Auftragsverarbeitungsvertrag

Artikel 1 — Parteien und Definitionen

• Verantwortlicher ("Kunde"): Kunde, der Personendaten über Smart-Verkoop verarbeitet.
• Auftragsverarbeiter ("Smart-Verkoop"): Smart-Verkoop, HR 95488294.
• Personendaten: gemäß Art. 4(1) DSGVO.
• Betroffene: Endkunden/Käufer deren Daten verarbeitet werden.
• Unterauftragsverarbeiter: von Smart-Verkoop beauftragte Dritte.

Artikel 2 — Gegenstand und Dauer

2.1 Beginn bei Plattform-Nutzung; Ende bei Abo-Kündigung.

2.2 Smart-Verkoop verarbeitet nur auf schriftliche Weisung.

Artikel 3 — Kategorien Betroffener und Daten

Betroffene: Endkunden/Käufer bei bol.com/Amazon, Rezensenten, B2B-Kontakte.

Daten: Name, E-Mail, Adresse, Telefon, Transaktionsdaten, Bestellungen, Bewertungen, begrenzte Zahlungsinfo (keine CC-Nummern), IP-Adressen wenn verfügbar.

Keine besonderen Kategorien (Art. 9 DSGVO).

Artikel 4 — Zwecke und Weisungen

4.1 Zwecke: Anzeige Bestellungen/Lager/Kundeninfo, Umsatz/Gewinn-Berechnung, Berichte, Bewertungen, historische Daten, Support.

4.2 Nur schriftliche Weisungen. Allgemeine Weisung über Plattform-Nutzung.

4.3 Smart-Verkoop informiert bei DSGVO-widrigen Weisungen.

Artikel 5 — Pflichten Auftragsverarbeiter

5.1 Verschwiegenheit aller Mitarbeiter.

5.2 Angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO).

5.3 Mitwirkung bei Anfragen, DPIAs, Audits.

5.4 Alle Informationen für DSGVO-Einhaltung verfügbar.

Artikel 6 — Sicherheit

Technisch: SSL/TLS, bcrypt Passwörter, verschlüsselte Tokens, Multi-Tenant-Isolation, Firewalls, Rate Limiting, SQL/XSS/CSRF-Schutz, Logging, Backups.

Organisatorisch: beschränkter Zugang, Passwortrichtlinie, Incident Response, periodische Reviews, Verschwiegenheit, Awareness-Training.

Artikel 7 — Unterauftragsverarbeiter

7.1 Aktuelle Unterauftragsverarbeiter:

7.2 Änderung: 30 Tage Vorankündigung, Widerspruchsrecht.

7.3 Gleiche Pflichten für Unterverarbeiter, Smart-Verkoop bleibt haftbar.

Artikel 8 — Rechte der Betroffenen

8.1 Kunde primär verantwortlich für DSGVO-Anfragen.

8.2 Smart-Verkoop angemessene Unterstützung binnen 14 Tagen.

8.3 Direktkontakt Betroffener: Verweis an Kunden.

Artikel 9 — Datenlecks

9.1 Meldung an Kunden ohne unangemessene Verzögerung, binnen 48 Stunden.

9.2 Enthält: Art, Ursache, Anzahl, Folgen, Maßnahmen, Kontakt, Beratung.

9.3 Unterstützung bei DSB-Meldung und Betroffenen-Kommunikation.

Artikel 10 — Internationale Übermittlung

Nur innerhalb EU/EWR. Übermittlung nur mit Angemessenheitsbeschluss, SCCs, BCRs oder DSGVO Art. 46-49.

Artikel 11 — Audit

11.1 Max 1 Audit pro Jahr, auf Kundenkosten, 30 Tage Vorankündigung.

11.2 Auditor unterzeichnet NDA, kein Zugang zu anderen Kundendaten.

11.3 Alternative: aktueller Audit-Bericht oder Zertifizierung.

Artikel 12 — Ende des Vertrags

12.1 Gelöscht oder zurückgegeben binnen 30 Tagen (Kundenwahl).

12.2 Backups binnen 90 Tagen überschrieben.

12.3 Ausnahme: gesetzliche Aufbewahrungspflicht.

12.4 Export in strukturiertem, maschinenlesbarem Format (JSON/CSV).

Artikel 13 — Haftung

Wie in AGB. Jede Partei eigener Anteil gemäß Art. 82 DSGVO.

Artikel 14 — Schlussbestimmungen

14.1 Bei Konflikt hat dieser Vertrag Vorrang für Personendaten.

14.2 Änderungen 30 Tage vorher.

14.3 Niederländisches Recht, zuständiges Gericht Sitz Smart-Verkoop.

Anhang A — Sicherheitsmaßnahmen

• Zugang: RBAC, starke Passwörter, Sitzungs-Timeout, Lockout, Audit-Logs
• Transit: TLS 1.2+, HSTS, API-Verschlüsselung
• Ruhend: bcrypt Passwörter, verschlüsselte Tokens, .htaccess-Schutz, verschlüsselte Backups
• Infrastruktur: Firewalls, DDoS-Schutz, Updates, Monitoring
• Betrieb: Incident Response, Backup-Tests, Change Management, Security Reviews, Awareness-Training

Kontakt

E-Mail: info@smart-verkoop.com (Betreff: "Auftragsverarbeitungsvertrag") | HR: 95488294