Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

einschließlich Anlage 1 – Technische und Organisatorische Maßnahmen (TOM)
zwischen
Warony UG (haftungsbeschränkt) i. G.
Ron Walter
Lindenweg 11
87647 Kraftisried
Deutschland
– nachfolgend „Auftragsverarbeiter“ –
und
dem jeweiligen Kunden / Vertragspartner von Warony
– nachfolgend „Verantwortlicher“ –
wird folgender Vertrag geschlossen.

1. Gegenstand des Vertrages
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
Die Verarbeitung erfolgt im Rahmen der Nutzung der Softwareplattform Warony, insbesondere über:
www.warony.de
app.warony.de
APIs
mobile Anwendungen
Zusatzmodule
zukünftige Erweiterungen
Warony ist eine cloudbasierte Business-Plattform für:
CRM / Kundenverwaltung
Dokumentenmanagement
Kalender- und Terminverwaltung
Projekt- und Aufgabenmanagement
Mitarbeiterverwaltung
Zeiterfassung
Payroll / Lohnabrechnung
interne Kommunikation
Reporting

2. Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Hauptvertrages.
Mit Beendigung des Hauptvertrages endet grundsätzlich auch die Auftragsverarbeitung, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

3. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere:
Erhebung
Speicherung
Organisation
Strukturierung
Anpassung
Bereitstellung
Abruf
Übermittlung
Archivierung
Löschung
Zweck der Verarbeitung ist ausschließlich die Bereitstellung und der Betrieb von Warony im Auftrag des Verantwortlichen.

4. Kategorien personenbezogener Daten
Je nach Nutzung können insbesondere folgende Daten verarbeitet werden.
Kundendaten
Namen
Anschriften
Firmenbezeichnungen
Telefonnummern
E-Mail-Adressen
Kommunikationsdaten
Angebots- und Auftragsdaten
Mitarbeiterdaten
Personalstammdaten
Verträge
Abwesenheiten
Arbeitszeiten
Krankmeldungen
Payroll-Daten
Gehaltsdaten
Steuerdaten
Sozialversicherungsdaten
Bankdaten
Lohnabrechnungen
Dokumentendaten
Verträge
Rechnungen
Nachweise
Upload-Dateien
Technische Daten
IP-Adressen
Login-Daten
Audit Logs
Session-Daten

5. Kategorien betroffener Personen
Von der Verarbeitung können betroffen sein:
Kunden
Interessenten
Mitarbeiter
Bewerber
Lieferanten
Ansprechpartner
Dienstleister

6. Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für:
die Rechtmäßigkeit der Datenverarbeitung
die Einhaltung aller gesetzlichen Anforderungen
die Erteilung zulässiger Weisungen
die Erfüllung von Informationspflichten gegenüber Betroffenen
Der Verantwortliche bestätigt, nur rechtmäßig erhobene Daten zu verarbeiten.

7. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
Daten nur auf dokumentierte Weisung zu verarbeiten
keine Verarbeitung zu eigenen Zwecken vorzunehmen
Vertraulichkeit sicherzustellen
Sicherheitsmaßnahmen umzusetzen
Datenschutzverletzungen zu melden
Betroffenenrechte zu unterstützen
Daten nach Vertragsende zu löschen oder zurückzugeben

8. Vertraulichkeit
Warony stellt sicher, dass alle zur Verarbeitung befugten Personen:
auf Vertraulichkeit verpflichtet sind
oder
einer gesetzlichen Geheimhaltungspflicht unterliegen
Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

9. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.
Die konkret umgesetzten Maßnahmen ergeben sich aus Anlage 1 dieses Vertrages.

10. Unterauftragsverarbeiter
Warony ist berechtigt, Unterauftragsverarbeiter einzusetzen.
Hierzu zählen insbesondere:
Hosting-Anbieter
Cloud-Dienstleister
Backup-Anbieter
Monitoring-Dienste
Sicherheitsdienste
Alle Unterauftragsverarbeiter werden vertraglich auf ein angemessenes Datenschutzniveau verpflichtet.

11. Betroffenenrechte
Warony unterstützt den Verantwortlichen bei der Erfüllung gesetzlicher Pflichten gegenüber Betroffenen, insbesondere bei:
Auskunft
Berichtigung
Löschung
Einschränkung
Datenübertragbarkeit
Widerspruch

12. Sicherheitsvorfälle
Warony informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen oder Sicherheitsvorfälle, soweit Daten des Verantwortlichen betroffen sind.
Die Meldung enthält soweit möglich:
Art des Vorfalls
betroffene Daten
potenzielle Risiken
Gegenmaßnahmen

13. Kontrollrechte
Der Verantwortliche darf die Einhaltung dieses Vertrages in angemessenem Umfang prüfen.
Dies kann erfolgen durch:
Dokumentationsprüfung
Selbstauskunft
Audit nach Abstimmung
Betriebs- und Geschäftsgeheimnisse von Warony sind dabei zu schützen.

