Rechtliches

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 2026-04-11

Wichtiger Hinweis.Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) stellt einen Entwurf dar und befindet sich in anwaltlicher Prüfung. Er regelt die Verarbeitung personenbezogener Daten durch die Nitro Cloud LTD ("ARPCLEAN") im Auftrag ihrer Geschäftskunden nach Art. 28 der EU-Datenschutz-Grundverordnung (DSGVO) und ist integraler Bestandteil unserer AGB. Bei Abweichungen zwischen der deutschen und der englischen Fassung ist die englische Fassung maßgeblich.

1. Parteien

Dieser AV-Vertrag wird abgeschlossen zwischen:

Auftragsverarbeiter:Nitro Cloud LTD, eine nach dem Recht der Republik Bulgarien gegründete Gesellschaft, eingetragen im bulgarischen Handelsregister unter UIC 207555451, mit Sitz in Akad. Mihail Arnaudov 3, Et. 3, 7005 Ruse, Bulgarien, vertreten durch den Geschäftsführer Bekir Özalp ("Auftragsverarbeiter", "ARPCLEAN", "wir").

Verantwortlicher:der Geschäftskunde, der ein Abonnement für den ARPCLEAN-Dienst gemäß unseren AGB abgeschlossen hat (der "Kunde", "Verantwortlicher", "Sie").

2. Begriffsbestimmungen

Soweit in diesem AV-Vertrag nicht anders definiert, haben großgeschriebene Begriffe die ihnen in der DSGVO zugewiesene Bedeutung. Insbesondere haben die Begriffe "personenbezogene Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "Aufsichtsbehörde" und "Verletzung des Schutzes personenbezogener Daten" die in Art. 4 DSGVO festgelegte Bedeutung.

3. Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung der ARPCLEAN-Plattform und der damit verbundenen Dienste gemäß den AGB.

Dauer. Die Verarbeitung erfolgt für die Dauer des Abonnements des Kunden sowie für anschließende gesetzliche Aufbewahrungsfristen. Datenexport und Löschung nach Vertragsende regelt Abschnitt 12.

Art der Verarbeitung. Die Verarbeitung umfasst die Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, den Abruf, die Nutzung, die Offenlegung gegenüber in Anhang B aufgeführten Unterauftragsverarbeitern, die Löschung und Vernichtung personenbezogener Daten sowie technische Vorgänge wie Sicherung, Wiederherstellung, Verschlüsselung und Formatkonvertierung, jeweils soweit erforderlich zur Erbringung des Dienstes.

Zweck. Der Zweck der Verarbeitung besteht darin, dem Verantwortlichen die Verwaltung der Hotelreinigung und des Housekeepings zu ermöglichen, einschließlich Aufgabenzuweisung, Teamkoordination, Inspektions-Workflows, mehrsprachiger Kommunikation, Abrechnungsunterstützung und Integration mit Property-Management-Systemen.

4. Arten personenbezogener Daten und Kategorien betroffener Personen

Arten personenbezogener Daten (Anhang A):

  • Identitäts- und Kontaktdaten (Name, E-Mail-Adresse, Telefon, Funktion);
  • Beschäftigungsdaten (Teamzugehörigkeit, Schichtinformationen, Sprachkenntnisse);
  • Authentifizierungsdaten (gehashte Passwörter, OAuth-Kennungen, Session-Token);
  • operative Daten (Aufgabenzuweisungen, Zeitstempel, Statusaktualisierungen, Notizen);
  • Bild- und Dokumentdaten (Zimmerfotos, Fundsachen, Onboarding-Dokumente);
  • Kommunikationsmetadaten (innerhalb der Plattform ausgetauschte Nachrichten);
  • eingeschränkte Gerätedaten (IP-Adresse, User Agent, Spracheinstellung, Push-Notification-Token).

