Auftragsverarbeitungsvertrag (AVV)

Anlage 1 zu den AGB · gemäß Art. 28 DSGVO zwischen der CASi Vertriebsgesellschaft mbH und dem Auftraggeber · Stand: Juni 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) CASi verarbeitet im Rahmen der Leistungserbringung personenbezogene Daten des Auftraggebers als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

(2) Die Auftragsverarbeitung beginnt mit Vertragsbeginn und endet mit Vertragsende. Danach werden personenbezogene Daten gemäß § 7 gelöscht oder zurückgegeben.

§ 2 Art und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der SaaS-Plattform. Dabei verarbeitet CASi insbesondere:

• Stammdaten von Mitarbeitenden des Auftraggebers (Name, E-Mail-Adresse, Funktion)
• Schulungs- und Qualifikationsnachweise sowie Zertifikatsdaten
• Login-Daten und Nutzungsverhaltensdaten (anonymisiert soweit technisch möglich)
• Vom Auftraggeber hochgeladene Dokumente und Inhalte

§ 3 Pflichten von CASi als Auftragsverarbeiter

CASi verpflichtet sich insbesondere:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten,
• zur Wahrung der Vertraulichkeit durch vertragliche Bindung aller zugriffsberechtigten Personen,
• alle erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu ergreifen,
• Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Auftraggebers einzusetzen (Liste aktuell genehmigter Unterauftragsverarbeiter auf Anfrage),
• den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (spätestens innerhalb von 72 Stunden nach Bekanntwerden),
• Anfragen betroffener Personen weiterzuleiten und den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 12–22 DSGVO zu unterstützen.

§ 4 Pflichten des Auftraggebers

(1) Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Datenverarbeitung in seinem Aufgabenbereich und für die Qualität der übermittelten Daten.

(2) Der Auftraggeber benennt eine oder mehrere Kontaktpersonen für datenschutzrechtliche Fragen und teilt CASi Änderungen unverzüglich mit.

§ 5 Technische und organisatorische Maßnahmen (TOM)

CASi setzt zum Schutz personenbezogener Daten insbesondere folgende Maßnahmen ein:

• Verschlüsselte Datenübertragung (TLS 1.2+) und verschlüsselte Datenbankablage
• Zugriffskontrolle durch rollenbasiertes Berechtigungskonzept (RBAC)
• Protokollierung von Zugriffen auf personenbezogene Daten
• Regelmäßige Sicherheits-Updates und Penetrationstests
• Backup-Systeme mit definierten Recovery-Zeiten
• Serverstandort Deutschland (Hetzner Online GmbH)

§ 6 Unterauftragsverarbeiter

(1) CASi ist berechtigt, Unterauftragsverarbeiter einzusetzen. Der Auftraggeber erteilt hiermit die allgemeine Genehmigung für die Nutzung der nachfolgend genannten Dienstleister:

• Hetzner Online GmbH (Deutschland) – Hosting und Speicherung der Plattformdaten; Verarbeitung innerhalb der EU, Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
• Stripe Inc. (USA) – Zahlungsabwicklung. Hierbei werden personenbezogene Daten in die USA (Drittland) übermittelt. Der Transfer erfolgt auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses, Art. 46 DSGVO) sowie ergänzender Garantien gemäß Art. 44 ff. DSGVO.

(2) CASi informiert den Auftraggeber über geplante Änderungen (Hinzufügung oder Austausch von Unterauftragsverarbeitern) mit einer Vorlaufzeit von mindestens 14 Tagen per E-Mail. Der Auftraggeber kann Änderungen innerhalb dieser Frist widersprechen.

(3) CASi stellt sicher, dass Unterauftragsverarbeiter durch Vertrag denselben Datenschutzpflichten unterliegen wie CASi nach diesem AVV.

§ 7 Datenlöschung und -rückgabe

(1) Nach Vertragsende oder auf Weisung des Auftraggebers löscht oder gibt CASi alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(2) Auf Anfrage bestätigt CASi die vollständige Löschung schriftlich.

(3) Der Auftraggeber kann innerhalb von 30 Tagen nach Vertragsende einen Datenexport anfordern. Danach werden alle Daten unwiderruflich gelöscht.

§ 8 Kontrollrechte

(1) Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzpflichten durch CASi zu kontrollieren, insbesondere durch Anforderung von Nachweisen, Zertifikaten oder Prüfberichten.

(2) Vor-Ort-Audits sind mit einer Vorlaufzeit von mindestens 14 Tagen schriftlich anzukündigen und auf das zur Prüfung erforderliche Maß zu beschränken. CASi kann für den damit verbundenen Aufwand einen angemessenen Kostenbeitrag berechnen.