14. Rückgabe und Löschung
Nach Vertragsende werden personenbezogene Daten auf Weisung des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Backups werden im Rahmen regulärer Löschzyklen entfernt.

15. Haftung
Es gelten die Haftungsregelungen des Hauptvertrages sowie die gesetzlichen Bestimmungen der DSGVO.

16. Schlussbestimmungen
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.
Es gilt deutsches Recht.

Anlage 1 – Technische und Organisatorische Maßnahmen (TOM)
1. Zutrittskontrolle
Warony setzt Maßnahmen ein, um unbefugten physischen Zutritt zu verhindern.
Hierzu gehören:
gesicherte Rechenzentren
physische Zugangskontrollen
kontrollierter Zutritt für autorisierte Personen

2. Zugangskontrolle
Zur Verhinderung unbefugter Systemnutzung nutzt Warony:
Benutzerkonten
sichere Passwortanforderungen
Passwort-Hashing
Session-Schutz
MFA (optional)
Schutz vor Brute-Force-Angriffen

3. Zugriffskontrolle
Warony nutzt ein fein granular aufgebautes Rechtekonzept:
Rollenmodell
ACL-System
Dokumentenfreigaben
tenantbasierte Isolation
modulbasierte Berechtigungen
Besonders geschützte Bereiche:
HR
Payroll
Dokumente
Krankmeldungen

4. Weitergabekontrolle
Zum Schutz übertragener Daten verwendet Warony:
TLS-/HTTPS-Verschlüsselung
sichere APIs
signierte Download-URLs
temporäre Tokens
geschützte Uploads

5. Eingabekontrolle
Sicherheitsrelevante Aktionen werden protokolliert:
Login / Logout
Datenänderungen
Uploads
Rollenänderungen
Payroll-Finalisierung
Admin-Aktionen
Audit-Logs enthalten:
User-ID
Zeitstempel
Aktion
betroffenes Objekt

6. Auftragskontrolle
Warony verarbeitet Daten ausschließlich gemäß Weisung des Verantwortlichen.
Sichergestellt durch:
AV-Verträge
dokumentierte Prozesse
kontrollierte Adminrechte
Vertraulichkeitsverpflichtungen

7. Verfügbarkeitskontrolle
Zum Schutz vor Verlust und Ausfall nutzt Warony:
regelmäßige Backups
Monitoring
Wiederherstellungsprozesse
Redundanz (infrastrukturabhängig)
Incident Response

8. Trennungsgebot
Warony gewährleistet die Trennung von Mandanten durch:
logische Mandantentrennung
tenantbasierte Datenfilter
getrennte Berechtigungen
isolierte Dokumentenzugriffe

9. Verschlüsselung
Warony schützt sensible Daten durch:
Transportverschlüsselung
sichere Passwortspeicherung
Token-Schutz
Dokumentenschutz
Besonders geschützt:
Payroll-Daten
Bankdaten
Steuerdaten
Personalakten

10. Wiederherstellbarkeit
Warony verfügt über Notfall- und Wiederherstellungsprozesse.
Hierzu zählen:
Backups
Restore-Prozesse
Recovery-Pläne
Notfallmanagement

11. Belastbarkeit
Zur Sicherstellung stabiler Systeme verwendet Warony:
Monitoring
Lastüberwachung
Fehlertracking
Ressourcenanalyse

12. Sicherheitsmanagement
Warony betreibt kontinuierliches Sicherheitsmanagement:
Security Reviews
Patch-Management
Updates
Schwachstellenbehebung
Zugriffskontrollen

13. Incident Response
Bei Sicherheitsvorfällen existieren definierte Prozesse:
Erkennung
Bewertung
Eindämmung
Analyse
Dokumentation
Kundenbenachrichtigung

14. Mitarbeitersensibilisierung
Personen mit Datenzugriff werden verpflichtet auf:
Vertraulichkeit
Datenschutz
sichere Verarbeitung
Zugriffsbeschränkungen

15. Regelmäßige Überprüfung
Die Wirksamkeit der TOM wird regelmäßig überprüft und bei Bedarf angepasst.