Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen dem im Vertrag über die Nutzung der Software „HERO“ („Software“) genannten Kunden („Auftraggeber“) und der HERO Software GmbH, Göttinger Hof 9, 30453 Hannover („Auftragnehmer“ oder „HERO“ oder „wir“/„uns“), geschlossen, beide jeweils auch als „Partei“ bzw. beide gemeinsam als „Parteien“ bezeichnet. Im Rahmen der Durchführung des Hauptvertrags kann es erforderlich sein, dass der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten nach der Datenschutzgrundverordnung (DSGVO) schließen die Parteien den vorliegenden AVV.
1. Gegenstand/Umfang/Dauer dieses AVV/Begriffe
1.1 Dieser AVV gilt für die Verarbeitung aller personenbezogenen Daten (nachstehend auch „Daten“ genannt), die von dem Auftragnehmer im Auftrag des Auftraggebers zur Erbringung der Leistungen nach dem Vertrag über die Nutzung der Software („Hauptvertrag“) verarbeitet werden. Der Umfang, die Art und der Zweck der Verarbeitung werden durch den Hauptvertrag bestimmt und sind in Anlage 1 (Zweck, Art und Umfang der Datenverarbeitung; Art der Daten und Kategorien betroffener Personen) zu diesem AVV aufgeführt.
1.2 Soweit in diesem AVV nichts anderes bestimmt ist, gelten für die Laufzeit und die Beendigung dieses AVV die Laufzeit- und Beendigungsbestimmungen des Hauptvertrags. Dieser AVV bleibt während der gesamten Laufzeit des Hauptvertrags in Kraft, soweit er nicht durch eine Nachfolgeregelung ersetzt wird. Eine Beendigung des Hauptvertrages führt automatisch zu einer Beendigung dieses AVV. Eine isolierte Beendigung dieses AVV ist ausgeschlossen.
1.3 Die Verarbeitung findet grundsätzlich innerhalb der Europäischen Union (EU) / des Europäischen Wirtschaftsraums (EWR) statt. Soweit die Verarbeitung im Rahmen dieses AVV außerhalb des Gebiets der EU/EWR erfolgt, stellen die Parteien sicher, dass die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
1.4 Sofern in diesem AVV nicht anders bestimmt, gelten die Definitionen des Hauptvertrags auch für diesen AVV.
2. Weisungsbefugnis des Auftraggebers
2.1 Die Parteien sind für die Einhaltung der einschlägigen datenschutzrechtlichen Vorschriften verantwortlich. Der Auftraggeber kann den Auftragnehmer jederzeit anweisen, die im Rahmen dieses AVV verarbeiteten Daten freizugeben, zu berichtigen, anzupassen, zu löschen und einzuschränken.
2.2 Der Auftragnehmer verarbeitet die Daten im Auftrag und nach den Weisungen des Auftraggebers im Sinne von Art. 28 DSGVO. Der Auftraggeber bleibt der für die Verarbeitung Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
2.3 Der Auftragnehmer darf Daten nur nach den Weisungen des Auftraggebers verarbeiten, es sei denn, der Auftragnehmer ist nach dem Recht der Union oder des Mitgliedstaates, dem der Auftragnehmer unterliegt, zu einer abweichenden Verarbeitung verpflichtet (z.B. Ermittlungen der Strafverfolgungs- oder staatlichen Sicherheitsbehörden); in einem solchen Fall hat der Auftragnehmer den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen zu unterrichten, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus Gründen eines wichtigen öffentlichen Interesses (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
2.4 Die Weisungen des Auftraggebers sind in den Bestimmungen dieses AVV grundsätzlich abschließend geregelt und dokumentiert. Ergänzende Weisungen, die von den Bestimmungen dieses AVV abweichen oder zusätzliche Anforderungen stellen, bedürfen der Zustimmung des Auftragnehmers und sind dem Auftragnehmer grundsätzlich schriftlich oder per E-Mail zu erteilen. Mündliche Weisungen sind unverzüglich vom Auftragnehmer schriftlich oder elektronisch zu bestätigen. Die dem Auftragnehmer durch solche ergänzenden Weisungen entstehenden Mehrkosten gehen zu Lasten des Auftraggebers.
2.5 Änderungen am Gegenstand der Verarbeitung sind gemeinsam zu vereinbaren und zu dokumentieren. Der Auftragnehmer darf die Daten nicht für andere Zwecke verwenden und ist insbesondere nicht berechtigt, diese Daten an Dritte weiterzugeben. Der Auftragnehmer ist nicht berechtigt, Daten ohne Wissen des Auftraggebers zu kopieren oder zu vervielfältigen.
2.6 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen einschlägige datenschutzrechtliche Vorschriften verstößt, so unterrichtet er den Auftraggeber unverzüglich. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis die Weisung von dem Auftraggeber bestätigt oder geändert wird.
3. Schutzmaßnahmen
3.1 Die Parteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragnehmer stellt dem Auftraggeber hierzu bei Bedarf entsprechende Informationen zur Verfügung.
3.2 Die Parteien vereinbaren die spezifischen technischen und organisatorischen Sicherheitsmaßnahmen, die in der Anlage 3 („Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO“) zu diesem AVV aufgeführt sind. Anlage 3ist wesentlicher Bestandteil dieses AVV.
3.3 Technische und organisatorische Maßnahmen sind dem technischen Fortschritt unterworfen. Dem Auftragnehmer ist es insoweit gestattet, alternative, aber angemessene Maßnahmen gemäß den einschlägigen datenschutzrechtlichen Vorschriften und dieses AVV zu ergreifen. Wesentliche Änderungen der Maßnahmen sind zu dokumentieren.
3.4 Auf Verlangen des Auftraggebers hat der Auftragnehmer geeignete Nachweise über die Einhaltung der in Anlage 3 festgelegten technischen und organisatorischen Maßnahmen vorzulegen.
3.5 Der Auftragnehmer stellt sicher, dass alle Personen, die mit der Verarbeitung von Daten des Auftraggebers betraut sind (nachfolgend „Mitarbeiter“), vor Aufnahme ihrer Tätigkeit schriftlich oder in elektronischer Form auf die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet werden. Der Auftragnehmer gewährleistet mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung und legt dem Auftraggeber auf Anforderung entsprechende Vertraulichkeitserklärungen vor.
4. Pflichten des Auftraggebers
4.1 Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Rechte der betroffenen Personen im Verhältnis zwischen den Parteien. Sollten Dritte Ansprüche gegen den Auftragnehmer geltend machen, die auf der Verarbeitung von Daten gemäß dieses AVV beruhen, so stellt der Auftraggeber den Auftragnehmer auf erstes Anfordern von allen derartigen Ansprüchen frei.
4.2 Der Auftraggeber ist dafür verantwortlich, dem Auftragnehmer rechtzeitig erforderliche Daten für die Erbringung der Leistungen gemäß dem Hauptvertrag zur Verfügung zu stellen, und er ist für die Qualität der Daten verantwortlich. Der Auftraggeber unterrichtet den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung der Ergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten in Bezug auf die einschlägigen datenschutzrechtlichen Vorschriften oder seine Weisungen feststellt.
4.3 Auf Anfrage stellt der Auftraggeber dem Auftragnehmer die in Art. 30 Abs. 2 DSGVO genannten Informationen zur Verfügung, soweit sie dem Auftragnehmer nicht selbst zur Verfügung stehen.
4.4 Ist der Auftragnehmer verpflichtet, einer staatlichen Stelle oder Person bei der Verarbeitung von Daten Auskunft zu erteilen oder auf andere Weise mit diesen Stellen zusammenzuarbeiten, so ist der Auftraggeber auf erstes Anfordern verpflichtet, den Auftragnehmer bei der Erteilung dieser Auskunft und bei der Erfüllung sonstiger Kooperationspflichten zu unterstützen.
5. Informations- und Unterstützungspflichten des Auftragnehmers
5.1 Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu unterrichten, wenn er eine schwerwiegende Störung seines Betriebs feststellt, wenn er den Verdacht hat, dass er gegen diesen AVV und gegen einschlägige datenschutzrechtliche Vorschriften verstößt oder wenn er sonstige Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers feststellt. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie für entsprechende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO (Meldepflichten bei Datenverletzungen). Der Auftragnehmer stellt sicher, dass er den Auftraggeber in angemessener Weise bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DSGVO unterstützt, sofern dies erforderlich ist. Der Auftragnehmer darf die Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber nur nach vorheriger Weisung gemäß Abschnitt 2 dieses AVV vornehmen.
5.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragnehmer anfragt, ermittelt oder sonstige Erkundigungen einzieht.
6. Sonstige Pflichten des Auftragnehmers
6.1 Der Auftraggeber ist für seine Aufzeichnungen über Verarbeitungstätigkeiten allein verantwortlich (Art. 30 Abs. 1 DSGVO). Auf Verlangen des Auftraggebers stellt der Auftragnehmer dem Auftraggeber Informationen für das Verarbeitungsverzeichnis zur Verfügung. Der Auftragnehmer führt ebenfalls ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Auftraggebers durchgeführt werden, gemäß Art. 30 Abs. 2 DSGVO.
6.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO sowie bei einer gegebenenfalls erforderlichen vorherigen Konsultation der zuständigen Aufsichtsbehörde nach Art. 36 DSGVO.
6.3 Datenschutzbeauftragte des Auftragnehmers ist: Frau Marion Albrecht, Rechtsanwältin, Fachanwältin für IT- Recht (Informationstechnologierecht), activeLAW Rechtsanwälte, Hans-Böckler-Allee 26, 30173 Hannover. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
7. Kontrollrechte des Auftraggebers
7.1 Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses AVV insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Abschnitt 3 dieses AVV, zu überzeugen („Kontrolle“). Der Auftragnehmer weist dem Auftraggeber auf Nachfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Dieser Nachweis kann auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über jede Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise zu informieren. Darüber hinaus ist der Auftraggeber berechtigt die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten, ohne Störung des Geschäftsablaufs und unter strikter Wahrung der Geschäfts- und Betriebsgeheimnisse des Auftragnehmers selbst persönlich bzw. durch einen sachkundigen Dritten prüfen zu lassen.
7.2 Der Auftraggeber informiert den Auftragnehmer rechtzeitig (in der Regel zwei Wochen im Voraus) über alle mit der Durchführung der Kontrolle verbundenen Umstände. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang (grundsätzlich eine Kontrolle pro Kalenderjahr) durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig. Weitere Kontrollen werden nach vorheriger Absprache mit dem Auftragnehmer durchgeführt und unterliegen grundsätzlich der Erstattung der damit verbundenen Kosten durch den Auftraggeber.
7.3 Beauftragt der Auftraggeber einen sachkundigen Dritten mit der Durchführung der Kontrolle, so verpflichtet der Auftraggeber den Dritten schriftlich in gleicher Weise, wie er sich gegenüber dem Auftragnehmer gemäß diesem Abschnitt 7 dieses AVV verpflichtet. Darüber hinaus verpflichtet der Auftraggeber den Dritten zur Geheimhaltung und Vertraulichkeit, es sei denn, der Dritte unterliegt einer beruflichen Verschwiegenheitspflicht. Auf Verlangen des Auftragnehmers legt der Auftraggeber diesem unverzüglich die Verpflichtungsvereinbarungen mit dem Dritten vor. Der Auftraggeber darf keinen Konkurrenten, d.h. einem Dritten, der mit dem Auftragnehmer in einem unmittelbaren Wettbewerbsverhältnis steht, mit der Durchführung der Kontrolle beauftragen.