Kategorien betroffener Personen:

  • Mitarbeiter und Subunternehmer des Verantwortlichen, die die Plattform nutzen;
  • Hotelgäste, auf die in Aufgaben oder Vorfällen Bezug genommen wird (z. B. bei Fundsachen);
  • Hotelmitarbeiter, auf die der Verantwortliche in Aufgaben, Kommunikation oder Berichten Bezug nimmt.

Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO bewusst. Der Kunde verpflichtet sich, solche Daten ohne gesonderte schriftliche Vereinbarung nicht hochzuladen.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu:

(a) Dokumentierte Weisungen. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die AGB, die Konfiguration der Plattform und etwaige zusätzliche schriftliche Anweisungen des Verantwortlichen über die Plattform gelten als dokumentierte Weisungen.

(b) Vertraulichkeit. Sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Sicherheit. Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Abschnitt 8 näher beschrieben.

(d) Unterauftragsverarbeiter. Die Bedingungen nach Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten. Die aktuelle Liste der Unterauftragsverarbeiter wird unter /subprocessors veröffentlicht; Änderungen werden gemäß Abschnitt 7 mitgeteilt.

(e) Unterstützung bei Betroffenenrechten.Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seinen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte nachzukommen.

(f) Unterstützung bei Art. 32-36 DSGVO. Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO zu unterstützen.

(g) Löschung und Rückgabe. Nach Wahl des Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten, sofern nicht das Recht der Union oder der Mitgliedstaaten eine Speicherung verlangt. Die Standard-Löschfristen sind in Abschnitt 12 geregelt.

(h) Nachweise und Audits. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, unter den Bedingungen von Abschnitt 11 zu ermöglichen und daran mitzuwirken.

6. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich zu:

  • die Rechtmäßigkeit der Verarbeitung sicherzustellen, einschließlich einer Rechtsgrundlage für jede Verarbeitung, die der Verantwortliche über die Plattform initiiert;
  • Weisungen an den Auftragsverarbeiter nur im Einklang mit dem anwendbaren Datenschutzrecht zu erteilen;
  • sicherzustellen, dass die Nutzer der Plattform zur Handlung im Namen des Verantwortlichen befugt sind und ihre Zugriffsrechte angemessen sind;
  • den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten zu informieren;
  • Anträge betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, zu beantworten;
  • die Pflichten zur Information und Transparenz gegenüber betroffenen Personen, insbesondere nach Art. 13 und 14 DSGVO, einzuhalten.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern für die Erbringung des Dienstes im Sinne des Art. 28 Abs. 2 DSGVO. Die aktuelle Liste ist unter /subprocessors abrufbar.

Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auf wie die in diesem AV-Vertrag festgelegten, insbesondere hinsichtlich hinreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die den Anforderungen der DSGVO genügen.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen der Liste der Unterauftragsverarbeiter und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen nach der Mitteilung aus sachlich gerechtfertigten datenschutzbezogenen Gründen zu widersprechen. Kann kein einvernehmliches Ergebnis erzielt werden, ist der Verantwortliche berechtigt, den betroffenen Teil des Dienstes aus wichtigem Grund zu kündigen.

Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.

8. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter ergreift und pflegt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung, Schädigung, Änderung oder Offenlegung. Diese Maßnahmen umfassen derzeit insbesondere:

