Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO · Zuletzt aktualisiert: April 2025
Auftragsverarbeiter: ideployed UG (haftungsbeschränkt), Torgauer Straße 231-233, 04347 Leipzig — Verantwortlicher: der jeweilige Geschäftskunde (Auftraggeber).
§ 1 Gegenstand und Dauer der Verarbeitung
iDeployed verarbeitet personenbezogene Daten im Auftrag des Kunden zum Zweck des Hostings einer JTL-Shop-Instanz. Die Verarbeitung erfolgt ausschließlich nach dokumentierter Weisung des Kunden. Die Dauer der Verarbeitung entspricht der Laufzeit des Vertrages.
§ 2 Art und Zweck der Verarbeitung
Hosting, Speicherung und technischer Betrieb der JTL-Shop-Instanz des Kunden. iDeployed verarbeitet die Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und nicht zu eigenen Zwecken.
§ 3 Art der personenbezogenen Daten und betroffene Personen
Verarbeitete Datenkategorien:
- Kundendaten des Auftraggebers (Name, Adresse, E-Mail, Bestelldaten, Zahlungsdaten)
Betroffene Personen:
- Endkunden des Auftraggebers (Käufer im JTL-Shop des Kunden)
§ 4 Pflichten des Auftragsverarbeiters (iDeployed)
iDeployed verpflichtet sich:
- Daten nur nach dokumentierter Weisung des Kunden zu verarbeiten
- Vertraulichkeit der Daten zu gewährleisten
- Nur Unterauftragsverarbeiter mit Zustimmung des Kunden einzusetzen
- Den Kunden bei Betroffenenanfragen zu unterstützen
- Daten nach Vertragsende zu löschen oder auf Wunsch zurückzugeben
- Alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO zur Verfügung zu stellen
§ 5 Pflichten des Verantwortlichen (Kunde)
Der Kunde ist Verantwortlicher im Sinne der DSGVO. Er erteilt Weisungen an iDeployed und stellt sicher, dass die Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage erfolgt.
§ 6 Unterauftragsverarbeiter
Vorab genehmigte Unterauftragsverarbeiter:
Google Cloud Platform (GCP)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Infrastruktur-Hosting — Region: europe-north2 (Stockholm, Schweden)
iDeployed informiert den Kunden über die Hinzunahme oder den Wechsel von Unterauftragsverarbeitern. Der Kunde hat das Recht, Einwände zu erheben.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
iDeployed implementiert folgende Maßnahmen:
- Verschlüsselung der Daten in transit (TLS 1.2+) und at rest
- Zugriffskontrolle (rollenbasiert, Least Privilege)
- Regelmäßige automatisierte Backups
- Monitoring und Alerting
- Mandantenisolation (logische Trennung der Kundenumgebungen)
- Keine Weitergabe von Kundendaten an Dritte
§ 8 Berichtigung, Löschung und Sperrung
iDeployed löscht oder gibt Daten auf Weisung des Kunden zurück. Nach Vertragsende werden alle Kundendaten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 9 Nachweispflichten
iDeployed stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, durch den Kunden oder einen beauftragten Prüfer.
§ 10 Rückgabe und Löschung nach Auftragsende
Nach Beendigung des Vertrages werden alle Kundendaten unwiderruflich gelöscht oder auf Wunsch des Kunden übergeben. Ein Nachweis der Löschung wird auf Anfrage bereitgestellt.
Kontakt
Bei Fragen zum AVV oder zur Datenverarbeitung wenden Sie sich bitte an: