Log in
SmsGateWay24Gateway for sending messages from your Android phone
knock knock knockin' on client's door...
Vertrag zur Auftragsverarbeitung (Muster)
zwischen
[Kunde / Verantwortlicher]
und
SmsGateWay24
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Plattform zum technischen Vorbereiten, Auslösen, Steuern, Dokumentieren oder Versenden von Nachrichten über vom Verantwortlichen eingesetzte Endgeräte, Rufnummern, SIM-Karten oder Messaging-Accounts.
Die Verarbeitung erfolgt für die Dauer des Hauptvertrags.
2. Art und Zweck der Verarbeitung
Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Protokollieren, Löschen.
Zweck: technische Bereitstellung der Plattform, Versandsteuerung, Authentifizierung, Fehleranalyse, Missbrauchsverhinderung, Support.
3. Kategorien betroffener Personen und Daten
Betroffene Personen: Kunden, Ansprechpartner des Kunden, Nachrichtempfänger, Nutzer der Endgeräte.
Datenkategorien: Stammdaten, Kontaktdaten, Telefonnummern, Nachrichteninhalte, Versand- und Statusdaten, Geräte- und Nutzungsdaten, Protokolldaten.
4. Weisungsrecht
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Verpflichtung zur Verarbeitung besteht.
5. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass mit der Verarbeitung befasste Personen zur Vertraulichkeit verpflichtet sind.
6. Technische und organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen sind in Anlage TOM beschrieben. Der Auftragsverarbeiter darf diese Maßnahmen weiterentwickeln, solange das Schutzniveau nicht unterschritten wird.
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz der in Anlage Unterauftragsverarbeiter genannten Unterauftragsverarbeiter. Über Änderungen wird der Verantwortliche vorab informiert und kann im gesetzlich vorgesehenen Umfang widersprechen.
8. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung von Betroffenenrechten, bei Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und behördlichen Anfragen, soweit dies aufgrund der Art der Verarbeitung erforderlich ist.
9. Löschung und Rückgabe
Nach Ende der Verarbeitung löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
10. Nachweise und Audits
Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten auf angemessene Weise nach und ermöglicht Audits im gesetzlich erforderlichen und wirtschaftlich zumutbaren Umfang.
Anlage 1 – Technische und organisatorische Maßnahmen (TOM)
| Maßnahme | Beschreibung |
|---|---|
| Zutrittskontrolle | Zugriff auf Server und Infrastruktur nur für autorisierte Personen. Hosting erfolgt in gesicherten Rechenzentren mit physischer Zugangskontrolle. |
| Zugangskontrolle | Zugriff auf Systeme erfolgt ausschließlich über authentifizierte Benutzerkonten mit sicheren Passwörtern. Optional Einsatz von Zwei-Faktor-Authentifizierung. |
| Zugriffskontrolle | Rollen- und Berechtigungskonzept stellt sicher, dass Nutzer nur auf die für sie notwendigen Daten zugreifen können. |
| Weitergabekontrolle | Datenübertragungen erfolgen verschlüsselt (z.B. HTTPS). Keine unbefugte Weitergabe personenbezogener Daten an Dritte. |
| Eingabekontrolle | Protokollierung von Systemzugriffen, API-Aufrufen und relevanten Aktionen zur Nachvollziehbarkeit von Datenverarbeitungsvorgängen. |
| Verfügbarkeitskontrolle | Einsatz von Backup-Strategien, Monitoring und Schutzmaßnahmen gegen Datenverlust sowie gegen unbefugte Zerstörung oder Veränderung. |
| Datentrennung | Logische Trennung von Kundendaten innerhalb der Systeme, sodass Daten verschiedener Kunden getrennt verarbeitet werden. |
| Verschlüsselung | Verschlüsselung der Datenübertragung (TLS/HTTPS). Speicherung sensibler Daten nur in notwendigem Umfang. |
| Datensparsamkeit | Verarbeitung personenbezogener Daten erfolgt nur im erforderlichen Umfang zur Bereitstellung der Plattformfunktionen. |
| Löschkonzept | Daten werden nach Wegfall des Zwecks oder auf Weisung des Verantwortlichen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. |
| Incident Response | Verfahren zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen einschließlich Benachrichtigung im Falle von Datenschutzverletzungen. |
| Wartung und Updates | Regelmäßige Aktualisierung von Software und Systemkomponenten zur Behebung von Sicherheitslücken. |
Anlage 2 – Unterauftragsverarbeiter
| Name | Standort | Leistung | Datenkategorien |
|---|---|---|---|
| Hosting Provider (z.B. Hetzner / AWS / andere) | EU / ggf. Drittland | Bereitstellung der Serverinfrastruktur und Speicherung der Daten | Nutzerdaten, Nachrichteninhalte, Metadaten, Logdaten |
| Google (Google Analytics) | EU / USA | Analyse des Nutzerverhaltens (nur bei Einwilligung) | Nutzungsdaten, IP-Adresse (gekürzt), Geräteinformationen |
| Sentry | EU / USA | Fehleranalyse und Monitoring der Plattform | Technische Logdaten, Fehlerberichte (können personenbezogene Daten enthalten) |
| E-Mail-Dienstleister (z.B. Mailgun / SES / andere) | EU / ggf. Drittland | Versand von System- und Transaktions-E-Mails | E-Mail-Adresse, technische Versanddaten |
Der Einsatz weiterer Unterauftragsverarbeiter ist zulässig, sofern die gesetzlichen Anforderungen eingehalten werden. Der Verantwortliche wird über wesentliche Änderungen informiert.