Auftragsverarbeitungsvertrag
Gültig ab: 1. Januar 2026
Dieser Auftragsverarbeitungsvertrag ergänzt die Nutzungsbedingungen und gilt, wenn der Kunde Business-Funktionen des NAOA-Dienstes nutzt, um personenbezogene Daten der Kunden des Kunden zu verarbeiten.
1. Definitionen
Verantwortlicher bedeutet der Kunde, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
Auftragsverarbeiter bedeutet Aleksander Popek (NAOA), der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Personenbezogene Daten bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Kundendaten bedeutet personenbezogene Daten, die der Kunde in den Dienst hochlädt oder den Auftragsverarbeiter zur Verarbeitung anweist.
Betroffene Person bedeutet die Person, deren personenbezogene Daten verarbeitet werden (Kunden des Kunden).
Unterauftragsverarbeiter bedeutet ein Dritter, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt wird.
SCC bedeutet die von der Europäischen Kommission für internationale Datenübertragungen genehmigten Standardvertragsklauseln.
Datenschutzgesetze bedeutet DSGVO und andere anwendbare Datenschutzvorschriften.
2. Anwendungsbereich und Rollen
2.1 Anwendung. Dieser AVV gilt, wenn der Kunde Business-Funktionen nutzt, um Profile der Kunden des Kunden zu erstellen und zu speichern und personenbezogene Daten anderer Personen als des Kunden zu verarbeiten.
2.2 Rollen. Der Kunde ist der Verantwortliche – Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung von Kundendaten. NAOA ist der Auftragsverarbeiter – NAOA verarbeitet Kundendaten nur auf dokumentierte Anweisungen des Kunden.
2.3 Verantwortlichkeiten des Kunden als Verantwortlicher. Der Kunde ist verantwortlich für die Sicherstellung einer Rechtsgrundlage für die gesamte Verarbeitung (z.B. Einwilligung, berechtigtes Interesse), Erteilung klarer und rechtmäßiger Anweisungen an den Auftragsverarbeiter, Information der betroffenen Personen über die Verarbeitung und ihre Rechte, Beantwortung von Anfragen betroffener Personen und Einhaltung aller anwendbaren Datenschutzgesetze.
3. Verarbeitungsdetails
3.1 Gegenstand. Der Auftragsverarbeiter erbringt Numerologie-Analyse- und CRM-Dienste, einschließlich Speicherung von Kundenprofilen, Generierung numerologischer Analysen und Verwaltung von Kundendaten.
3.2 Dauer. Die Verarbeitung dauert für die Laufzeit des Kundenabonnements, zuzüglich einer 30-tägigen Datenaufbewahrungsfrist nach Beendigung.
3.3 Arten personenbezogener Daten. Name, Geburtsdatum, KI-generierte numerologische Berichte und alle zusätzlichen Daten, die der Kunde hochzuladen wählt.
3.4 Kategorien betroffener Personen. Kunden des Kunden und Personen, deren Profile der Kunde im Dienst erstellt.
3.5 Zweck. Verarbeitung von Kundendaten ausschließlich zur Erbringung des in der Vereinbarung beschriebenen Dienstes.
4. Pflichten des Auftragsverarbeiters
4.1 Verarbeitungsanweisungen. Der Auftragsverarbeiter verarbeitet Kundendaten nur auf dokumentierte Anweisungen des Verantwortlichen, behandelt die Nutzung von Dienstfunktionen durch den Kunden als dokumentierte Anweisungen und informiert den Verantwortlichen, wenn eine Anweisung gegen Datenschutzgesetze verstößt.
4.2 Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung von Kundendaten befugtes Personal zur Vertraulichkeit verpflichtet ist und der Zugang zu Kundendaten auf diejenigen beschränkt ist, die ihn zur Erfüllung ihrer Aufgaben benötigen.
4.3 Sicherheitsmaßnahmen. Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich Verschlüsselung von Daten bei der Übertragung (TLS/HTTPS) und im Ruhezustand, Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung, regelmäßige Sicherheitsüberwachung und -prüfungen sowie Verfahren zur Reaktion auf Vorfälle. Siehe Sicherheitsmaßnahmen (Abschnitt 8) für Details.
4.4 Unterauftragsverarbeiter. Der Auftragsverarbeiter führt eine Liste autorisierter Unterauftragsverarbeiter (siehe Unterauftragsverarbeiter-Seite), benachrichtigt den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern durch Veröffentlichung von Updates auf der Unterauftragsverarbeiter-Seite, gewährt dem Verantwortlichen 14 Tage, um gegen neue Unterauftragsverarbeiter Einspruch zu erheben, stellt sicher, dass Unterauftragsverarbeiter an Datenschutzpflichten gebunden sind, die diesem AVV gleichwertig sind, und bleibt für die Einhaltung durch Unterauftragsverarbeiter verantwortlich.
4.5 Anfragen betroffener Personen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, leitet direkt erhaltene Anfragen an den Verantwortlichen weiter und stellt Tools für den Datenexport und die Löschung durch den Dienst bereit.
4.6 Benachrichtigung bei Datenschutzverletzungen. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden der Verletzung, teilt Details zur Verletzung mit: Art, Kategorien der Daten, ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen und ergriffene Maßnahmen, kooperiert mit den Untersuchungs- und Abhilfemaßnahmen des Verantwortlichen und dokumentiert alle Verletzungen und stellt die Dokumentation dem Verantwortlichen zur Verfügung.
4.7 Datenschutz-Folgenabschätzungen. Auf Anfrage unterstützt der Auftragsverarbeiter den Verantwortlichen bei Datenschutz-Folgenabschätzungen und Vorabkonsultationen mit Aufsichtsbehörden.
4.8 Audits. Der Auftragsverarbeiter stellt Informationen zur Verfügung, die zur Demonstration der Einhaltung dieses AVV erforderlich sind, lässt Audits und Inspektionen durch den Verantwortlichen oder einen bevollmächtigten Prüfer mit angemessener Vorankündigung (30 Tage) zu und akzeptiert relevante Drittanbieter-Zertifizierungen als Nachweis der Einhaltung.
5. Pflichten des Verantwortlichen
5.1 Rechtmäßige Verarbeitung. Der Verantwortliche stellt eine Rechtsgrundlage für die gesamte Verarbeitung von Kundendaten sicher, erteilt keine Anweisungen, die den Auftragsverarbeiter zur Verletzung von Datenschutzgesetzen veranlassen würden, und holt alle erforderlichen Einwilligungen von betroffenen Personen ein.
5.2 Anweisungen. Die Anweisungen des Verantwortlichen an den Auftragsverarbeiter sind: dieser AVV und die Vereinbarung, Nutzung von Dienstfunktionen und -einstellungen und schriftliche Anweisungen über offizielle Kommunikationskanäle.
5.3 Kommunikation mit betroffenen Personen. Der Verantwortliche ist verantwortlich für die Bereitstellung angemessener Datenschutzhinweise an betroffene Personen, Information betroffener Personen, dass ihre Daten über den Dienst verarbeitet werden, und Bearbeitung von Anfragen und Beschwerden betroffener Personen.
6. Internationale Übermittlungen
6.1 Primärer Verarbeitungsstandort. Kundendaten werden primär in der Europäischen Union gespeichert und verarbeitet (Google Cloud Region europe-west1, Belgien).
6.2 Übermittlungen durch Unterauftragsverarbeiter. Einige Unterauftragsverarbeiter können Daten außerhalb der EU verarbeiten. Für solche Übermittlungen stellt der Auftragsverarbeiter angemessene Schutzmaßnahmen sicher, basieren Übermittlungen in die Vereinigten Staaten auf Standardvertragsklauseln (SCC) und haben Unterauftragsverarbeiter mit US-Aktivitäten Auftragsverarbeitungsverträge mit SCC unterzeichnet.
6.3 Übermittlungsmechanismen. Folgende Mechanismen werden für internationale Übermittlungen verwendet: EU-Standardvertragsklauseln (Modul 3: Auftragsverarbeiter an Auftragsverarbeiter) und Einhaltung anwendbarer Datenschutzrahmen durch Unterauftragsverarbeiter. Siehe Unterauftragsverarbeiter-Seite für Details zu Standort und Schutzmaßnahmen jedes Unterauftragsverarbeiters.
7. Datenrückgabe und Löschung
7.1 Während des Abonnements. Der Verantwortliche kann Kundendaten jederzeit über die Exportfunktionen des Dienstes exportieren.
7.2 Nach Beendigung. Bei Beendigung des Abonnements hat der Verantwortliche 30 Tage Zeit, Kundendaten zu exportieren. Nach 30 Tagen werden Kundendaten dauerhaft gelöscht. Der Auftragsverarbeiter stellt auf Anfrage eine Löschbestätigung aus.