7.4 Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
8. Rechte Betroffener
8.1 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gemäß Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich die gewünschte Auskunft über Daten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.
8.2 Zur Wahrung der Rechte betroffener Personen gemäß Art. 15 bis 21 DSGVO unterstützt der Auftragnehmer den Auftraggeber in angemessenem Umfang, insbesondere durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, um ihre Rechte geltend zu machen, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter.
9. Unterauftragnehmer
9.1 Die derzeitigen Unterauftragnehmer, die für die Durchführung dieses AVV eingesetzt und zwischen den Parteien vereinbart wurden, sind in Anlage 2 im Einzelnen aufgeführt.
9.2 Sollte der Auftragnehmer weitere Unterauftragnehmer mit der Verarbeitung personenbezogener Daten betrauen wollen, so informiert er den Auftraggeber hierüber vorab und räumt diesem das Recht ein, der Beauftragung des betreffenden Unterauftragnehmers binnen 14 Tagen zu widersprechen, wobei der Auftraggeber nur aus einem sachlichen Grund widersprechen darf. Sollte diese Frist fruchtlos verstreichen, gilt der angekündigte Unterauftragnehmer als genehmigt.
9.3 Sollte es dem Auftragnehmer infolge eines fristgerechten Widerspruchs nach Ziffer 9.2 nicht möglich sein, die im Hauptvertrag geschuldete Leistung zu erbringen oder dies nur mit wirtschaftlich unzumutbarem Aufwand möglich sein, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
9.4 Beauftragt der Auftragnehmer Unterauftragnehmer, so hat er diese sorgfältig im Hinblick auf deren Eignung und Zuverlässigkeit auszuwählen. Er verpflichtet die Unterauftragnehmer nach Maßgabe dieser AVV und stellt sicher, dass der Auftraggeber seine Rechte aus dieser AVV – insbesondere Prüf- und Kontrollrechte – auch unmittelbar gegenüber den Unterauftragnehmern ausüben kann. Erfolgt die Einbindung von Unterauftragnehmern in einem Drittland, trägt der Auftragnehmer dafür Sorge, dass dort ein angemessenes Datenschutzniveau gewährleistet ist und dass die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
9.5 Ein Unterauftragsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste.
10. Löschung und Rückgabe von Daten
10.1 Sofern Datenträger und Datensätze zur Verfügung gestellt werden, bleiben diese im Eigentum des Auftraggebers.
10.2 Nach Beendigung der vertraglich vereinbarten Leistungen oder früher auf entsprechendes Verlangen des Auftraggebers, spätestens jedoch bei Beendigung dieses AVV, hat der Auftragnehmer alle in seinen Besitz gelangten Unterlagen, Verarbeitungs- und Nutzungsergebnisse und Datensätze (sowie Kopien oder Vervielfältigungen davon), die im Zusammenhang mit dem Vertragsverhältnis stehen, an den Auftraggeber herauszugeben oder datenschutzgerecht zu vernichten, sofern der Auftraggeber nichts anderes anordnet. Dies gilt auch für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Auftraggeber auf dessen Verlangen vorzulegen.
10.3 Der Auftragnehmer darf Unterlagen, die dem Nachweis der Datenverarbeitung nach diesem AVV und den geltenden Gesetzen dienen, unter Einhaltung der jeweiligen Aufbewahrungsfristen bis zur Beendigung dieses AVV (und ggf. danach) aufbewahren. Für die nach Satz 1 gespeicherten Daten gelten die Verpflichtungen nach Ziffer 10.2 dieser AVV auch nach Ablauf der Speicherfrist.
10.4 Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.
10.5 Ein Zurückbehaltungsrecht ist ausgeschlossen.
11. Haftung
11.1 Für die Haftung des Auftragnehmers nach diesem AVV gelten die im Hauptvertrag vorgesehenen Haftungsausschlüsse und -beschränkungen. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die darauf beruhen, dass der Auftraggeber schuldhaft gegen diesen AVV oder eine ihn betreffende datenschutzrechtliche Verpflichtung als Verantwortlicher verstoßen hat, wird der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern freistellen.
