 4 DSGVO), insbesondere hinreichende Garantien für geeignete technische und organisatorische Maßnahmen. Der Auftragsverarbeiter überprüft die Einhaltung dieser Pflichten regelmäßig.
- Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters wie für eigenes Verschulden.
- Nicht als Unterauftragsverarbeitung gelten Leistungen Dritter, die der Auftragsverarbeiter als reine Nebenleistungen ohne inhaltlichen Datenzugriff in Anspruch nimmt (z. B. Telekommunikationsleistungen, Post-/Kurierdienste, Reinigung, Bewachung), sowie die in § 3 Abs. 2 und 3 beschriebenen, vom Verantwortlichen selbst beauftragten Dienste. Auch insoweit stellt der Auftragsverarbeiter angemessene Vertraulichkeitsvereinbarungen und Schutzmaßnahmen sicher.
§ 7 Unterstützungspflichten des Auftragsverarbeiters
- Betroffenenrechte: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (Art. 12–22 DSGVO), insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Soweit möglich, stellt die Plattform hierfür Selbstbedienungsfunktionen bereit (u. a. Export-, Berichtigungs- und Löschfunktionen im Backend). Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht selbst, es sei denn, er ist hierzu gesetzlich verpflichtet.
- Sicherheit und Meldepflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
- Verletzungen des Schutzes personenbezogener Daten: Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung enthält, soweit bereits verfügbar, mindestens die Angaben nach Art. 33 Abs. 3 DSGVO (Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen, ergriffene und vorgeschlagene Abhilfemaßnahmen, Kontaktstelle). Nicht sofort verfügbare Informationen werden unverzüglich nachgereicht. Die Meldung an die Aufsichtsbehörde und die Benachrichtigung betroffener Personen obliegen dem Verantwortlichen; der Auftragsverarbeiter nimmt sie nicht ohne dessen Weisung vor.
- Ansprechstelle des Auftragsverarbeiters für Datenschutzfragen ist: legal@smarda.com. Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen einer Benennungspflicht (Art. 37 DSGVO) nicht vorliegen.
- Für Unterstützungsleistungen nach diesem § 7, die über die bereitgestellten Selbstbedienungsfunktionen hinausgehen und nicht durch eine Pflichtverletzung des Auftragsverarbeiters veranlasst sind, kann der Auftragsverarbeiter eine angemessene Vergütung auf Basis der jeweils gültigen Preisliste verlangen. Die Unterstützung darf nicht von der vorherigen Zahlung abhängig gemacht werden.
§ 8 Verarbeitung in Drittländern
- Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb EU/EWR) durch den Auftragsverarbeiter oder seine Unterauftragsverarbeiter erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 nebst erforderlicher zusätzlicher Maßnahmen).
- Soweit sich ein Transfer auf den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework stützt, stellt der Auftragsverarbeiter sicher, dass zusätzlich EU-Standardvertragsklauseln als Auffanggrundlage vereinbart sind, die im Fall der Aufhebung oder Ungültigerklärung des Angemessenheitsbeschlusses ohne weiteres Zutun greifen.
- Die bestehenden Drittlandbezüge sind je Unterauftragsverarbeiter in der in Anlage 3 referenzierten Liste ausgewiesen (Sitz, Verarbeitungsort, Transfermechanismus).
§ 9 Nachweis- und Kontrollrechte des Verantwortlichen
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
- Der Nachweis kann insbesondere erfolgen durch: aktuelle Testate oder Berichte unabhängiger Prüfer, geeignete Zertifizierungen (z. B. ISO/IEC 27001, C5, SOC 2) des Auftragsverarbeiters oder seiner Unterauftragsverarbeiter, Selbstauskünfte sowie die Dokumentation der technischen und organisatorischen Maßnahmen. Diese Nachweise stellt der Auftragsverarbeiter unentgeltlich zur Verfügung.
- Der Verantwortliche ist darüber hinaus berechtigt, Überprüfungen — einschließlich Inspektionen vor Ort in den Geschäftsräumen des Auftragsverarbeiters — selbst oder durch einen zur Verschwiegenheit verpflichteten, nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehenden Prüfer durchzuführen. Vor-Ort-Kontrollen erfolgen zu den üblichen Geschäftszeiten, nach angemessener Vorankündigung (in der Regel mindestens 14 Kalendertage, außer bei konkreten Anhaltspunkten für Verstöße oder nach einer Datenschutzverletzung), ohne vermeidbare Störung des Geschäftsbetriebs und unter Wahrung der Vertraulichkeit von Geschäftsgeheimnissen sowie der Daten anderer Kunden der mandantenfähigen Plattform.
