Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO · zwischen Anbieter:in (Verantwortliche:r) und ‹Betreiber› (Auftragsverarbeiter).
§ 1 Gegenstand & Dauer
Verarbeitung personenbezogener Daten der Endkund:innen des Verantwortlichen ausschließlich zur Erbringung der Kursnest-Leistung. Dauer = Laufzeit des Hauptvertrags.
§ 2 Art, Zweck, Daten, Betroffene
Speicherung/Verwaltung von Buchungs-, Kurs-, Mitgliedschafts- und Rechnungsdaten; Datenkategorien: Stammdaten, Buchungs-/Teilnahmedaten, Zahlungsstatus/-referenz; Betroffene: Endkund:innen.
§ 3 Weisungsbindung
Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Nutzung/Konfiguration = Weisung).
§ 4 Vertraulichkeit
Auf Vertraulichkeit verpflichtete Beschäftigte (Art. 28 (3) b, Art. 29).
§ 5 Technisch-organisatorische Maßnahmen (Art. 32)
Mandantengetrennte Verarbeitung via Row-Level-Security (fail-closed), TLS-Verschlüsselung, Passwort-Hashing (argon2), Zugriffskontrolle, verschlüsselte Offsite-Backups, Protokollierung.
§ 6 Unterauftragsverarbeiter
Zulässig mit genereller Genehmigung; aktuelle Liste (Hosting ‹Hetzner›, Zahlung ‹Mollie/EU›, E-Mail ‹SMTP›). Änderungen mit Vorlauf + Widerspruchsrecht.
§ 7 Unterstützung & Datenpannen
Unterstützung bei Betroffenenrechten und Art. 32–36; Meldung von Datenpannen unverzüglich an den Verantwortlichen.
§ 8 Löschung/Rückgabe
Nach Vertragsende Rückgabe (Datenexport) und Löschung, soweit keine gesetzliche Aufbewahrung entgegensteht (Rechnungen 10 J., § 147 AO).
§ 9 Nachweise/Audit
Bereitstellung von Nachweisen und Ermöglichung von Prüfungen (Art. 28 (3) h).