11.2 Der Auftragnehmer haftet dem Auftraggeber auch für etwaige Verstöße der von ihm eingeschalteten Unterauftragnehmer.
11.3 Der Auftraggeber verpflichtet sich, den Auftragnehmer auf erstes Anfordern von allen möglichen Geldbußen freizustellen, die gegen den Auftragnehmer verhängt werden und die dem Anteil des Auftraggebers an dem mit der Geldbuße sanktionierten Verstoß entsprechen.
12. Schlussbestimmungen
12.1 Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
12.2 Ist der Auftraggeber Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, so ist ausschließlicher Gerichtsstand derjenige beim Auftragnehmer. Der Auftragnehmer bleibt berechtigt, am Sitz des Auftraggebers zu klagen.
12.3 Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.
Anlage 1: Zweck, Art und Umfang der Datenverarbeitung; Art der Daten und Kategorien der betroffenen Personen
Umfang und Zweck der Verarbeitung
Erbringung der Dienste nach dem Hauptvertrag: Personenbezogene Daten werden im Rahmen der Software-Nutzung erhoben bzw. verarbeitet. Der Zweck der Datenverarbeitung ist daher die Verwaltung der Handwerksbetriebe als SaaS (Software-as-a-Service) sowie die Verwaltung der einzelnen Nutzer der Software durch den Auftraggeber und das Verwalten von Kunden-Projekten des Auftraggebers.
Arten oder Kategorie von Daten
Personenstammdaten (Adressdaten, Name, etc.)
Kommunikationsdaten (z.B. Telefon, E-Mailadresse)
Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
IP-Adressen, Browserinformationen, Quellen
Standortdaten, (App)
Kundenhistorie
Bankdaten
In Bezug auf KI-Funktionen der Software zusätzlich:
Audio- und Sprachdaten (z. B. Sprachbefehle, Aufnahmen, Transkriptionen aus Voice- oder Recording-Features)
Im Rahmen der KI-Funktionen verarbeitet die Software die vom Nutzer in das KI-Interface eingegebenen Informationen.
Die Art der verarbeiteten Daten hängt daher maßgeblich von den Informationen ab, die der Nutzer durch die Spracherkennung bzw. in das KI-Chat-Interface der Software eingibt. Es obliegt der Verantwortung des Nutzers bzw. des Auftraggebers, sicherzustellen, dass nach Möglichkeit keine personenbezogenen Daten oder sonstigen sensiblen Informationen – etwa Geschäfts- oder Betriebsgeheimnisse – eingegeben werden und dass sämtliche Eingaben mit den geltenden Datenschutzbestimmungen im Einklang stehen.
Kreis der Betroffenen
Endkunden des Auftraggebers (insbesondere Hausbesitzer)
Beschäftigte des Auftraggebers
Lieferanten und andere Kontakte des Auftraggebers
Mehr anzeigen
Anlage 2: Genehmigte Unterauftragnehmer
Liste der genehmigten Unterauftragnehmer (Subunternehmer des Auftragnehmers, die Daten verarbeiten):
Infrastruktur
Diese Auftragsverarbeiter stellen uns eine robuste Infrastruktur zur Verfügung, die verschiedene Aspekte wie Hosting, Netzwerkdienste, Cloud-Computing und Content Delivery umfasst. Sie ermöglichen es uns, unsere Plattform effizient bereitzustellen, Skalierbarkeit zu gewährleisten und eine optimale Leistung zu erzielen.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn Deutschland
Hoster/Rechenzentrum
Deutschland
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen Deutschland
Hoster/Rechenzentrum
Deutschland
Google LLC
1600 Amphitheatre Parkway
Mountain View California 94043 USA
Hosting, App Services, Maps, Push Notifications, data warehouse
Deutschland & USA
Apple Inc.
Infinite Loop
Cupertino CA 95014 USA
App, Maps, Push notifications
USA
Cloudflare Inc.
