Auftragsverarbeitungsvertrag

„Verantwortlicher" bezeichnet den Kunden. „Auftragsverarbeiter" bezeichnet Appslab Ltd unter dem Handelsnamen Finovo. „Personenbezogene Daten", „Betroffene Person", „Verarbeitung", „Aufsichtsbehörde" haben die Bedeutungen gemäß der DSGVO.

Gegenstand

Bereitstellung von Cloud-Buchhaltungs- und Finanzverwaltungsdiensten über die Finovo-Plattform.

Laufzeit

Für die Dauer des Kundenabonnements zuzüglich etwaiger gesetzlicher Aufbewahrungsfristen.

Art und Zweck

Speicherung, Organisation, Abruf und Übermittlung von Finanzdaten, Rechnungen, Ausgabendaten, Lohndaten und steuerrelevanten Daten.

Arten personenbezogener Daten

Kontaktdaten (Name, E-Mail, Adresse), Finanztransaktionsdaten, Lohn- und Beschäftigungsdaten, Bankverbindungsdaten, Umsatzsteuer-IDs, Steuerreferenzen.

Kategorien betroffener Personen

Mitarbeiter, Auftragnehmer, Kunden, Lieferanten des Kunden und andere Personen, deren Daten auf der Plattform gespeichert werden.

• Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern keine gesetzliche Verpflichtung besteht.
• Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
• Geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten.
• Keine weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen (allgemeine Genehmigung für die in der Anlage aufgeführten Unterauftragsverarbeiter).
• Den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen unterstützen.
• Den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO unterstützen (Sicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
• Nach Beendigung des Vertrags alle personenbezogenen Daten löschen oder zurückgeben.
• Alle erforderlichen Informationen zum Nachweis der Einhaltung bereitstellen und Audits ermöglichen.

Der Verantwortliche erteilt eine allgemeine Genehmigung für die Beauftragung folgender Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen mit einem Vorlauf von mindestens 14 Tagen über beabsichtigte Änderungen.

Der Auftragsverarbeiter leistet angemessene Unterstützung, damit der Verantwortliche Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch) innerhalb der gesetzlichen Fristen erfüllen kann.

Der Auftragsverarbeiter unterhält folgende technische und organisatorische Sicherheitsmaßnahmen:

Soweit personenbezogene Daten in Drittländer ohne Angemessenheitsbeschluss übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln.

Der Verantwortliche kann nach schriftlicher Vorankündigung von mindestens 30 Tagen und höchstens einmal pro Kalenderjahr Audits der Verarbeitungstätigkeiten durchführen.

Der AVV endet mit dem Hauptvertrag. Nach Beendigung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 90 Tagen zurück.

Dieser AVV unterliegt englischem und walisischem Recht, vorbehaltlich zwingender datenschutzrechtlicher Vorschriften in der Zuständigkeit des Verantwortlichen.