Logo Carpose Demo anfordern

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Vertragsparteien

Dieser Vertrag wird geschlossen zwischen dem Auftraggeber – das jeweilige Autohaus oder Unternehmen, das die Dienste von Carpose nutzt – und dem Auftragsverarbeiter, der Carpose, c/o Block Services, Stuttgarter Str. 106, 70736 Fellbach, Deutschland, ist. Der Vertrag regelt die Verarbeitung personenbezogener Daten durch Carpose im Auftrag des Kunden.

§1 Gegenstand und Dauer der Verarbeitung

Carpose verarbeitet personenbezogene Daten ausschließlich zur Weiterleitung von Kontaktanfragen, die über die Carpose-Plattform an Autohäuser gestellt werden. Die Dauer dieser Verarbeitung entspricht der Dauer der Nutzung des Carpose-Dienstes durch den jeweiligen Auftraggeber.

§2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst die Erhebung, Speicherung, Weiterleitung und Löschung von personenbezogenen Daten, die durch Interessenten über die Plattform eingegeben werden. Diese Daten werden gespeichert und verschlüsselt an das jeweilige Autohaus über den E-Mail-Dienstleister Brevo weitergeleitet. Nach Ablauf von 30 Tagen werden die Daten automatisch gelöscht, um eine datenschutzkonforme Speicherung zu gewährleisten.

§3 Art der verarbeiteten Daten und betroffene Personen

Verarbeitet werden ausschließlich die Daten, die zur Kontaktaufnahme notwendig sind: Vorname, Nachname, E-Mail-Adresse und Telefonnummer. Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Die betroffenen Personen sind Nutzer, die eine Anfrage zu einem Fahrzeuginserat über die Plattform stellen.

§4 Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für die Information der betroffenen Personen über die Datenverarbeitung. Dazu gehört insbesondere die Aufnahme entsprechender Hinweise in die Datenschutzerklärung der eigenen Website. Gegebenenfalls ist auch die Einholung der Einwilligung zur Datenverarbeitung durch den Endnutzer erforderlich.

§5 Pflichten des Auftragsverarbeiters (Carpose)

Carpose verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Werden Weisungen als rechtlich bedenklich erkannt, informiert Carpose den Auftraggeber unverzüglich. Carpose sichert ein hohes Maß an Datensicherheit zu, unter anderem durch Hosting in der EU bei Hetzner, verschlüsselte Datenbanken, Zugriffskontrolle und regelmäßige Sicherheitsüberprüfungen. Brevo wird als Subunternehmer zur Versendung von E-Mails genutzt. Weitere Unterauftragsverarbeiter werden nur nach Zustimmung des Auftraggebers hinzugezogen.

§6 Speicherung und Löschung der Daten

Die personenbezogenen Daten werden maximal 30 Tage gespeichert, danach automatisch gelöscht. Diese Frist reicht aus, da die Daten innerhalb dieses Zeitraums in das System des Autohauses übertragen werden. Nach Vertragsbeendigung werden sämtliche Daten des Auftraggebers aus dem Carpose-System gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.

§7 Rechte der betroffenen Personen

Betroffene Personen können ihre Rechte auf Auskunft, Berichtigung und Löschung gemäß DSGVO wahrnehmen. Die Anfragen können sowohl an das jeweilige Autohaus als auch direkt an Carpose gestellt werden. Carpose leitet solche Anfragen an den Auftraggeber weiter oder bearbeitet sie, sofern es sich um technisch bedingte Löschungen handelt.

§8 Datenschutzverletzungen & Meldepflichten

Carpose ist verpflichtet, Datenschutzverletzungen, die ein Risiko für die Rechte betroffener Personen darstellen, unverzüglich – spätestens jedoch innerhalb von 72 Stunden – dem Auftraggeber und der zuständigen Aufsichtsbehörde zu melden. Gleichzeitig verpflichtet sich Carpose, alle erforderlichen Maßnahmen zur Eindämmung des Vorfalls zu ergreifen und den Auftraggeber über Fortschritte und Maßnahmen zu informieren.

§9 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich einmal jährlich über die Einhaltung der vertraglichen Datenschutzvorgaben zu informieren. Carpose stellt hierfür Nachweise zur Verfügung, beispielsweise in Form von Dokumentationen oder Auditberichten. Vor-Ort-Kontrollen sind nach vorheriger Absprache möglich. Die damit verbundenen Kosten trägt der Auftraggeber.

§10 Einbindung von Unterauftragnehmern

Carpose setzt derzeit Brevo als Unterauftragsverarbeiter für den Versand von E-Mails ein. Weitere Subunternehmer werden nur mit vorheriger schriftlicher Zustimmung des Auftraggebers eingesetzt. Über Änderungen in der Subunternehmerliste wird der Auftraggeber rechtzeitig informiert und kann im Rahmen der DSGVO Einspruch einlegen.

§11 Beendigung des Vertrags & Änderungen

Der Vertrag bleibt so lange in Kraft, wie der Auftraggeber Carpose aktiv nutzt. Änderungen oder Kündigungen bedürfen der Schriftform. Nach Vertragsende löscht Carpose alle gespeicherten personenbezogenen Daten, es sei denn, eine gesetzliche Aufbewahrungsfrist verlangt etwas anderes.

§12 Anwendbares Recht & Gerichtsstand

Dieser Vertrag unterliegt dem deutschen Datenschutzrecht, insbesondere der DSGVO. Gerichtsstand ist Fellbach, Deutschland.