Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO · Stand: Mai 2026
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt den zwischen EaseControl und dem Kunden geschlossenen Hauptvertrag (AGB) und regelt die datenschutzrechtliche Beziehung zwischen den Parteien bei der Verarbeitung personenbezogener Daten durch EaseControl im Auftrag des Kunden.
§ 1 Parteien und Definitionen
Auftragsverarbeiter (Anbieter):
EaseControl GmbH i.G.
Am Hetgesborn 10 A, 35510 Butzbach
info@easecontrol.de
Verantwortlicher (Kunde):
Das Unternehmen, das den EaseControl-Dienst nutzt und mit dem ein Hauptvertrag (AGB) besteht.
Im Sinne dieses Vertrags gelten die Definitionen der DSGVO (Art. 4 DSGVO), insbesondere:
- Verantwortlicher: entscheidet über Zweck und Mittel der Verarbeitung (= Kunde)
- Auftragsverarbeiter: verarbeitet Daten im Auftrag des Verantwortlichen (= EaseControl)
- Betroffene Personen: Mitarbeiter und Kunden des Kunden, deren Daten in der Plattform verarbeitet werden
§ 2 Gegenstand und Dauer der Verarbeitung
Gegenstand: Bereitstellung und Betrieb der EaseControl SaaS-Plattform (ERP-System) für Handwerksbetriebe.
Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
§ 3 Art und Zweck der Verarbeitung
EaseControl verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der vereinbarten SaaS-Dienstleistung und nach dokumentierten Weisungen des Kunden (Art. 28 Abs. 3 lit. a DSGVO).
§ 4 Kategorien betroffener Personen und Datenkategorien
| Betroffene Personen | Datenkategorien |
|---|---|
| Mitarbeiter des Kunden | Name, Kontaktdaten, Qualifikationen, Arbeitszeiten, Lohndaten, Krankmeldungen, Führerscheindaten |
| Kunden des Kunden | Name, Adresse, Telefon, E-Mail, Auftragsdaten, Zahlungshistorie |
| Lieferanten des Kunden | Name, Firma, Kontaktdaten, Bestellhistorie |
| Nutzer der Plattform | Login-Daten, IP-Adressen, Zugriffsprotokolle, Aktivitätsdaten |
§ 5 Pflichten des Auftragsverarbeiters (EaseControl)
EaseControl verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
- Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
- Die in § 7 genannten Unterauftragsverarbeiter nur unter den dort genannten Bedingungen einzusetzen
- Angesichts der Art der Verarbeitung den Kunden bei der Erfüllung von Betroffenenrechten zu unterstützen
- Den Kunden unverzüglich zu informieren, wenn eine erteilte Weisung nach EaseControls Auffassung gegen datenschutzrechtliche Vorschriften verstößt
- Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben
- Dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten bereitzustellen
§ 6 Technische und organisatorische Maßnahmen (TOM)
EaseControl hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (GF, Disponent, Buchhalter, Handwerker etc.)
- Passwort-Hashing: bcrypt mit Salt
- JWT-Authentifizierung mit kurzen Token-Laufzeiten
- Verschlüsselte Datenbankverbindungen (TLS)
- Physische Zugangskontrolle: Rechenzentrum Hetzner mit ISO 27001 Zertifizierung
Integrität
- SSL/TLS-Verschlüsselung aller Datenübertragungen (HTTPS)
- Eingabevalidierung und SQL-Injection-Schutz
- Audit-Logs für sicherheitsrelevante Aktionen
- Helmet.js (HTTP-Security-Header)
Verfügbarkeit
- Tägliche automatisierte Backups
- Backup-Aufbewahrung: 30 Tage
- Server-Monitoring und automatische Benachrichtigung
- Redundante Netzwerkinfrastruktur (Hetzner)
Belastbarkeit
- Rate-Limiting zum Schutz vor DDoS/Brute-Force
- Datenbankverbindungs-Pooling
- Angestrebte Verfügbarkeit: 99 % im Jahresmittel
§ 7 Unterauftragsverarbeiter
EaseControl setzt folgende Unterauftragsverarbeiter ein. Der Kunde erteilt hiermit seine generelle Genehmigung für den Einsatz dieser Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO):
| Anbieter | Zweck | Sitz / Datenschutz |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbankbetrieb | Deutschland · ISO 27001 |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Kundenabrechnungen) | Irland · PCI-DSS |
| Cloudflare Inc. | Website-Hosting (easecontrol.de) | USA · EU-US DPF zertifiziert |
EaseControl informiert den Kunden über geplante Änderungen bei Unterauftragsverarbeitern mit einer Vorankündigungsfrist von mindestens 4 Wochen. Der Kunde hat in diesem Fall ein Widerspruchsrecht.
§ 8 Weisungsrecht des Kunden
Der Kunde ist berechtigt, EaseControl jederzeit Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen sind schriftlich oder per E-Mail an datenschutz@easecontrol.de zu richten. EaseControl bestätigt den Eingang der Weisung und setzt diese um.
§ 9 Meldung von Datenschutzverletzungen
EaseControl meldet dem Kunden eine Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail. Die Meldung enthält alle verfügbaren Informationen zur Vorbereitung einer etwaigen Meldung des Kunden an die Aufsichtsbehörde.
§ 10 Unterstützung bei Betroffenenrechten
EaseControl unterstützt den Kunden bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Anfragen sind an datenschutz@easecontrol.de zu richten. EaseControl beantwortet solche Anfragen innerhalb von 5 Werktagen.
§ 11 Datenlöschung und -rückgabe
Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen unwiderruflich gelöscht. Auf Wunsch des Kunden werden die Daten vorher in maschinenlesbarem Format (JSON/CSV) exportiert und übergeben. EaseControl bestätigt die Löschung schriftlich.
§ 12 Nachweise und Audits
EaseControl stellt dem Kunden auf Anfrage alle Informationen zur Verfügung, die zur Überprüfung der Einhaltung dieses AVV erforderlich sind. Der Kunde kann Audits durchführen oder durch Dritte durchführen lassen — mit einer Vorankündigungsfrist von mindestens 4 Wochen und während der üblichen Geschäftszeiten.
§ 13 Schlussbestimmungen
Dieser AVV tritt mit Abschluss des Hauptvertrags (AGB) in Kraft und endet automatisch mit dessen Beendigung. Im Übrigen gelten die Regelungen des Hauptvertrags. Dieser AVV hat im Falle von Widersprüchen Vorrang vor dem Hauptvertrag, soweit datenschutzrechtliche Pflichten betroffen sind.
Anwendbares Recht: Recht der Bundesrepublik Deutschland. Gerichtsstand: Butzbach (Hessen).
Kontakt Datenschutz:
EaseControl GmbH i.G. · Am Hetgesborn 10 A · 35510 Butzbach
datenschutz@easecontrol.de