- Ein Zutritt zu Rechenzentren von Unterauftragsverarbeitern (Cloud-Infrastruktur) ist aufgrund deren Sicherheitskonzepten regelmäßig ausgeschlossen; insoweit erfolgt der Nachweis durch die Prüfberichte und Zertifizierungen der Unterauftragsverarbeiter, die der Auftragsverarbeiter dem Verantwortlichen zugänglich macht.
- Die Ausübung der Kontrollrechte ist unentgeltlich. Für anlasslose Vor-Ort-Kontrollen, die über eine Kontrolle pro Kalenderjahr hinausgehen, kann der Auftragsverarbeiter Ersatz des ihm entstehenden angemessenen Personalaufwands verlangen; die Durchführung der Kontrolle darf hiervon nicht abhängig gemacht werden.
- Kontrollen durch die zuständige Aufsichtsbehörde des Verantwortlichen duldet der Auftragsverarbeiter im gleichen Umfang und wirkt an ihnen mit.
§ 10 Löschung und Rückgabe nach Abschluss der Verarbeitung
- Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie in einem strukturierten, gängigen, maschinenlesbaren Format zurück (Datenexport) und löscht anschließend die bestehenden Kopien — es sei denn, es besteht eine Verpflichtung zur Speicherung nach dem Recht der Union oder der Mitgliedstaaten.
- Übt der Verantwortliche sein Wahlrecht nicht binnen 30 Kalendertagen nach Vertragsende aus, ist der Auftragsverarbeiter zur Löschung berechtigt und verpflichtet. Zuvor weist er den Verantwortlichen in Textform auf die bevorstehende Löschung und die Exportmöglichkeit hin.
- Die Löschung produktiver Datenbestände erfolgt spätestens 30 Kalendertage nach Vertragsende bzw. nach erfolgter Rückgabe. Daten in Sicherungskopien (Backups) werden im Rahmen des rollierenden Backup-Zyklus (Aufbewahrungsdauer: sieben Tage) automatisch überschrieben und sind damit spätestens sieben Kalendertage nach Löschung der Produktivdaten gelöscht; bis dahin sind sie gegen anderweitige Verwendung geschützt und werden nicht in Produktivsysteme zurückgespielt, außer soweit dies zur Wiederherstellung nach einem Sicherheitsvorfall gesetzlich oder vertraglich geboten ist.
- Der Auftragsverarbeiter bestätigt dem Verantwortlichen die vollständige Löschung unaufgefordert in Textform und stellt sicher, dass auch seine Unterauftragsverarbeiter entsprechend löschen und dies bestätigen.
- Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, darf der Auftragsverarbeiter entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren.
§ 11 Haftung
- Für die Haftung der Parteien im Verhältnis zu betroffenen Personen gilt Art. 82 DSGVO. Diese gesetzliche Haftung gegenüber betroffenen Personen wird durch diese Vereinbarung nicht beschränkt.
- Im Innenverhältnis der Parteien gilt: Wird eine Partei von einer betroffenen Person oder einer Aufsichtsbehörde in Anspruch genommen, stellt die jeweils andere Partei sie insoweit frei, wie sie den Umstand, der den Anspruch begründet, zu vertreten hat (entsprechend Art. 82 Abs. 5 DSGVO). Im Übrigen gelten die Haftungsregelungen des Hauptvertrags; für Schäden aus der Verletzung von Leben, Körper oder Gesundheit sowie bei Vorsatz und grober Fahrlässigkeit gelten die gesetzlichen Regelungen ohne Beschränkung.
§ 12 Schlussbestimmungen
- Diese Vereinbarung wird in elektronischem Format geschlossen (Art. 28 Abs. 9 DSGVO); die Annahme im Rahmen des Bestell-/Registrierungsprozesses oder im Backend genügt.
- Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag oder sonstigen Vereinbarungen gehen die Regelungen dieser Vereinbarung hinsichtlich der Verarbeitung personenbezogener Daten vor. Zwingende gesetzliche Regelungen bleiben unberührt.
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Der Auftragsverarbeiter darf diese Vereinbarung mit Wirkung für die Zukunft anpassen, soweit dies aufgrund geänderter Rechtslage, Rechtsprechung oder behördlicher Vorgaben erforderlich ist und das Datenschutzniveau für den Verantwortlichen nicht abgesenkt wird; § 6 Abs. 2 und 3 gelten entsprechend.
