Kanbino logo Kanbino
Anmelden

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 4. März 2026

1. Parteien

Dieser Auftragsverarbeitungsvertrag ("Vereinbarung") gilt zwischen:

  • Auftragsverarbeiter: Waypointer Digital BV, niedergelassen in den Niederlanden, Handelsregisternummer 99948710, handelnd unter dem Namen Kanbino ("Auftragsverarbeiter")
  • Verantwortlicher: die Organisation oder natürliche Person, die einen Kanbino-Workspace erstellt und verwaltet ("Verantwortlicher")

Diese Auftragsverarbeitungsvereinbarung ist Bestandteil der AGB und der Datenschutzerklärung.

2. Definitionen

Begriffe in dieser Vereinbarung haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679), sofern nachstehend nicht anders definiert:

  • Personenbezogene Daten — alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und im Rahmen der Nutzung von Kanbino verarbeitet werden
  • Processing — any operation or set of operations performed on personal data, including collection, Speicher, modification, consultation, disclosure and deletion
  • Unterauftragsverarbeiter — ein Dritter, der vom Auftragsverarbeiter für einen Teil der Verarbeitung beauftragt wird
  • Datenpanne — eine Verletzung der Sicherheit, die versehentlich oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt

3. Gegenstand und Laufzeit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Kanbino-Dienstes für den Verantwortlichen. Diese Vereinbarung gilt, solange der Verantwortliche Kanbino nutzt.

4. Kategorien betroffener Personen und personenbezogener Daten

Kategorien betroffener Personen:

  • Mitarbeiter und Teammitglieder des Verantwortlichen
  • External Benutzer (guests) invited by the Controller
  • Im Workspace verwaltete Kontakte und Kunden

Kategorien personenbezogener Daten:

  • Name, E-Mail-Adresse und Profilinformationen
  • Content data: tasks, comments, time registrations, files and other content entered by Benutzer
  • Technische Daten: IP-Adresse, Browserinformationen und Anmeldeaktivität

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu Folgendem:

  • Personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen des Verantwortlichen zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung erfordert etwas anderes
  • Sicherzustellen, dass Personen mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen zu implementieren (siehe Artikel 8)
  • Den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß den Artikeln 32 bis 36 DSGVO zu unterstützen (Sicherheit, Datenpannen, DSFAs)
  • After completion of processing services, at the Controller's choice, delete or return all personal data, unless Speicher is legally required
  • Alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und Audits und Inspektionen durch oder im Auftrag des Verantwortlichen zu ermöglichen

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Unterauftragsverarbeiter Zweck Standort
Hetzner Online GmbH Server hosting and data Speicher Falkenstein, Deutschland (EU)
Scaleway SAS File Speicher (S3 object Speicher) Amsterdam, Niederlande (EU)
BunnyWay d.o.o. (Bunny.net) Content Delivery Network (CDN) Ljubljana, Slowenien (EU)
Stripe Inc. Zahlungsabwicklung USA (EU-Standardvertragsklauseln)

Der Verantwortliche erteilt hiermit eine allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über beabsichtigte Änderungen bei Unterauftragsverarbeitern, sodass der Verantwortliche Einspruch erheben kann. Mit allen Unterauftragsverarbeitern wurden Auftragsverarbeitungsverträge geschlossen.

7. Übermittlungen außerhalb der EU/des EWR

Die primäre Verarbeitung erfolgt innerhalb der Europäischen Union (Hetzner, Deutschland). Für Unterauftragsverarbeiter außerhalb der EU/des EWR wurden geeignete Garantien durch EU-Standardvertragsklauseln (SCCs) gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO implementiert.

8. Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert unter anderem folgende technische und organisatorische Maßnahmen:

  • Verschlüsselung — alle Verbindungen über TLS/HTTPS; Passwörter werden gehasht gespeichert (bcrypt)
  • Zugriffskontrolle — rollenbasierte Zugriffskontrolle; Mitarbeiter haben nur Zugang zu den für ihre Funktion erforderlichen Daten
  • Backups — tägliche automatisierte Backups, gespeichert innerhalb der EU
  • Monitoring — kontinuierliche Überwachung der Verfügbarkeit und Sicherheitsvorfälle
  • Updates — regelmäßige Sicherheitsupdates für Betriebssystem und Anwendung
  • Isolation — strikte Trennung der Mandantendaten auf Anwendungsebene

9. Datenpannen

Im Falle einer Datenpanne wird der Auftragsverarbeiter:

  • Den Verantwortlichen unverzüglich und innerhalb von 48 Stunden nach Entdeckung informieren
  • Die Art der Datenpanne beschreiben, einschließlich der Kategorien und der geschätzten Anzahl betroffener Personen
  • Die wahrscheinlichen Folgen beschreiben
  • Die ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und zur Minderung ihrer nachteiligen Auswirkungen mitteilen
  • Alle Mitwirkung leisten, die der Verantwortliche zur Erfüllung seiner Meldepflichten benötigt (Artikel 33 und 34 DSGVO)

10. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch)
  • Der Durchführung einer Datenschutz-Folgenabschätzung (DSFA), sofern zutreffend
  • Der Erfüllung der Meldepflicht gegenüber der Datenschutzbehörde

11. Audit

Der Verantwortliche hat das Recht, auf eigene Kosten und mit angemessener Vorankündigung Audits durchzuführen oder durchführen zu lassen, um die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragsverarbeiter leistet alle angemessene Mitwirkung. Audits finden höchstens einmal jährlich statt, es sei denn, es besteht Anlass für ein zusätzliches Audit (z. B. nach einer Datenpanne).

12. Aufbewahrung und Löschung

Nach Beendigung der Vereinbarung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, es sei denn:

  • Der Verantwortliche verlangt die Rückgabe der Daten (in einem gängigen, maschinenlesbaren Format)
  • Eine Aufbewahrung ist gesetzlich vorgeschrieben (z. B. steuerliche Aufbewahrungspflicht)

Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

13. Haftung

Die AGB gelten für diese Auftragsverarbeitungsvereinbarung. Im Falle von Widersprüchen hat diese Vereinbarung Vorrang.

14. Anwendbares Recht und Streitigkeiten

Diese Vereinbarung unterliegt niederländischem Recht. Streitigkeiten werden dem zuständigen Gericht in den Niederlanden vorgelegt.

15. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag:

Waypointer Digital BV
E-Mail: privacy@kanbino.com