Auftragsverarbeitungsvertrag (AVV)

(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten der Parteien zum Datenschutz, die sich aus der Nutzung der velth-Plattform durch den Kunden (der „Verantwortliche“) ergeben. velth verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen im Sinne des Art. 28 DSGVO.

(2) Die Laufzeit dieses AVV entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag / AGB). Er endet automatisch mit dessen Beendigung, vorbehaltlich fortbestehender Pflichten zu Löschung und Vertraulichkeit.

(3) Bei Widersprüchen gehen die Regelungen dieses AVV den Bestimmungen des Hauptvertrags in Bezug auf die Auftragsverarbeitung vor.

(1) Gegenstand der Verarbeitung ist die Erstellung, Strukturierung und Verwaltung von Arbeitsschutz-Dokumentation (insbesondere Gefährdungsbeurteilungen) sowie damit verbundener Dienste der velth-Plattform.

(2) Art der personenbezogenen Daten:

• Kontakt- und Stammdaten (Name, dienstliche E-Mail, Rolle/Funktion)
• Inhalte, die der Verantwortliche eingibt oder hochlädt (Dokumente, Bilder, Beschreibungen)
• in Nachweisen ggf. enthaltene Beschäftigtendaten
• Nutzungs- und Protokolldaten im für den Betrieb erforderlichen Umfang

(3) Kategorien betroffener Personen:

• Mitarbeitende und Beauftragte des Verantwortlichen
• Ansprechpartner und Nutzer des Verantwortlichen
• sonstige Personen, deren Daten der Verantwortliche in die Plattform einbringt

(4) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung; der Verantwortliche stellt sicher, solche Daten nur einzubringen, soweit dies rechtlich zulässig und für den Zweck erforderlich ist.

(1) velth verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern nicht eine gesetzliche Verpflichtung etwas anderes erfordert.

(2) Die Bedienung der Plattform durch den Verantwortlichen gilt als Einzelweisung. Weitere Weisungen erfolgen in Textform an kontakt@velth.io.

(3) velth informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach Auffassung von velth gegen datenschutzrechtliche Vorschriften verstößt.

velth verpflichtet sich insbesondere:

• zur Vertraulichkeit und zur Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO)
• zur Umsetzung und Einhaltung technischer und organisatorischer Maßnahmen nach § 5
• zur Unterstützung des Verantwortlichen nach § 7
• zur Meldung von Datenschutzverletzungen nach § 8
• zur Löschung oder Rückgabe der Daten nach § 9
• zur Bereitstellung der für Nachweise erforderlichen Informationen nach § 10

velth trifft dem Stand der Technik entsprechende Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten, insbesondere:

• Verschlüsselung in der Übertragung (TLS) und Verschlüsselung sensibler gespeicherter Inhalte
• Zugriffskontrolle über Authentifizierung, rollenbasierte Berechtigungen und Mandantentrennung
• Pseudonymisierung und Datenminimierung, wo möglich
• Protokollierung sicherheitsrelevanter Zugriffe
• regelmäßige Sicherung sowie Verfahren zur Wiederherstellung der Verfügbarkeit
• Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen

Eine jeweils aktuelle Beschreibung der Maßnahmen wird dem Verantwortlichen auf Anfrage bereitgestellt.

(1) Der Verantwortliche erteilt velth die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Eingesetzt werden derzeit insbesondere:

• Supabase, Inc. Datenbank und Authentifizierung (EU-Hosting)
• Render Services, Inc. API-Hosting (EU-Region)
• Vercel, Inc. Frontend-Hosting
• Anthropic, Inc. KI-Verarbeitung (USA, Garantien nach Art. 46 DSGVO)
• PostHog Produktanalyse (EU-Hosting, nur mit Einwilligung)
• Meta Platforms Ireland / WhatsApp nur bei Nutzung des WhatsApp-Kanals

(2) velth verpflichtet jeden Unterauftragsverarbeiter auf datenschutzrechtliche Pflichten, die den Pflichten dieses AVV entsprechen (Art. 28 Abs. 4 DSGVO).

(3) velth informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann begründet widersprechen.

(1) velth unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nach Art. 28 Abs. 3 lit. e DSGVO.

(2) velth unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der velthvorliegenden Informationen.

velth meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Erfüllung der Pflichten des Verantwortlichen nach Art. 33 und 34 DSGVO erforderlichen Informationen bereit.

Nach Abschluss der Verarbeitung löscht velth die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO). Ein Export der Kundendokumente ist über die Plattform möglich.

velth stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO). Überprüfungen werden rechtzeitig angekündigt und so durchgeführt, dass der Betrieb nicht unverhältnismäßig beeinträchtigt wird.

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen des Hauptvertrags (insbesondere § 13 der AGB), soweit gesetzlich zulässig.

(1) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, der Sitz von velth.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.