AVV

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Diese öffentliche AVV-Fassung ergänzt die Nutzung der Produkte Famtura, Famdeliver und Famusta, sofern OVIsync personenbezogene Daten im Auftrag des Kunden verarbeitet. Auftraggeber ist der jeweilige Kunde, Auftragnehmer ist die OVIsync UG (haftungsbeschränkt).

Auftragnehmer
OVIsync UG (haftungsbeschränkt)
Geltung für
Famtura, Famdeliver, Famusta
Stand
04.04.2026

1. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung von SaaS-, Portal-, App-, Hosting-, Support-, Schnittstellen-, Benachrichtigungs-, Medien-, Scan-, Termin-, Liefer-, Service-, Tracking- und Dokumentationsleistungen im Zusammenhang mit Famtura, Famdeliver und Famusta.

Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Hauptvertrags sowie darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten oder dokumentierte Weisungen dies erfordern.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere das Erfassen, Speichern, Strukturieren, Bereitstellen, Übermitteln, Prüfen, Dokumentieren, Sichern, Löschen oder sonstige organisatorisch-technische Bearbeiten personenbezogener Daten, soweit dies zur Bereitstellung der vereinbarten Funktionen erforderlich ist.

Hierzu können insbesondere Kunden- und Kontaktdaten, Dokumente, Vorgänge, Termine, Lieferinformationen, Medien, Signaturen, Standort- und Zeitbezüge, Kommunikationsdaten sowie sonstige vom Auftraggeber eingestellte Inhalte gehören.

3. Kategorien betroffener Personen und Daten

Betroffene Personen können insbesondere sein:

  • Nutzer, Mitarbeiter und Administratoren des Auftraggebers,
  • Kunden, Lieferempfänger, Ansprechpartner und Interessenten,
  • Dienstleister, Lieferanten und sonstige Geschäftspartner,
  • weitere Personen, deren Daten der Auftraggeber rechtmäßig in die Systeme einstellt.

Zu den Datenkategorien können insbesondere gehören:

  • Stamm-, Kontakt-, Rollen- und Kommunikationsdaten,
  • Vertrags-, Termin-, Dokumenten-, Auftrags- und Rechnungsdaten,
  • Liefer-, Einsatz-, Zeit-, Touren- und Statusdaten,
  • Medien, Anhänge, Scan-Daten und Signaturen,
  • Standort-, Bewegungs- und gerätebezogene Metadaten, soweit Funktionen dies erfordern,
  • besondere Kategorien personenbezogener Daten nur, soweit der Auftraggeber diese rechtmäßig verarbeiten lässt.

4. Weisungsrecht des Auftraggebers

OVIsync verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht gesetzliche Verpflichtungen zu einer abweichenden Verarbeitung bestehen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

5. Vertraulichkeit und Zugriffsschutz

OVIsync stellt sicher, dass nur solche Personen Zugriff auf personenbezogene Daten erhalten, die zur Durchführung der Leistung befugt sind, auf Vertraulichkeit verpflichtet wurden und einem angemessenen Berechtigungs- und Sicherheitskonzept unterliegen.

6. Technische und organisatorische Maßnahmen

OVIsync setzt angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO um. Dazu gehören insbesondere:

  • Zugriffs- und Rollensteuerung,
  • Transportverschlüsselung und abgesicherte Authentifizierung,
  • Backups, Wiederherstellungs- und Verfügbarkeitsmaßnahmen,
  • Trennung von Mandanten und Berechtigungsbereichen,
  • Protokollierung sicherheitsrelevanter Vorgänge,
  • Prozesse zur Behandlung von Sicherheitsvorfällen.

7. Unterauftragsverarbeiter

OVIsync darf zur Leistungserbringung Unterauftragsverarbeiter einsetzen. Hierzu können je nach gebuchter Funktion insbesondere Anbieter aus den Bereichen Hosting/Infrastruktur, Dateispeicherung, Push-Notifications, Kommunikationszustellung, Karten- und Geokodierungsdienste sowie technischer Betrieb gehören.

Soweit Unterauftragsverarbeiter eingesetzt werden, werden diese datenschutzrechtlich in angemessener Weise eingebunden und auf ein Schutzniveau verpflichtet, das den Anforderungen dieses AVV entspricht.

8. Unterstützungspflichten

OVIsync unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von Betroffenenrechten, bei Sicherheitsvorfällen, bei datenschutzrechtlichen Prüfungen sowie bei Anfragen von Behörden, soweit dies die Auftragsverarbeitung betrifft.

9. Drittlandübermittlungen

Sofern für einzelne technische Funktionen Drittlandbezüge bestehen, stellt OVIsync sicher, dass hierfür geeignete Garantien eingesetzt werden, insbesondere Standardvertragsklauseln oder andere zulässige Übermittlungsmechanismen.

10. Löschung und Rückgabe

Nach Abschluss der vertraglichen Leistungen löscht oder gibt OVIsync personenbezogene Daten nach Wahl des Auftraggebers zurück, soweit keine gesetzlichen Aufbewahrungspflichten oder nachweisbedingten Speichererfordernisse entgegenstehen.

11. Nachweise und Kontrollen

OVIsync stellt dem Auftraggeber auf angemessene Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der datenschutzrechtlichen Verpflichtungen nachzuweisen. Audits sind nach vorheriger Abstimmung, unter Wahrung von Betriebs- und Sicherheitsinteressen sowie im angemessenen Rahmen zulässig.

12. Geltung und Annahme

Dieser AVV gilt ergänzend zum jeweiligen Hauptvertrag. Soweit die Plattform im Registrierungs- oder Freischaltungsprozess eine ausdrückliche Zustimmung zum AVV vorsieht, gilt diese Zustimmung als Annahme dieser AVV-Fassung, bis eine individualvertragliche oder aktualisierte Fassung vereinbart wird.

← Zur Übersicht der Rechtstexte