Auftragsverarbeitungsvereinbarung (AVV)

Diese AVV ergänzt die vom Kunden akzeptierten Allgemeinen Geschäftsbedingungen für cinifyCORE oder cinifyOS ("Hauptvertrag").

Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.

Im Falle eines Widerspruchs zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV vor, soweit die Verarbeitung personenbezogener Daten betroffen ist.

Im Übrigen gelten die Regelungen des Hauptvertrags.

cinify verarbeitet personenbezogene Daten ausschließlich im Rahmen der Bereitstellung, des Betriebs, Supports und der Wartung der SaaS-Dienste.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden.

Die Verarbeitung dauert für die Laufzeit des Hauptvertrags.

Die Verarbeitung umfasst insbesondere:

• Hosting und Speicherung von Daten
• Datenanalyse und -visualisierung
• Bereitstellung von Dashboards und Reports
• technische Administration
• Support- und Wartungsleistungen
• Datensicherung

Die Verarbeitung dient ausschließlich der Erfüllung des Hauptvertrags.

Abhängig von der Nutzung können insbesondere folgende Daten verarbeitet werden:

cinify verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.

Weisungen können in Textform oder über das Service-/Ticket-System erfolgen.

Hält cinify eine Weisung für rechtswidrig, informiert cinify den Kunden unverzüglich.

cinify stellt sicher, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind.

Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

Soweit Gesundheitsdaten oder Daten im Sinne von § 203 StGB betroffen sind, stellt cinify eine entsprechende Verpflichtung sicher.

cinify trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Diese umfassen insbesondere:

• verschlüsselte Datenübertragung (TLS)
• rollenbasiertes Berechtigungskonzept
• Zugriffsbeschränkung auf autorisierte Personen
• Protokollierung administrativer Zugriffe
• regelmäßige Datensicherungen (mindestens täglich)
• Monitoring- und Incident-Management-Prozesse
• Trennung von Produktiv- und Testumgebungen
• Hosting innerhalb Deutschlands
• Notfall- und Wiederherstellungskonzepte

cinify ist berechtigt, diese Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

Eine vollständige Übersicht aller technischen und organisatorischen Maßnahmen finden Sie hier .

cinify setzt Unterauftragsverarbeiter ein.

Zum Zeitpunkt des Vertragsschlusses sind dies:

• 1&1 IONOS SE (Hosting, Deutschland/EU)
• akenes SA / Exoscale (Hosting, Schweiz)

Mit Annahme dieser AVV erteilt der Kunde seine allgemeine Zustimmung zum Einsatz dieser Unterauftragsverarbeiter.

cinify informiert über Änderungen mindestens 30 Tage im Voraus.

Der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Erfolgt eine Verarbeitung außerhalb der EU/des EWR, stellt cinify geeignete Garantien gemäß Art. 44 ff. DSGVO sicher.

cinify unterstützt den Kunden im Rahmen des Zumutbaren bei:

• der Erfüllung von Betroffenenrechten
• Datenschutz-Folgenabschätzungen
• Meldungen von Datenschutzverletzungen
• Konsultationen mit Aufsichtsbehörden

Datenschutzverletzungen werden dem Kunden unverzüglich gemeldet.

Der Kunde ist berechtigt, die Einhaltung dieser AVV zu überprüfen.

cinify stellt geeignete Nachweise zur Verfügung (z. B. Beschreibung der TOM).

Vor-Ort-Audits sind nach angemessener Vorankündigung zulässig, sofern sie den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

Nach Beendigung des Hauptvertrags löscht cinify personenbezogene Daten oder gibt sie dem Kunden zurück, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Ein Löschprotokoll wird auf Anfrage bereitgestellt.

Diese AVV wird durch elektronische Zustimmung im Rahmen des Self-Onboardings verbindlich abgeschlossen.

Die Zustimmung wird von cinify protokolliert.