Auftragsverarbeitungsvertrag

§ 1 Vertragsgegenstand und Dauer

Der Auftragsverarbeiter (Christian Seifert, Anbieter von Florique) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Florist) zum Zweck des Betriebs eines Online-Shops für Blumen und Floristikprodukte.

Der AVV gilt für die Dauer des Nutzungsvertrags. Nach Vertragsende werden alle personenbezogenen Daten des Floristen und seiner Kunden innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art der Daten und betroffene Personen

Verarbeitete Datenkategorien:

• Kontaktdaten (Name, E-Mail, Telefonnummer, Adresse) der Endkunden des Floristen
• Bestelldaten (Produkte, Mengen, Preise, Lieferdaten)
• Zahlungsinformationen (nur Status/Referenz — Zahlungsdaten selbst verarbeitet Stripe)
• Kommunikationsdaten (Bestellnotizen, Kontaktanfragen)
• Technische Daten (IP-Adressen, Session-Daten zur Sicherheit)

Betroffene Personen: Endkunden des Floristen sowie der Florist selbst.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 29 DSGVO)
• Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen
• Keine weiteren Auftragsverarbeiter ohne Genehmigung des Verantwortlichen einzusetzen (siehe § 5)
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung etc.) zu unterstützen
• Nach Vertragsende alle Daten zu löschen oder zurückzugeben
• Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Artikels zur Verfügung zu stellen

§ 4 Technische und organisatorische Maßnahmen (TOM)

Folgende Maßnahmen sind umgesetzt:

• Verschlüsselung: Alle Datenübertragungen über HTTPS/TLS 1.3; Datenbankverschlüsselung at rest
• Zugriffskontrolle: Multi-Tenancy-Isolation — jeder Florist sieht ausschließlich eigene Daten
• Authentifizierung: Florist-Dashboard mit Clerk (OAuth2/JWT), Rate Limiting auf allen APIs
• Datensparsamkeit: Nur für Bestellabwicklung notwendige Daten werden erhoben
• Verfügbarkeit: Hosting auf Vercel (ISO 27001 zertifiziert), Neon PostgreSQL (SOC 2 Type II)
• Backups: Automatische Datenbankbackups durch Neon (kontinuierlich, 7-Tage-Retention)
• Incident Response: Sicherheitsvorfälle werden dem Verantwortlichen unverzüglich (spätestens 24h) gemeldet

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt mit Abschluss des Nutzungsvertrags die allgemeine Genehmigung für den Einsatz folgender Unterauftragsverarbeiter. Änderungen werden mit 30-Tage-Vorlauf mitgeteilt.

SCCs = EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

§ 6 Weisungsrecht

Der Verantwortliche kann jederzeit Weisungen zur Datenverarbeitung erteilen (z.B. Löschung bestimmter Kundendaten). Weisungen erfolgen schriftlich per E-Mail an datenschutz@blumenplattform.com. Weisungen, die gegen geltendes Recht verstoßen würden, wird der Auftragsverarbeiter nicht ausführen und den Verantwortlichen unverzüglich informieren.

§ 7 Datenlöschung nach Vertragsende

Nach Kündigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Floristen auf Anfrage einen Datenexport (CSV) aller Kundendaten und Bestellungen zur Verfügung. Der Export kann bis zu 14 Tage nach Vertragsende beantragt werden. Danach werden alle Daten unwiderruflich gelöscht.

§ 8 Kontakt Datenschutz

Bei Fragen zu diesem AVV oder zur Datenverarbeitung wende dich an: datenschutz@blumenplattform.com