Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO | Stand: 16.07.2026

Hinweis zum Vertragsschluss: Durch das Setzen des entsprechenden Häkchens bei der Registrierung für die Simetic WorkBase kommt dieser Vertrag zwischen dem Kunden (Verantwortlicher) und Simetic (Auftragsverarbeiter) digital und rechtsgültig zustande.
1. Gegenstand und Dauer des Auftrags

Der Auftragsverarbeiter übernimmt für den Verantwortlichen das Hosting und die Bereitstellung der SaaS-Lösung "Simetic WorkBase". Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Nutzung der Software).

2. Art und Zweck der Verarbeitung, Art der Daten und Betroffene

Art und Zweck: Speicherung, Hosting, Bereitstellung und Sicherung von Geschäftsdaten in der Cloud-Umgebung des Auftragsverarbeiters.

Art der Daten: Personenstammdaten (Kunden, Mitarbeiter), Kommunikationsdaten, Vertragsdaten, Arbeitszeiten, Schichtpläne und System-Protokolle.

Kategorien betroffener Personen: Mitarbeiter, Lieferanten und Kunden des Verantwortlichen.

3. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter sichert die Umsetzung folgender IT-Sicherheitsmaßnahmen zu:

  • Mandantentrennung (Isolierung): Jeder Verantwortliche erhält auf den Servern eine strikt getrennte, isolierte Datenbank (MySQL/MariaDB) sowie eine eigene Subdomain. Ein Datenabfluss zwischen verschiedenen Kunden ist architektonisch ausgeschlossen.
  • Zutrittskontrolle: Die Serverstruktur wird in einem hochsicheren, ISO 27001-zertifizierten Rechenzentrum in Deutschland (BeroHost) betrieben.
  • Zugangskontrolle: Der Zugang zu den Server-Infrastrukturen (HestiaCP / SSH) erfolgt ausschließlich durch autorisiertes Personal des Auftragsverarbeiters, gesichert durch kryptografische Schlüssel und restriktive Firewalls.
  • Weitergabekontrolle: Jegliche Datenübertragung zwischen dem Endgerät des Nutzers und dem Server erfolgt zwingend verschlüsselt (SSL/TLS).
  • Verfügbarkeitskontrolle: Es werden regelmäßige System-Backups erstellt, um Daten gegen versehentliche Zerstörung oder Verlust zu schützen.
4. Unterauftragsverhältnisse (Subunternehmer)

Der Auftragsverarbeiter bedient sich zur Erbringung der Dienstleistung der folgenden Subunternehmer. Der Verantwortliche stimmt deren Einsatz zu:

Unternehmen Dienstleistung Serverstandort
BeroHost GmbH Bereitstellung der Root-Server und Infrastruktur Deutschland
5. Rechte und Pflichten des Verantwortlichen

Für die Beurteilung der Zulässigkeit der Datenverarbeitung bleibt allein der Verantwortliche zuständig. Er ist berechtigt, nach vorheriger Terminabsprache, die Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter zu kontrollieren.

6. Löschung und Rückgabe von Daten

Kündigt der Verantwortliche seinen Account oder wird dieser unwiderruflich gelöscht, vernichtet der Auftragsverarbeiter alle gespeicherten Datenbanken des Verantwortlichen rückstandslos. Vor der Löschung obliegt es dem Verantwortlichen, seine Daten eigenständig aus dem System zu exportieren.