Auftragsverarbeitungsvertrag (AVV)
Dieser AVV gilt automatisch für alle NEXUS-Nutzer ab dem Zeitpunkt der Registrierung. Durch die aktive Nutzung von NEXUS stimmen Sie diesem Vertrag zu.
1. Vertragsparteien
Auftraggeber (Verantwortlicher): Der jeweilige NEXUS-Nutzer (Unternehmen oder natürliche Person, die NEXUS zur Verwaltung personenbezogener Daten Dritter nutzt).
Auftragsverarbeiter: Mike John Edgar Erich Dietrich · SemiSlick · Rosenweg 3 · 61381 Bad Homburg vor der Höhe · nexus.official.control@gmail.com
2. Gegenstand und Dauer
Der Auftragsverarbeiter stellt dem Auftraggeber die cloudbasierte Plattform NEXUS zur Verfügung. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers. Die Dauer entspricht dem Nutzungsvertrag.
3. Art der Daten und Betroffenenkreis
| Datenkategorie | Betroffene Personen | Verarbeitungszweck |
|---|---|---|
| Kontaktdaten | Kunden, Lieferanten | CRM, Rechnungsstellung |
| Buchhaltungsdaten | Geschäftspartner | Kassenbuch, Rechnungen |
| Mitarbeiterdaten | Arbeitnehmer | Zeiterfassung, Lohnvorbereitung |
| Fahrzeug-/Fahrerdaten | Mitarbeiter, Kunden | Fuhrpark, Taxi, Logistik |
| Gesundheitsdaten (§9 DSGVO) | Patienten | Krankenfahrten (nur mit expliziter Einwilligung) |
| Kundendaten | Endkunden | Shop, Buchungen, Support |
4. Pflichten des Auftragsverarbeiters
SemiSlick verpflichtet sich:
- Daten nur auf dokumentierte Weisung zu verarbeiten (Art. 28 Abs. 3 lit. a)
- Vertraulichkeit aller Personen sicherzustellen, die Zugang zu den Daten haben (Art. 28 Abs. 3 lit. b)
- Alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen (Art. 32)
- Unterauftragsverarbeiter nur mit Zustimmung einzusetzen (Art. 28 Abs. 2)
- Bei der Wahrnehmung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e)
- Nach Beendigung alle Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g)
- Alle erforderlichen Informationen bereitzustellen und Prüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h)
5. Technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO
- Verschlüsselung: TLS 1.3 für alle Übertragungen, AES-256 für Backups
- Zugriffskontrolle: JWT-Auth, TOTP-2FA, rollenbasierte Berechtigungen
- Pseudonymisierung: Interne IDs statt Klartextdaten in Logs
- Verfügbarkeit: Tägliche Backups, 99% Verfügbarkeitsziel
- Belastbarkeit: Monitoring, automatische Alerts, Notfallplan
- Wiederherstellung: Restore-Test 13.06.2026 bestanden (70 Tabellen)
- Prüfverfahren: Audit-Logs für alle sensitiven Operationen
- Hosting: Hetzner Online GmbH, Rechenzentrum Deutschland (NBG1)
6. Unterauftragsverarbeiter
| Anbieter | Sitz | Zweck | Datentransfer-Basis |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Server-Hosting | EU (kein Transfer) |
| Stripe Inc. | USA | Zahlungsabwicklung | EU-Standardvertragsklauseln |
| Resend Inc. | USA | E-Mail-Versand | EU-Standardvertragsklauseln |
Änderungen bei Unterauftragsverarbeitern werden 30 Tage vorab per E-Mail mitgeteilt. Der Auftraggeber hat ein Widerspruchsrecht.
7. Datenpannen (Art. 33 DSGVO)
Bei Feststellung einer Datenpanne wird SemiSlick den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, informieren. Der Auftraggeber ist für die Meldung an die Aufsichtsbehörde (Art. 33) und ggf. an Betroffene (Art. 34) verantwortlich.
8. Weisungsrecht
Der Auftraggeber kann jederzeit Weisungen erteilen. Weisungen sind schriftlich an nexus.official.control@gmail.com zu richten. Weisungen, die gegen geltendes Recht verstoßen, werden abgelehnt; SemiSlick informiert den Auftraggeber unverzüglich.
9. Löschung und Rückgabe
Nach Vertragsbeendigung werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen gelöscht. Auf Anfrage wird eine Löschbestätigung ausgestellt. Gesetzliche Aufbewahrungspflichten (HGB, AO) bleiben unberührt — entsprechende Daten werden anonymisiert.