101 Townsend St
San Francisco CA 94107 USA
Content Delivery Network, Cache (Hosting)
EU
Twilio Inc.
101 Spear Street, 5th Floor
San Francisco CA 94105, USA
Email-Versand aus Hero
Global
Netlify Inc.
512 2nd Street Suite 200
San Francisco CA 94107, USA
Nur eingesetzt bei Nutzung bestimmter Module
Deutschland
Fehlerüberwachung
Diese Unterauftragnehmer ermöglichen es uns, Fehler in Echtzeit zu überwachen, Systemmetriken zu überwachen und visuell darzustellen, um eine schnelle Reaktion und eine kontinuierliche Verbesserung unserer Dienstleistungen sicherzustellen.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Sentry.io
132 Hawthorne St
San Francisco CA 94107 USA
Error Reporting Hero/Mobile
EU
Grafana Labs
29 Broadway Penthouse
New York NY 10006 USA
Server Logs und Monitoring
EU
Kundenservice
Diese Unterauftragnehmer ermöglichen es uns, effektive Kommunikation und Unterstützung für unsere Kunden bereitzustellen.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Inline Manual Ltd
20-22 Wenlock Road
London N1 7GU United Kingdom
Interaktive Anleitungen
Belgien
Zendesk, Inc.
1019 Market St.
San Francisco CA 94103 USA
FAQ Datenbank, Ticket-System für Support
Deutschland
Calendly LLC
1315 Peachtree St NE
Atlanta GA 30309 USA
Date Picker für HERO Online-Präsentationen
USA
Aircall.io Inc.
381 Park Avenue South 6th Floor
New York NY 10016 USA
Cloud Telefonanlage
USA
CircleCo, Inc.
228 Park Ave S, PMB 52933
New York NY 10003, USA
Kommunikationsdienste, HERO Community
USA
Kundenadministration
Diese Unterauftragnehmer verarbeiten personenbezogene Daten, die zur Administration der Kunden verwendet werden, unter anderem im Rahmen der Vetragserstellung und der Abrechnung. Betroffen sind ausschließlich die personenbezogenen Daten der direkten HERO Kunden und nicht der individuellen Kundenstämme der Kunden.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
JustOn GmbH
Mälzerstraße 3
07745 Jena Deutschland
Subscription Management – Abrechnung
Deutschland
SALESFORCE.COM GERMANY GMBH
Erika-Mann-Str. 31
80636 München Deutschland
Sales & Supportprozesse
Deutschland
PandaDoc Inc.
3739 Balboa, #1083
San Francisco California 94121 USA
elektronische Dokumentenunterzeichnung
USA
Odoo DE GmbH
Mühlenstraße 15
10243 Berlin
Buchhaltungsystem, mit Mahnlaufprozess
EU
Datenanalyse
Diese Unterauftragnehmer ermöglichen es uns, das Nutzerverhalten zu analysieren und wertvolle Erkenntnisse zur Weiterentwicklung von HERO Software zu gewinnen.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Mixpanel Inc.
405 Howard Street Floor 2
San Francisco CA 94105 USA
Analyse Nutzer-Verhalten
EU
Refiner SASU
10 Rue de Penthiévre
75008 Paris Frankreich
Automatisierte Nutzerbefragungen
EU
Dovetail Research Pty. Ltd.
Level 1, 276 Devonshire Street
Surry Hills, New South Wales 2010 Australia
Qualitative Interviews dokumentieren und auswerten
EU
Langdock GmbH
Fehrbelliner Strasse 4
10119 Berlin Deutschland
Auswertung von Daten
EU
KI-/Modell-Provider
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
OpenAI Ireland Ltd
1st Floor, The Liffey Trust Centre
117–126 Sheriff Street Upper
Dublin 1, D01 YC43, Ireland
KI-Inferenz zur Generierung von Antworten/Analysen auf Basis der vom Auftraggeber/deren Nutzern eingegebenen Inhalte innerhalb des ERP
USA
Datenintegration und Workflow-Automatisierung
Diese Unterauftragnehmer ermöglichen es uns, Daten aus verschiedenen Quellen zu extrahieren, zu integrieren und zu übertragen. Sie unterstützen auch die Datenvisualisierung, -analyse und die Automatisierung von Workflows
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Hightouch - Carry Technologies Inc.