7.3 Ausnahmen. Kundendaten können über den 30-Tage-Zeitraum hinaus aufbewahrt werden, wenn gesetzlich vorgeschrieben, für laufende Gerichtsverfahren erforderlich oder einer rechtlichen Aufbewahrungspflicht unterliegt. Der Auftragsverarbeiter informiert den Verantwortlichen über solche Aufbewahrungsanforderungen.
8. Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert folgende technische und organisatorische Sicherheitsmaßnahmen:
8.1 Datenverschlüsselung. Bei der Übertragung: TLS 1.2 oder höher (HTTPS). Im Ruhezustand: AES-256-Verschlüsselung (Firebase/Google Cloud Standard).
8.2 Zugriffskontrolle. Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der geringsten Berechtigung und Multi-Faktor-Authentifizierung für administrativen Zugriff.
8.3 Infrastruktursicherheit. Google Cloud Platform (Firebase) mit Enterprise-Sicherheit, Daten im EU-Bereich gespeichert (europe-west1), automatische Backups mit Point-in-Time-Recovery und Redundanz- und Failover-Fähigkeiten.
8.4 Anwendungssicherheit. Eingabevalidierung und -bereinigung, Schutz vor SQL-Injection, XSS, CSRF und regelmäßige Sicherheitsupdates und Patches.
8.5 Überwachung und Vorfallreaktion. Fehlertracking und -überwachung (Sentry), automatisierte Alerts für Sicherheitsereignisse, dokumentierte Verfahren zur Vorfallreaktion und nachträgliche Überprüfungen nach Vorfällen.
8.6 Personalsicherheit. Vertraulichkeitsvereinbarungen für alle Mitarbeiter, Schulungen zur Sicherheitsbewusstheit und Hintergrundüberprüfungen, wo anwendbar.
8.7 Datenminimierung. Erhebung auf notwendige Daten beschränkt, Anonymisierung, wo möglich, und regelmäßige Überprüfung der Datenaufbewahrung.
9. Haftung
9.1 Haftung des Auftragsverarbeiters. Der Auftragsverarbeiter haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht den für Auftragsverarbeiter geltenden Datenschutzgesetzen entspricht oder außerhalb oder entgegen den rechtmäßigen Anweisungen des Verantwortlichen erfolgt.
9.2 Haftung des Verantwortlichen. Der Verantwortliche haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht den für Verantwortliche geltenden Datenschutzgesetzen entspricht oder aus den Anweisungen des Verantwortlichen an den Auftragsverarbeiter resultiert.
9.3 Beschränkung. Die Haftung nach diesem AVV unterliegt den in der Vereinbarung (Nutzungsbedingungen) festgelegten Beschränkungen.
9.4 Freistellung. Der Verantwortliche stellt den Auftragsverarbeiter frei von Ansprüchen, die entstehen aus der Verletzung von Datenschutzgesetzen durch den Verantwortlichen, der auf Anweisung des Verantwortlichen durchgeführten Verarbeitung und Ansprüchen betroffener Personen bezüglich der Pflichten des Verantwortlichen.
10. Laufzeit und Beendigung
10.1 Laufzeit. Dieser AVV gilt ab Annahme der Vereinbarung durch den Kunden und für die Dauer der Nutzung von Business-Funktionen durch den Kunden.
10.2 Fortbestehende Pflichten. Folgende Bestimmungen gelten nach Beendigung weiter: Vertraulichkeitspflichten, Datenlöschungspflichten und Haftungs- und Freistellungsbestimmungen.
11. Änderungen
Dieser AVV kann geändert werden durch den Auftragsverarbeiter mit mindestens 30 Tagen Vorankündigung, um Änderungen der Datenschutzgesetze widerzuspiegeln oder um Unterauftragsverarbeiter-Listen oder Sicherheitsmaßnahmen zu aktualisieren.
Die fortgesetzte Nutzung von Business-Funktionen nach Inkrafttreten von Änderungen gilt als Annahme.
12. Kontakt
Bei Fragen zu diesem AVV oder zur Ausübung von Rechten daraus kontaktieren Sie:
E-Mail: hello@naoa.app
Adresse: Aleksander Popek ul. Pawia 3/14 05-803 Pruszków, Polen
Anlagen
Anlage A: Autorisierte Unterauftragsverarbeiter
Anlage B: Sicherheitsmaßnahmen – siehe Abschnitt 8 dieses AVV