gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) – Stand: Januar 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung der CRM-Software Ent1pro.

(2) Die Verarbeitung beginnt mit der Freischaltung des Kundenkontos und endet mit der vollständigen Löschung aller Daten nach Beendigung des Hauptvertrags.

(3) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags über die Nutzung der Software.

§ 2 Art und Zweck der Verarbeitung

(1) Die Art der Verarbeitung umfasst:

• Erhebung und Speicherung von Daten
• Organisation und Strukturierung von Daten
• Anpassung und Veränderung von Daten
• Abfrage und Verwendung von Daten
• Offenlegung durch Übermittlung (an den Auftraggeber)
• Löschung und Vernichtung von Daten

(2) Zweck der Verarbeitung ist die Bereitstellung einer cloudbasierten CRM-Software zur Verwaltung von Kundenbeziehungen, Aufträgen und Geschäftsprozessen des Auftraggebers.

§ 3 Art der personenbezogenen Daten

Die Verarbeitung betrifft folgende Arten personenbezogener Daten:

• Stammdaten (Name, Firma, Anschrift)
• Kontaktdaten (Telefonnummer, E-Mail-Adresse)
• Auftragsdaten (Leistungsbeschreibungen, Termine, Preise)
• Kommunikationsdaten (Notizen, Korrespondenz, Gesprächsprotokolle)
• Vertragsdaten (Angebote, Rechnungen)

§ 4 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

• Kunden und Interessenten des Auftraggebers
• Ansprechpartner und Kontaktpersonen bei Geschäftspartnern
• Mitarbeiter des Auftraggebers (soweit in der Software erfasst)

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer anderen Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenpannen, Datenschutz-Folgenabschätzung).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III der DSGVO.

(6) Der Auftragnehmer löscht oder gibt nach Wahl des Auftraggebers alle personenbezogenen Daten nach Abschluss der Auftragsverarbeitung zurück und löscht vorhandene Kopien, sofern nicht eine Verpflichtung zur Speicherung besteht.

(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen implementiert:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO):

• Zutrittskontrolle: Serverstandort in zertifizierten Rechenzentren in Deutschland mit physischen Zugangskontrollen
• Zugangskontrolle: Verschlüsselte Passwörter, Zwei-Faktor-Authentifizierung für administrative Zugänge
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Mandantentrennung
• Trennungskontrolle: Logische Trennung der Daten verschiedener Auftraggeber

Integrität (Art. 32 Abs. 1 lit. b DSGVO):

• Weitergabekontrolle: SSL/TLS-Verschlüsselung aller Datenübertragungen
• Eingabekontrolle: Protokollierung aller Dateneingaben und -änderungen (Audit-Log)

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO):

• Verfügbarkeitskontrolle: Tägliche automatische Backups durch ALL-INKL.COM, Aufbewahrung für mindestens 7 Tage, redundante Serversysteme
• Rasche Wiederherstellbarkeit: Dokumentierte Wiederherstellungsprozeduren, Backup-Restore innerhalb von 24 Stunden möglich

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO):

• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
• Incident-Response-Prozess für Sicherheitsvorfälle

§ 7 Unterauftragnehmer

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

(2) Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragsverarbeiter eingesetzt:

Mit ALL-INKL.COM wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Das Rechenzentrum befindet sich ausschließlich in Deutschland.

(3) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem Grund Einspruch erheben.

(4) Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem Vertrag festgelegt.

§ 8 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte betroffener Personen verantwortlich.

(2) Der Auftraggeber erteilt alle Weisungen in Textform (E-Mail genügt).

(3) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und die vertraglichen Vereinbarungen beim Auftragnehmer zu kontrollieren. Dies kann durch Einholung von Auskünften, Vorlage von Nachweisen oder – nach angemessener Vorankündigung – durch Vor-Ort-Kontrollen erfolgen.

(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 9 Meldepflichten bei Datenpannen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung erfolgt an die bei der Registrierung angegebene E-Mail-Adresse des Auftraggebers und enthält mindestens folgende Informationen:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen.

§ 10 Beendigung und Datenrückgabe

(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber 30 Tage Zeit, seine Daten über die Exportfunktion der Software zu sichern.

(2) Nach Ablauf dieser Frist löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(3) Auf Verlangen des Auftraggebers bestätigt der Auftragnehmer die vollständige Löschung in Textform.

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

(4) Dieser Auftragsverarbeitungsvertrag ist Bestandteil des Hauptvertrags über die Nutzung der Software Ent1pro.