2211 Mission Street, Unit B
San Francisco CA 94110 USA
Verknüpfung unterschiedlicher Tools
USA
Fivetran Inc.
Oakland 1221 Broadway Floor 20
Oakland CA 94612 USA
Verknüpfung unterschiedlicher Tools
USA
Make.com - Celonis Inc.
One World Trade Center 87th Floor
New York NY 10007 USA
Verknüpfung unterschiedlicher Tools
EU
Zapier Inc.
548 Market St. #62411
San Francisco CA 94104-5401 USA
Verknüpfung unterschiedlicher Tools
USA
dbt Labs, Inc.
915 Spring Garden St Suite 500
Philadelphia, PA 19123 United States
Datenintegration, Datentransformation und Workflow-Automatisierung
USA
n8n GmbH
Novalisstraße 10
10115 Berlin Deutschland
Datentransformation und bestimmte Module
Deutschland
Jotform LTD
25 Cabot Square E14 4QZ London
Bereitstellung eines webbasierten Dienstes zur unterstützenden Datenerhebung. Nutzung nur in bestimmten optionalen Funktionsbereichen.
Deutschland
Interne Kommunikation
Diese Unterauftragnehmer verarbeiten personenbezogene Daten nur, wenn im Rahmen der internen Kommunikation personenbezogene Daten in z.B. Chatverläufen, Mailverläufen, etc. enthalten sind. Die betroffenen personenbezogenen Daten werden dabei jeweils unstrukturiert und werden in minimierter Form (Prinzip der Datenminimierung) verwendet.
Anbieter, Sitz
Zweck der Verarbeitung
Standort der Datenverarbeitung
Slack Technologies, Inc.
500 Howard St
San Francisco CA 94105 USA
Error Reporting, Kommunikation
USA
Atlassian Inc.
350 Bush St. Floor 13
San Francisco CA 94104 USA
Tickets, Incident Response Kommunikation
EU
Mehr anzeigen
Anlage 3: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO:
Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die folgenden technisch-organisatorischen Maßnahmen getroffen:
Zutrittskontrolle, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, verwehrt:
Absicherung der Gebäude, Fenster und Türen.
Sicherheitsdienst auf Bürogelände.
Sorgfältige Auswahl von Reinigungspersonal.
Zugangskontrolle, die es verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
Passwortgeschützter Login für Mitarbeiter mit verwaltenden Aufgaben.
Eingeschränkter Zugriff auf Datenbanken durch Mitarbeiter der IT-Entwicklung. (Berechtigungskonzept).
Zugriffskontrolle, die sicherstellt, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können:
Rechtesysteme innerhalb verschiedener Softwarelösungen, die Lese & Schreibrechte nur für bestimmte Nutzerrollen zulässt.
Weitergabekontrolle, mit der dafür gesorgt wird, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Verschlüsselung der Daten bei Austausch innerhalb verschiedener Systeme.
Eingabekontrolle, mit deren Hilfe nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
Logbuchfunktion mittels derer verschiedene prozessuale Arbeitsschritte dokumentiert werden.
Auftragskontrolle, die sicherstellt, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden:
auftragsbezogene Logindaten der Mitarbeiter
Berechtigungskonzept
Dokumentation der Weisungen, Dokumentation der Ausführungen durch Logbuchfunktion
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
regelmäßige Mitarbeiterschulungen
Verfügbarkeitskontrolle, d.h. es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Backup in regelmäßigen Abständen
Berechtigungskonzept
Trennungsgebot, welches sicherstellt, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden getrennt verarbeitet werden können:
physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