  • Zugangskontrolle: rollenbasierte Zugriffskontrolle, gehashte Zugangsdaten mit branchenüblichen Algorithmen, verpflichtend starke Passwörter, Zwei-Faktor-Authentifizierung für administrative Zugriffe.
  • Verschlüsselung in der Übertragung: TLS 1.2+ mit branchenüblichen Cipher-Suiten für sämtlichen externen Datenverkehr und, wo anwendbar, interne Service-zu-Service- Kommunikation.
  • Verschlüsselung im Ruhezustand:Datenbank-Verschlüsselung für sensible Spalten; Objekt-Speicher mit Verschlüsselung im Ruhezustand.
  • Netzwerksegmentierung: Datenbanken, Cache-Server und Mailserver sind nicht direkt aus dem öffentlichen Internet erreichbar und kommunizieren nur innerhalb eines privaten Netzwerks.
  • Protokollierung und Überwachung:Audit-Protokolle für administrative Aktionen, Authentifizierungsereignisse und Änderungen an sensiblen Datensätzen; angemessene Aufbewahrungsdauer.
  • Backup und Wiederherstellung: regelmäßige automatisierte Backups von Datenbanken und Objekt-Speicher; regelmäßig getestete Wiederherstellungsverfahren.
  • Änderungsmanagement: Versionskontrolle für sämtlichen Quellcode; Release-Verfahren mit Code-Review.
  • Sichere Entwicklung: Dependency-Scanning, zeitnahe Sicherheitsupdates, Trennung von Entwicklungs-, Staging- und Produktionsumgebungen.
  • Personalsicherheit:Vertraulichkeitsverpflichtungen für Mitarbeiter mit Zugang zu personenbezogenen Daten; Prinzip der geringsten Rechte; Offboarding-Verfahren.
  • Incident Response: dokumentiertes Verfahren zur Reaktion auf Sicherheitsvorfälle, einschließlich Benachrichtigung betroffener Verantwortlicher innerhalb von 72 Stunden nach Kenntniserlangung einer Verletzung des Schutzes personenbezogener Daten.

Der Auftragsverarbeiter darf diese Maßnahmen im Laufe der Zeit aktualisieren, sofern das Gesamtschutzniveau nicht reduziert wird. Eine aktuelle Zusammenfassung steht dem Verantwortlichen auf Anfrage zur Verfügung.

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem er hiervon Kenntnis erlangt hat. Eine solche Meldung soll mindestens:

  • die Art der Verletzung beschreiben;
  • soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze angeben;
  • den Namen und die Kontaktdaten einer Kontaktstelle für weitere Informationen nennen;
  • die wahrscheinlichen Folgen der Verletzung beschreiben;
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung etwaiger nachteiliger Auswirkungen darstellen.

Soweit die Informationen nicht gleichzeitig bereitgestellt werden können, können sie ohne weitere unangemessene Verzögerung nach und nach zur Verfügung gestellt werden.

10. Datenschutz-Folgenabschätzungen

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen leistet der Auftragsverarbeiter dem Verantwortlichen angemessene Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und bei Konsultationen der Aufsichtsbehörde nach Art. 36 DSGVO, soweit diese Beurteilungen oder Konsultationen sich auf die unter diesem AV-Vertrag durchgeführte Verarbeitung beziehen.

11. Prüfungsrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses AV-Vertrags durch den Auftragsverarbeiter einmal jährlich zu prüfen. Die Prüfungen können vom Verantwortlichen oder von einem unabhängigen, zur Vertraulichkeit verpflichteten Dritten durchgeführt werden. Prüfungen erfolgen während der üblichen Geschäftszeiten, mit angemessener schriftlicher Vorankündigung (mindestens 30 Tage) und auf eine Weise, die den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt. Der Auftragsverarbeiter kann das Prüfrecht durch Vorlage von Auditberichten Dritter (z. B. ISO 27001, SOC 2) oder ausgefüllten Standard-Fragebögen der Branche (z. B. CAIQ) erfüllen, soweit verfügbar und einschlägig.

Verlangt der Verantwortliche zusätzliche Vor-Ort-Prüfungen über die erste jährliche Prüfung hinaus oder spezielle Prüfungshandlungen, kann der Auftragsverarbeiter die angemessenen Aufwendungen in Rechnung stellen.

