Art. 28 DSGVO
Vereinbarung zur Auftragsverarbeitung
Stand: 2. Juli 2026
Diese Vereinbarung („AVV“) gilt zwischen dem Geschäftskunden als Verantwortlichem („Kunde“) und VALEN – Inh. Laurin Hofer, Römerstraße 62, 6103 Reith bei Seefeld, als Auftragsverarbeiter („Anbieter“), soweit der Anbieter für den Kunden personenbezogene Daten verarbeitet. Sie wird mit Annahme der AGB und Nutzung der Anwendung Bestandteil des Vertrags.
1. Gegenstand, Dauer und Zweck
Gegenstand ist das Hosting und die Bereitstellung von VALEN OS einschließlich Authentifizierung, Datenbank, Dateispeicher, Support, Sicherung und technischer Administration. Die Verarbeitung dauert grundsätzlich für die Laufzeit des Hauptvertrags. Art und Zweck sind Erfassen, Speichern, Strukturieren, Abrufen, Übermitteln innerhalb berechtigter Nutzerkreise, Sichern, Einschränken und Löschen der vom Kunden eingestellten Daten.
2. Daten und betroffene Personen
Mögliche Datenarten sind Stamm- und Kontaktdaten, Organisations- und Beschäftigtendaten, betriebliche Leistungs- und Prozessinformationen, Dokumentinhalte, Nutzungs- und Protokolldaten. Betroffen sein können Beschäftigte, Bewerber, Ansprechpartner bei Kunden und Lieferanten sowie sonstige Personen, deren Daten der Kunde rechtmäßig einstellt. Daten nach Art. 9 oder 10 DSGVO sind ohne gesonderte Vereinbarung nicht vorgesehen.
3. Weisungen und Pflichten
- Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht entgegensteht. Konfiguration und vertragsgemäße Nutzung gelten als Weisung.
- Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet und erhalten nur erforderliche Zugriffe.
- Der Anbieter unterstützt den Kunden im angemessenen Umfang bei Betroffenenanfragen, Datenschutz-Folgenabschätzungen, Konsultationen und Nachweisen.
- Widerspricht eine Weisung nach Auffassung des Anbieters dem Datenschutzrecht, informiert er den Kunden und kann die Ausführung bis zur Klärung aussetzen.
- Der Kunde ist für Rechtmäßigkeit, Transparenz, Datenminimierung und seine Weisungen verantwortlich.
4. Technische und organisatorische Maßnahmen
- verschlüsselte Übertragung über TLS und Nutzung der Verschlüsselungsfunktionen der Infrastruktur-Anbieter;
- rollenbasierte Berechtigungen, sichere Authentifizierung und serverseitige Geheimnisse;
- Mandantentrennung durch Datenbank-Richtlinien auf Zeilenebene und private Dateispeicher;
- Protokollierung sicherheitsrelevanter Änderungen, restriktive Administrationszugriffe und regelmäßige Aktualisierung von Abhängigkeiten;
- Verfügbarkeits-, Wiederherstellungs- und Sicherungsmaßnahmen entsprechend dem jeweils gebuchten Infrastrukturplan;
- Verfahren zur Prüfung und Weiterentwicklung der Maßnahmen nach Risiko und Stand der Technik.
Der Anbieter darf gleichwertige oder stärkere Maßnahmen einsetzen, sofern das Schutzniveau nicht wesentlich sinkt.
5. Unterauftragsverarbeiter
Der Kunde erteilt die allgemeine Genehmigung für die folgenden Unterauftragsverarbeiter. Über beabsichtigte wesentliche Änderungen wird er vorab informiert und kann aus begründeten datenschutzrechtlichen Gründen widersprechen.
| Anbieter | Leistung | Möglicher Ort |
|---|---|---|
| Supabase, Inc. | Authentifizierung, Datenbank, Dateispeicher | EU-Region; Support/Administration ggf. Drittländer mit Garantien |
| Vercel Inc. | Hosting, Auslieferung, technische Protokolle | EU/USA und weitere Standorte mit Garantien |
Stripe verarbeitet Zahlungs- und Abrechnungsdaten je nach Tätigkeit teilweise als eigener Verantwortlicher und teilweise als Auftragsverarbeiter nach seinen geltenden Datenschutzbedingungen.
6. Drittlandübermittlungen
Datenübermittlungen außerhalb des EWR erfolgen nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder von EU-Standardvertragsklauseln mit erforderlichen ergänzenden Maßnahmen.
7. Datenschutzverletzungen
Der Anbieter informiert den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten bekannt wurde, und stellt die verfügbaren Informationen bereit, die der Kunde für seine gesetzlichen Pflichten benötigt.
8. Nachweise und Prüfungen
Der Anbieter stellt angemessene Informationen zum Nachweis der Einhaltung bereit. Prüfungen erfolgen vorrangig anhand vorhandener Berichte, Zertifizierungen und Dokumentation. Soweit das nicht genügt, kann der Kunde nach angemessener Vorankündigung eine verhältnismäßige Prüfung veranlassen, die Betrieb, Sicherheit und Rechte anderer Kunden nicht beeinträchtigt. Bei unbegründet häufigen oder besonders aufwendigen Prüfungen können angemessene Kosten berechnet werden.
9. Rückgabe und Löschung
Nach Ende der Leistung löscht oder gibt der Anbieter personenbezogene Kundendaten nach Wahl des Kunden zurück, soweit keine gesetzliche Aufbewahrungspflicht besteht. Technisch bedingte Sicherungskopien werden im Rahmen der üblichen Löschzyklen überschrieben und bis dahin geschützt sowie nicht anderweitig verarbeitet.
10. Rangfolge und Version
Bei Widersprüchen zu sonstigen Vertragsunterlagen geht diese AVV für Fragen der Auftragsverarbeitung vor. Änderungen bedürfen einer dokumentierbaren Vereinbarung. Version: 2026-07-02.