Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten nach Art. 28 DSGVO zwischen dem Verantwortlichen (Kunde/Organisation, die BioVault nutzt) und dem Auftragsverarbeiter [BITTE AUSFĂLLEN: Vor- und Nachname bzw. Firmenname] ([BITTE AUSFĂLLEN: z. B. Einzelunternehmen / UG (haftungsbeschrĂ€nkt) / GmbH]), [BITTE AUSFĂLLEN: StraĂe und Hausnummer], [BITTE AUSFĂLLEN: PLZ und Ort], [BITTE AUSFĂLLEN: Land] (âAuftragnehmer"). Er wird mit Abschluss des Nutzungsvertrags ĂŒber BioVault wirksam.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der BioVault-Software (Proben-/Lagerverwaltung, LIMS). Die Dauer entspricht der Laufzeit des Nutzungsvertrags; nach dessen Beendigung gelten die Regelungen zu Löschung/RĂŒckgabe (Ziff. 8).
2. Art und Zweck der Verarbeitung
Art: Erheben, Speichern, Ordnen, Anzeigen, Ăndern, Löschen und Protokollieren von Daten in einer mandantengetrennten Cloud-Anwendung. Zweck: Betrieb der Inventar-/Lagerverwaltung des Verantwortlichen; ausschlieĂlich weisungsgebunden.
3. Art der personenbezogenen Daten
- Stammdaten der Nutzer:innen (Name, dienstliche E-Mail, Rolle)
- Nutzungs- und Protokolldaten (Audit-Trail, An-/Abmeldungen inkl. IP/GerÀt)
- in Freitextfeldern ggf. weitere vom Verantwortlichen eingegebene Angaben
- KEINE Spender-/Patientendaten im Standardumfang (bewusster Scope; nur Mitarbeiter-Daten)
4. Kategorien betroffener Personen
BeschÀftigte, Mitglieder und beauftragte Personen des Verantwortlichen, die BioVault nutzen oder darin erfasst werden.
5. Pflichten des Auftragnehmers
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
- Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4)
- Umsetzung geeigneter technischer und organisatorischer MaĂnahmen (Ziff. 6)
- UnterstĂŒtzung des Verantwortlichen bei Betroffenenrechten (Art. 12â23) und Pflichten nach Art. 32â36
- Meldung von Verletzungen des Schutzes personenbezogener Daten unverzĂŒglich nach Kenntnis (Art. 33)
- Löschung oder RĂŒckgabe nach Beendigung (Ziff. 8) und Nachweise/Kontrollen (Ziff. 9)
6. Technische und organisatorische MaĂnahmen (Art. 32 DSGVO)
- VerschlĂŒsselung im Transit (TLS) und ruhend (at rest) beim Infrastruktur-Anbieter
- Zugangskontrolle: rollen-/fÀhigkeitsbasierte Rechteverwaltung (RBAC), Zwei-Faktor-Authentifizierung (TOTP), Passwort-Richtlinie
- Mandantentrennung auf Datenbankebene (Row Level Security je Organisation)
- Sicherheits-Header (HSTS/CSP/Clickjacking-Schutz)
- LĂŒckenloser, unverĂ€nderlicher Audit-Trail mit Hash-Kette (WORM, 21 CFR Part 11 §11.10(e))
- Elektronische Signaturen (Passwort und Biometrie/Passkey) fĂŒr kritische Aktionen
- Protokollierung privilegierter Support-Zugriffe; Aufbewahrung gemÀà Richtlinie
- RegelmĂ€Ăige Backups und dokumentiertes Backup-/Disaster-Recovery-Konzept
7. Unterauftragsverarbeiter (Subprozessoren)
Der Verantwortliche genehmigt allgemein den Einsatz folgender Subprozessoren; ĂŒber Ănderungen wird vorab informiert, mit Widerspruchsmöglichkeit:
- Supabase (Postgres-Datenbank, Authentifizierung, Speicher) â Verarbeitung in der EU (Region eu-west-1)
- Hosting/Server-Infrastruktur des Auftragnehmers (EU)
- E-Mail-Versanddienst fĂŒr System-/Benachrichtigungs-E-Mails
8. Löschung und RĂŒckgabe
Nach Beendigung des Vertrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurĂŒckgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. FĂŒr unverĂ€nderliche Audit-Daten erfolgt die ErfĂŒllung von Löschbegehren durch Unkenntlichmachung der personenbezogenen Inhalte unter Wahrung der IntegritĂ€t des PrĂŒfpfads (hash-erhaltende Redaktion).
9. Nachweise und Kontrollen
Der Auftragnehmer stellt dem Verantwortlichen die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur VerfĂŒgung und ermöglicht ĂberprĂŒfungen (auf Anfrage, in angemessenem Umfang, ggf. durch Bereitstellung von Nachweisen/Berichten).
Datenschutz-Kontakt des Auftragnehmers: [BITTE AUSFĂLLEN: Kontakt-E-Mail-Adresse] · Datenschutzbeauftragte:r: [BITTE AUSFĂLLEN: Datenschutzbeauftragte:r, falls bestellt]. Diese Fassung ist eine Vorlage und wird mit Festlegung der Rechtsform verbindlich finalisiert.