- Es gilt das Recht der Republik Österreich unter Ausschluss seiner Kollisionsnormen. Zwingende Bestimmungen der DSGVO sowie zwingendes Datenschutzrecht am Sitz des Verantwortlichen bleiben unberührt. Gerichtsstand ist — soweit zulässig — der Sitz des Auftragsverarbeiters.
- Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.
Anlage 1 — Gegenstand der Verarbeitung, Datenkategorien, betroffene Personen
1. Gegenstand und Zweck der Verarbeitung
Bereitstellung und Betrieb eines mandantenfähigen Cloud-Shop- und Website-Systems (SaaS) einschließlich:
- Hosting der Shop-/Website-Instanz, Datenbanken und Mediendateien
- Abwicklung von Bestell-, Kunden- und Kontoverwaltungsprozessen des Verantwortlichen
- Versand transaktionaler E-Mails (z. B. Bestell- und Versandbestätigungen, Registrierung, Passwort-Zurücksetzung) im Namen des Verantwortlichen
- Backend-Oberfläche zur Verwaltung des Shops einschließlich Benutzer- und Rechteverwaltung
- Technischer Support, Fehleranalyse und Wartung
- Datensicherung (Backups) und Wiederherstellung
- Bereitstellung von Schnittstellen (API) und optionalen Zusatzfunktionen (z. B. maschinelle Übersetzung von Inhalten, KI-gestützte Assistenzfunktionen, Statistik-/Tracking-Funktionen), soweit vom Verantwortlichen aktiviert
- SSL-/TLS-Zertifikatsverwaltung für Domains des Verantwortlichen
2. Art der Verarbeitung
Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegung durch Übermittlung (auf Weisung), Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten — jeweils mittels automatisierter Verfahren.
3. Kategorien betroffener Personen
- Kunden und Interessenten des Verantwortlichen (Endkunden des Shops, Besucher der Website)
- Newsletter-Abonnenten des Verantwortlichen
- Beschäftigte und sonstige Backend-Nutzer des Verantwortlichen
- Geschäftspartner/Lieferanten des Verantwortlichen, soweit deren Daten in der Plattform verarbeitet werden (z. B. bei Nutzung von Warenwirtschaftsfunktionen)
4. Kategorien personenbezogener Daten
- Stammdaten: Name, Anschrift, Firmenzugehörigkeit, Kundennummer
- Kontaktdaten: E-Mail-Adresse, Telefonnummer
- Vertrags- und Bestelldaten: bestellte Produkte, Bestellhistorie, Rechnungs- und Lieferadressen, Zahlungsart und Zahlungsstatus (keine vollständigen Zahlungskarten-/Kontodaten — diese verarbeitet der jeweilige Zahlungsdienstleister), Gutscheine, Retouren
- Kontodaten: Benutzername, Passwort (nur als kryptographischer Hash), Rollen/Berechtigungen
- Kommunikationsdaten: Inhalte transaktionaler E-Mails, Support-Anfragen, Bewertungen/Kommentare (soweit Funktion genutzt)
- Nutzungs- und Verbindungsdaten: IP-Adressen, Zeitstempel, Geräte-/Browserinformationen, Protokolldaten (Logs), Cookie-/Consent-Status, Statistikdaten (soweit Funktion aktiviert)
- Inhaltsdaten: vom Verantwortlichen in die Plattform eingestellte Inhalte, soweit sie personenbezogene Daten enthalten (z. B. Produkttexte mit Personenbezug, Kundenlisten-Importe)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der vertragsgemäßen Verarbeitung. Der Verantwortliche stellt sicher, dass solche Daten nicht ohne gesonderte Vereinbarung in die Plattform eingebracht werden (relevant z. B. bei Shops für Apotheken-/Gesundheitsprodukte).
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
[VOR VERÖFFENTLICHUNG: Restore-Tests-Platzhalter bestätigen.]
1. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Transportverschlüsselung sämtlicher Verbindungen (TLS, automatisierte Zertifikatsverwaltung; HTTPS für alle Shop-Domains)
- Verschlüsselung gespeicherter Daten (Encryption at Rest) auf Infrastrukturebene beim Cloud-Anbieter
- Speicherung von Passwörtern ausschließlich als salted Hash nach Stand der Technik
- Zugangsdaten zu Drittsystemen (API-Tokens) werden verschlüsselt bzw. als Hash gespeichert
2. Vertraulichkeit / Zugangs- und Zugriffskontrolle (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Betrieb in zertifizierten Rechenzentren des Cloud-Anbieters (u. a. ISO 27001, SOC 1/2/3); kein physischer Zugriff des Auftragsverarbeiters auf Server erforderlich
- Zugangskontrolle: personenbezogene Administratorkonten, starke Authentisierung, Zwei-Faktor-Authentisierung für administrative Zugänge, rollenbasierte Zugriffsrechte, Sperrung bei Ausscheiden
- Zugriffskontrolle: differenziertes Rollen- und Berechtigungssystem in der Plattform (Benutzer-, Rechte- und Mandantenverwaltung); Need-to-know-Prinzip für Support-Zugriffe; Protokollierung administrativer Zugriffe
- Mandantentrennung: logische Trennung der Daten je Shop (Tenant-ID) auf Datenbank- und Anwendungsebene; sämtliche Datenzugriffe sind mandantengebunden; automatisierte Tests zur Absicherung der Mandantentrennung
- Trennungskontrolle: getrennte Umgebungen für Entwicklung, Staging und Produktion
3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: verschlüsselte Übertragung; Schnittstellenzugriffe nur mit personen- bzw. anwendungsgebundenen Tokens (OAuth 2.0, tokenbasierte Authentifizierung); Protokollierung
- Eingabekontrolle: Protokollierung wesentlicher Änderungen; Nachvollziehbarkeit durch Zeitstempel und Benutzerzuordnung
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Redundante Cloud-Infrastruktur; Skalierung nach Last
- Regelmäßige automatisierte Datensicherungen; rollierende Aufbewahrung über sieben Tage
- Wiederherstellungskonzept; [regelmäßige Restore-Tests — bestätigen]
- Schutz vor Schadsoftware und Angriffen auf Infrastrukturebene (Cloud-Anbieter: DDoS-Schutz, Firewalling)
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutzfreundliche Voreinstellungen der Plattformfunktionen (Art. 25 DSGVO), u. a. integriertes Consent-Management für Shop-Betreiber
- Änderungs- und Freigabeprozesse für Softwareänderungen (Code-Review, automatisierte Tests, gestufte Deployments über Staging)
- Regelmäßige Überprüfung und Aktualisierung der eingesetzten Softwarekomponenten (Patch-/Dependency-Management)
- Incident-Response-Prozess zur Erkennung, Meldung und Behebung von Sicherheitsvorfällen
- Schriftliche Verpflichtung aller Beschäftigten auf Vertraulichkeit bei Aufnahme der Tätigkeit sowie regelmäßige Datenschutzschulungen
- Auswahl und regelmäßige Überprüfung der Unterauftragsverarbeiter anhand von Zertifizierungen und Prüfberichten
Anlage 3 — Unterauftragsverarbeiter
- Die eingesetzten Unterauftragsverarbeiter — mit Angaben zu Anbieter, Sitz, Leistung, Ort der Verarbeitung und Drittlandtransfer-Garantien — ergeben sich aus der Liste unter https://smarda.com/subverarbeiter. Die bei Vertragsschluss veröffentlichte Fassung dieser Liste gilt als genehmigt (§ 6 Abs. 1); Änderungen der Liste erfolgen ausschließlich nach dem Verfahren des § 6 (Ankündigung, Widerspruchsrecht) und bedürfen keiner Änderung dieser Vereinbarung. Die Liste weist den jeweiligen Stand (Datum) sowie ein Änderungsprotokoll aus.
- Zahlungsdienstleister (z. B. Stripe, PayPal, Mollie, Klarna) verarbeiten Zahlungsdaten als eigenständige Verantwortliche und sind keine Unterauftragsverarbeiter (§ 3 Abs. 3 dieser Vereinbarung).
- Vom Verantwortlichen selbst angebundene Dienste — insbesondere Versanddienstleister (z. B. DHL, DPD, Sendcloud), Newsletter-Dienste (z. B. Brevo, Mailchimp, CleverReach), eigener SMTP-Server, Warenwirtschafts-/ERP-Systeme, Marktplätze und sonstige App-/API-Integrationen (z. B. weclapp, Xentral, Amazon, Printful, Billbee, Zapier) sowie vom Verantwortlichen konfigurierte Tracking-/Marketingdienste (z. B. Google Tag Manager, Google Ads, Meta) — werden vom Verantwortlichen in eigener Verantwortung beauftragt; der Auftragsverarbeiter übermittelt insoweit nur auf Weisung (§ 3 Abs. 2).