12. Löschung und Rückgabe personenbezogener Daten

Nach Beendigung des Abonnements des Kunden stellt der Auftragsverarbeiter für einen Zeitraum von 30 Kalendertagen einen Datenexport in einem gängigen, maschinenlesbaren Format (z. B. CSV, JSON) zur Verfügung. Nach Ablauf dieser Exportfrist löscht der Auftragsverarbeiter innerhalb von weiteren 60 Kalendertagen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern. Anonymisierte und aggregierte Daten zu statistischen Zwecken bleiben hiervon unberührt.

Auf schriftliche Anfrage bestätigt der Auftragsverarbeiter die Löschung gegenüber dem Verantwortlichen.

13. Internationale Datenübermittlungen

Personenbezogene Daten werden vorrangig auf Servern innerhalb der Europäischen Union verarbeitet. Soweit die Erbringung des Dienstes Übermittlungen personenbezogener Daten in Drittländer erfordert (insbesondere an in der Liste der Unterauftragsverarbeiter genannte Anbieter in den Vereinigten Staaten), erfolgen diese Übermittlungen auf der Grundlage:

  • eines Angemessenheitsbeschlusses der Europäischen Kommission (z. B. des EU-US Data Privacy Framework, soweit anwendbar); oder
  • der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission, Modul 2 oder Modul 3 je nach Anwendbarkeit), gegebenenfalls ergänzt durch erforderliche zusätzliche Maßnahmen; oder
  • eines sonstigen nach Kapitel V DSGVO zulässigen Übermittlungsmechanismus.

14. Haftung

Die Haftung der Parteien unter diesem AV-Vertrag richtet sich nach den AGB. Die dortigen Haftungsregelungen gelten entsprechend für Ansprüche aus oder im Zusammenhang mit diesem AV-Vertrag, unbeschadet der Rechte betroffener Personen nach der DSGVO.

15. Schlussbestimmungen

Sprachvorrang. Dieser AV-Vertrag wird in englischer und deutscher Sprache veröffentlicht. Bei Abweichungen oder Widersprüchen zwischen den beiden Fassungen ist die englische Fassung maßgeblich.

Verhältnis zu den AGB. Dieser AV-Vertrag ist integraler Bestandteil der AGB. Bei Widersprüchen zwischen den AGB und diesem AV-Vertrag hinsichtlich der Verarbeitung personenbezogener Daten geht dieser AV-Vertrag vor.

Salvatorische Klausel. Sollte eine Bestimmung dieses AV-Vertrags unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

Aktualisierungen. Der Auftragsverarbeiter kann diesen AV-Vertrag von Zeit zu Zeit an Änderungen der Rechtslage, regulatorische Vorgaben oder des Dienstes anpassen. Wesentliche Änderungen werden dem Verantwortlichen mindestens 30 Tage im Voraus wie in den AGB geregelt mitgeteilt.

16. Anwendbares Recht und Gerichtsstand

Dieser AV-Vertrag unterliegt dem materiellen Recht der Republik Bulgarien, unbeschadet zwingender Bestimmungen des EU-Datenschutzrechts. Ausschließlicher Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist Ruse, Bulgarien, vorbehaltlich zwingender schutzrechtlicher Bestimmungen des Wohnsitzstaates des Kunden nach der Verordnung (EG) Nr. 593/2008 (Rom I) und der Verordnung (EU) Nr. 1215/2012 (Brüssel Ia).

17. Kontakt

Fragen zu diesem AV-Vertrag oder zu unseren Datenverarbeitungspraktiken richten Sie bitte an:

Nitro Cloud LTD
Akad. Mihail Arnaudov 3, Et. 3
7005 Ruse, Bulgarien
E-Mail: [email protected]

Ihre Privatsphäre, Ihre Entscheidung

Wir verwenden ausschließlich technisch notwendige Cookies für den Betrieb dieser Website. Mit Ihrer Einwilligung möchten wir zusätzlich Analyse-Cookies einsetzen, um die Nutzung der Seite besser zu verstehen. Ihre Entscheidung können Sie jederzeit über den Footer anpassen. Zur Datenschutzerklärung