ENDE

Auftragsverarbeitungsvertrag (AVV)

Stand: Dezember 2025

Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO gilt zwischen dem Kunden als Verantwortlichem und Marco Kerwitz, kerwitz.dev, Birkenweg 21, 31226 Peine (nachfolgend "Auftragsverarbeiter") für die Nutzung des SaaS-Dienstes "Kanman".

Für B2B-Kunden

Wenn Sie Kanman als Unternehmen nutzen und Ihre Endnutzer personenbezogene Daten in Kanman speichern, benötigen Sie möglicherweise einen AVV. Kontaktieren Sie uns unter [email protected] für eine unterzeichnete Version.

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter stellt dem Verantwortlichen die webbasierte Projektmanagement-Software "Kanman" als SaaS-Lösung zur Verfügung. Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

1.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags über die Nutzung von Kanman. Nach Beendigung des Hauptvertrags werden die Daten gemäß den Bestimmungen dieses AVV gelöscht oder zurückgegeben.

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung des SaaS-Dienstes Kanman, insbesondere:

  • Speicherung und Verwaltung von Projekten, Boards und Aufgaben
  • Benutzerauthentifizierung und Zugriffsverwaltung
  • Bereitstellung von API- und Webhook-Funktionen (Pro/Teams)
  • Technischer Support und Fehlerbehebung

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten können verarbeitet werden:

  • Stammdaten: Name, E-Mail-Adresse der Endnutzer
  • Nutzungsdaten: Anmeldedaten, Aktivitätsprotokolle, IP-Adressen
  • Inhaltsdaten: Von Endnutzern erstellte Projekte, Aufgaben und sonstige Inhalte

4. Kategorien betroffener Personen

Betroffene Personen sind:

  • Mitarbeiter und Beauftragte des Verantwortlichen
  • Sonstige Endnutzer, denen der Verantwortliche Zugang zu Kanman gewährt

5. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass:

  • eine geeignete Rechtsgrundlage für die Verarbeitung vorliegt;
  • betroffene Personen ordnungsgemäß informiert wurden;
  • Weisungen an den Auftragsverarbeiter rechtmäßig sind;
  • die Einhaltung datenschutzrechtlicher Vorschriften regelmäßig überprüft wird.

6. Pflichten des Auftragsverarbeiters

6.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

6.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.3 Sicherheit der Verarbeitung

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die technischen und organisatorischen Maßnahmen (TOMs) sind in Anlage 1 beschrieben.

6.4 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei der Verantwortliche die Möglichkeit erhält, gegen diese Änderungen Einspruch zu erheben. Die aktuellen Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

6.5 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen:

  • bei der Erfüllung der Pflichten zur Beantwortung von Anträgen betroffener Personen (Art. 15-22 DSGVO);
  • bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, vorherige Konsultation);
  • bei Datenschutzverletzungen gemäß Art. 33-34 DSGVO.

6.6 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, es sei denn, eine Aufbewahrung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich. Auf Verlangen des Verantwortlichen werden die Daten vor der Löschung in einem gängigen Format zurückgegeben.

6.7 Nachweispflicht und Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

7. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44-49 DSGVO erfüllt sind. Für Übermittlungen in die USA werden EU-Standardvertragsklauseln (SCCs) sowie, soweit anwendbar, Zertifizierungen unter dem EU-US Data Privacy Framework verwendet.

8. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet gegenüber betroffenen Personen für den gesamten Schaden, der durch eine Verarbeitung entstanden ist, die gegen die DSGVO verstößt. Die Partei, die den Schaden ersetzt hat, kann von der anderen Partei den Teil des Schadensersatzes zurückfordern, der deren Anteil an der Verantwortung für den Schaden entspricht.

9. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

Serverinfrastruktur wird von zertifizierten Rechenzentren (Supabase EU, Cloudflare) betrieben, die über physische Zugangskontrollen, Überwachung und Sicherheitspersonal verfügen.

Zugangskontrolle

  • Passwortrichtlinien für alle Benutzerkonten
  • Verschlüsselte Speicherung von Passwörtern (bcrypt)
  • Sitzungsmanagement mit automatischem Timeout
  • Administratorzugang nur für autorisiertes Personal

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) für Teams-Workspaces
  • Berechtigungstrennung zwischen Workspaces
  • Protokollierung von Zugriffen

Weitergabekontrolle

  • TLS 1.3-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Datenbankverbindungen
  • Kein unverschlüsselter Datentransfer

Eingabekontrolle

  • Protokollierung von Datenänderungen
  • Versionierung von Daten wo anwendbar

Verfügbarkeitskontrolle

  • Regelmäßige automatische Backups
  • Georedundante Datenspeicherung
  • Überwachung und Alerting
  • Notfallwiederherstellungsverfahren

Trennungskontrolle

  • Logische Trennung von Kundendaten durch Workspace-IDs
  • Separate Datenbankschemas pro Mandant
  • Strenge Isolation zwischen Kunden

Anlage 2: Liste der Unterauftragsverarbeiter

Unterauftragsverarbeiter Standort Zweck Garantien
Supabase Inc. USA (EU-Hosting) Datenbank, Authentifizierung SCCs, DPA
Cloudflare Inc. USA CDN, DDoS-Schutz, DNS DPF, SCCs, DPA
Stripe Payments Europe Ltd. Irland Zahlungsabwicklung DPA

Änderungen an dieser Liste werden dem Verantwortlichen mindestens 14 Tage vor Inkrafttreten mitgeteilt.

Kontakt

Für Fragen zu diesem AVV oder zur Anforderung einer unterzeichneten Version:

E-Mail: [email protected]