Identifikation des Auftraggebers

Der Auftraggeber wird durch das jeweilige Nutzerkonto eindeutig identifiziert.
Die nachträgliche Angabe von Namen, Firma, Adresse und Kontaktdaten dient ausschließlich der Dokumentation und stellt keine Voraussetzung für die Wirksamkeit dieser Vereinbarung dar.

Vertraglicher Bezug

Diese Auftragsverarbeitungsvereinbarung wird mit der Zustimmung zu den Allgemeinen Geschäftsbedingungen (AGB) der OPROMA UG (haftungsbeschränkt) wirksam abgeschlossen und ist Bestandteil des Vertragsverhältnisses zwischen den Parteien im Sinne des Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der
cloudbasierten Softwarelösung OPROMA (Software-as-a-Service) sowie der damit verbundenen Funktionen des
OPROMA-Portals, soweit diese durch den Verantwortlichen genutzt werden.

(2) Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen gemäß den jeweils
gültigen AGB und Nutzungsbedingungen von OPROMA.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags bzw. der aktiven Nutzung des OPROMA-Kontos durch den Verantwortlichen.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten erfolgt insbesondere zu folgenden Zwecken:

• Bereitstellung und Betrieb der OPROMA-Plattform
• Benutzerverwaltung und Authentifizierung
• Projekt- und Aufgabenmanagement
• Erstellung, Betrieb und Auswertung von Online-Formularen, die durch den Verantwortlichen erstellt werden
• Erfassung, Speicherung, Übermittlung und Bereitstellung von Formulareingaben durch betroffene Personen
• Bereitstellung der Formulardaten an den Verantwortlichen zur weiteren Verarbeitung
• Speicherung, Verarbeitung und Darstellung von Inhalten, die durch den Verantwortlichen eingegeben oder hochgeladen werden
• Veröffentlichung von Portal-Inhalten (z. B. Stellenanzeigen, Projektinserate, Profile), soweit durch den Verantwortlichen veranlasst
• Support, Fehleranalyse, Wartung und Sicherstellung des technischen Betriebs
• Datensicherung und Wiederherstellung (Backups)

(2) Optionale KI-Funktionen: Sofern der Verantwortliche oder dessen Nutzer KI-gestützte Funktionen aktiv verwenden,
werden eingegebene Textinhalte an einen externen KI-Dienst übermittelt, um Texte zu erstellen oder zu optimieren. Die Nutzung dieser Funktionen ist freiwillig.

§ 3 Art der personenbezogenen Daten

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

• Stammdaten (Name, Vorname)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Account- und Zugangsdaten
• Projekt- und Aufgabendaten (Texte, Beschreibungen, Notizen)
• Daten aus Online-Formularen (z. B. Name, E-Mail-Adresse, Telefonnummer, Freitexte, Auswahldaten sowie weitere durch den Verantwortlichen definierte Formularfelder)
• Portal-Inhalte (Profile, Stellenanzeigen, Projektinserate)
• hochgeladene Dateien (z. B. PDFs, Bilder, Lebensläufe, Zertifikate)
• Abrechnungs- und Vertragsdaten
• technische Daten (z. B. IP-Adresse, Logdaten im erforderlichen Umfang)

§ 4 Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

• Mitarbeiter des Verantwortlichen
• Kunden, Interessenten und Geschäftspartner des Verantwortlichen
• Personen, die Online-Formulare des Verantwortlichen ausfüllen (z. B. Bewerber, Kunden, Interessenten, Teilnehmer)
• Bewerber, Experten oder Projektbeteiligte
• Nutzer, die durch den Verantwortlichen in OPROMA eingebunden werden

§ 5 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen,
sofern keine gesetzliche Verpflichtung zur Verarbeitung besteht.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

(3) Der Verantwortliche ist dafür verantwortlich, die betroffenen Personen gemäß Art. 13 und 14 DSGVO über die Datenverarbeitung im Rahmen der von ihm erstellten Online-Formulare zu informieren.

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

1. geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1),
2. personenbezogene Daten vertraulich zu behandeln,
3. nur solche Mitarbeiter einzusetzen, die zur Vertraulichkeit verpflichtet wurden,
4. personenbezogene Daten nicht für eigene Zwecke zu verarbeiten,
5. den Verantwortlichen bei der Wahrung der Betroffenenrechte zu unterstützen,
6. Datenschutzverletzungen unverzüglich zu melden,
7. Unterauftragsverarbeiter nur gemäß § 7 einzusetzen.

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einschaltung der in Anlage 2
aufgeführten Unterauftragsverarbeiter.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen der Unterauftragsverarbeiterliste in Textform. Der Verantwortliche kann innerhalb von
14 Tagen aus wichtigem Grund widersprechen.

(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter mindestens die gleichen Datenschutzpflichten erfüllen wie in dieser AVV geregelt.

§ 8 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen der technischen Möglichkeiten bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von
48 Stunden nach Kenntnisnahme.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Auf Wunsch des Verantwortlichen können Daten vor Löschung in einem geeigneten Format exportiert werden.

(3) Datensicherungen (Backups) werden im Rahmen regulärer Zyklen überschrieben oder gelöscht.

§ 11 Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV nach angemessener Vorankündigung zu überprüfen.

(2) Alternativ können geeignete Nachweise (z. B. technische Dokumentationen) bereitgestellt werden.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

(3) Es gilt deutsches Recht, soweit zulässig.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

• Zugriffs- und Zugriffskontrolle durch Authentifizierung und Berechtigungssysteme
• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Hosting in Deutschland (STRATO AG)
• Regelmäßige Datensicherungen
• Logische Trennung von Nutzerdaten
• Schutz vor unbefugtem Zugriff
• Vertraulichkeitsverpflichtung des Personals
• Verfahren zur Unterstützung von Betroffenenrechten

Anlage 2 – Unterauftragsverarbeiter