1 Anwendungsbereich

Der Auftragnehmer erbringt im Rahmen des Software-Nutzungsvertrages Dienstleistungen im Bereich Einrichtung, Pflege, Support und Fernwartung der Software „FunerALL“. Dabei kann es zur Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers kommen.
Dieser Vertrag konkretisiert die Rechte und Pflichten der Parteien nach Art. 28 DSGVO.

2 Umfang der Beauftragung / Weisungsbefugnisse

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierten Weisungen des Auftraggebers.
Der Auftraggeber behält das Recht, Weisungen hinsichtlich Art, Umfang, Zweck und Mittel der Verarbeitung zu erteilen.

3 Sicherheit der Verarbeitung
Der Auftragnehmer verpflichtet sich, geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu ergreifen und aufrechtzuerhalten, um ein angemessenes Schutzniveau zu gewährleisten.
Die jeweils aktuellen TOMs sind in Annex 2 dieses Vertrages aufgeführt.

4 Anforderungen an Personal

Der Auftragnehmer stellt sicher, dass Personen, die Zugang zu personenbezogenen Daten haben, vor Aufnahme ihrer Tätigkeit auf Vertraulichkeit verpflichtet wurden.
Personen, die Zugriff auf personenbezogene Daten haben, verarbeiten diese ausschließlich auf Weisung des Auftragnehmers, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.

5 Weitere Auftragsverarbeiter

Der Auftragnehmer darf weitere Auftragsverarbeiter nur nach vorheriger Information und Zustimmung des Auftraggebers beauftragen.
Der Auftragnehmer verpflichtet Subunternehmer vertraglich zur Einhaltung der gleichen Datenschutzpflichten.

6 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber, soweit möglich, bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Art. 12–22 DSGVO.
Geht ein Antrag direkt beim Auftragnehmer ein, wird er diesen unverzüglich an den Auftraggeber weiterleiten.

7 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten.
Die Meldung enthält mindestens Angaben zu Art, Umfang, Folgen und ergriffenen Abhilfemaßnahmen.

8 Datenlöschung und Rückgabe

Nach Abschluss der Auftragsverarbeitung wird der Auftragnehmer alle personenbezogenen Daten nach Weisung des Auftraggebers löschen oder zurückgeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.

9 Nachweise und Überprüfungen

Der Auftragnehmer ermöglicht dem Auftraggeber angemessene Kontrollen und stellt die erforderlichen Nachweise zur Verfügung.
Überprüfungen können in Form von Dokumentationsnachweisen oder Audits erfolgen.

10 Haftung und Gerichtsstand

Die Parteien haften nach Maßgabe des Art. 82 DSGVO.
Der Auftragnehmer haftet für Verstöße von Unterauftragsverarbeitern wie für eigenes Verschulden.
Es gilt deutsches Recht. Gerichtsstand ist Nürnberg.

11 Sonstiges

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Annex 1 – Einzelheiten der Datenverarbeitung
Kategorien betroffener Personen: 
- Kunden und Mitarbeiter des Auftraggebers 
- Lieferanten 
- Interessenten

Arten personenbezogener Daten: 
- Stammdaten (Name, Adresse)
 - Kontaktdaten (Telefon, E-Mail) 
- Vertrags- und Abrechnungsdaten 
- IT-bezogene Daten (z. B. Logfiles) 
- Besondere Kategorien: Gesundheitsdaten (z. B. Sterbedatum)
Verarbeitungszwecke: 
- Nutzung, Support und Wartung der Software „FunerALL“ 
- Durchführung von Fernwartung und Updates
Verarbeitungsorte: 
- Sitz des Auftragnehmers (Rückersdorf) 
- Homeoffice-Standorte von Mitarbeitern innerhalb Deutschlands

5. Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Die manuelle Bearbeitung von Auftraggeberdaten ist auf ein absolutes Mindestmaß zu beschränken. Änderungen müssen mit dem persönlichen Login erfolgen, um dokumentiert zu werden.
6. Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.
Der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter grenzt die jeweiligen Kompetenzen klar voneinander ab. Die ordnungsgemäße Vertragsausführung wird regelmäßig durch beide Parteien kontrolliert.
7. Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Die Verarbeitung von Echt-Daten des Auftraggebers auf eigenen Geräten Auftragnehmer ist auf ein absolutes Mindestmaß zu beschränken.
Der Auftraggeber verfügt eine entsprechende Datensicherung zur Vermeidung von Datenverlusten.
8. Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt voneinander verarbeitet, indem eine Funktionstrennung vorgenommen wird.
Seite 7 von 7
Annex 3 – Genehmigte Unterauftragsverarbeiter
Derzeit eingesetzte Unterauftragsverarbeiter (Stand: 09/2025):
- Microsoft Deutschland GmbH, München (Teams, Office 365 und E-Mail Provider der codepitch GmbH) 
- TeamViewer Germany GmbH, Göppingen (Fernwartung) 
- Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Adressvervollständigung, Kalendersynchronisierung mit Google Konto) Weitere Unterauftragsverarbeiter dürfen nur nach vorheriger Zustimmung des Auftraggebers eingesetzt werden.

Annex 4 – Genehmigte Sub-Unterauftragsverarbeiter
Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland
• Subunterauftragsverarbeiter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Zweck: Nutzung von Google Maps API Services zur Adressvervollständigung (z. B. PLZ-Suche) und Kalendersynchronisierung der Termine mit dem Google Konto des Kunden
• Rechtsgrundlage: EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, abgeschlossen zwischen Google Ireland Ltd. und Google LLC.