Auftragsverarbeitungsvertrag

zwischen

– nachfolgend „Auftragnehmer“ oder „KMUPIM“ –

und der Kundin / dem Kunden, mit der/dem ein Vertrag über die Nutzung der KMUPIM-Plattform geschlossen wurde,

– nachfolgend „Auftraggeber“ oder „Kunde“ –

– gemeinsam die „Parteien“ –

Präambel

Der Auftraggeber nutzt auf Grundlage eines separaten Hauptvertrags („Nutzungsvertrag“) die SaaS-Plattform „KMUPIM“ des Auftragnehmers zur Verwaltung von Produktinformationen, Medien, Releases und damit verbundenen Workflows. Im Rahmen dieser Nutzung verarbeitet der Auftragnehmer personenbezogene Daten weisungsgebunden im Auftrag des Auftraggebers. Mit diesem Vertrag konkretisieren die Parteien die Pflichten nach Art. 28 DSGVO.

Dieser AVV ist Bestandteil des Nutzungsvertrags. Soweit in diesem AVV nichts Abweichendes geregelt ist, gelten die Bestimmungen des Nutzungsvertrags ergänzend.

§ 1 Gegenstand des Auftrags

(1) Gegenstand des Auftrags ist die Bereitstellung und der Betrieb der Software-as-a-Service-Anwendung KMUPIM einschließlich aller hierfür erforderlichen Hilfsleistungen (Hosting, Backup, Wartung, Support, optionale Anbindungen an Drittsysteme).

(2) Die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen dieses Vertrags erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine ausnahmsweise gesetzliche Verpflichtung des Auftragnehmers nach dem Recht der Union oder eines Mitgliedstaats entgegensteht (Art. 28 Abs. 3 lit. a DSGVO).

(3) Der Hauptvertrag und seine Anlagen einschließlich der jeweils geltenden Produktbeschreibung enthalten zugleich die Grund-Weisung des Auftraggebers.

§ 2 Dauer

Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags. Die Bestimmungen dieses AVV gelten so lange, wie der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, und überdauern eine Beendigung des Nutzungsvertrags, soweit dies für die ordnungsgemäße Rückgabe oder Löschung der Daten erforderlich ist (§ 11).

§ 3 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen

3.1 Zweck der Verarbeitung

Bereitstellung der KMUPIM-Plattform für den Auftraggeber, insbesondere:

• Verwaltung von Produktinformationen (PIM), Medien und Assets,
• Planung und Steuerung von Produkt-Releases,
• Synchronisation mit angeschlossenen Drittsystemen (z. B. Shopify) im Rahmen der vom Auftraggeber freigeschalteten Konnektoren,
• Bereitstellung optionaler KI-gestützter Hilfsfunktionen, soweit vom Auftraggeber aktiviert (BYOK),
• Nutzer- und Berechtigungsverwaltung innerhalb des Workspaces des Auftraggebers,
• Versand technischer und transaktionaler Benachrichtigungen,
• Support- und Wartungsleistungen.

3.2 Art der Verarbeitung

Erheben, Erfassen, Speichern, Organisieren, Ordnen, Verändern, Auslesen, Anzeigen, Übermitteln (z. B. an angeschlossene Drittsysteme), Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen.

3.3 Art der personenbezogenen Daten

• Konto- und Stammdaten der Nutzer des Auftraggebers: Vor-/Nachname, geschäftliche E-Mail-Adresse, Sprache, Avatar (sofern hochgeladen), Rolle im Workspace.
• Authentifizierungs- und Sicherheitsdaten: Passwort-Hashes (Argon2id), Refresh-Token, 2FA-Geheimnisse (AES-256-verschlüsselt), Login-Logs (IP, Zeitstempel, User-Agent).
• Workspace-Credentials: Vom Auftraggeber hinterlegte Zugangsdaten zu Drittsystemen (z. B. Shopify Custom App – Client ID/Secret, Access Token), verschlüsselt mit libsodium / XSalsa20-Poly1305.
• Inhaltsdaten: Vom Auftraggeber bzw. seinen Nutzern angelegte Produkt-, Medien- und Release-Daten; diese können personenbezogene Daten enthalten, soweit der Auftraggeber solche Daten in die Plattform einspeist.
• Kommunikationsdaten: Inhalte von Support-Nachrichten an KMUPIM.

3.4 Kategorien betroffener Personen

• Mitarbeitende, Kollaborateure und Administrator/innen des Auftraggebers (Nutzer der Plattform);
• Ansprechpartner/innen und sonstige Personen, deren personenbezogene Daten der Auftraggeber in seinen Inhaltsdaten verarbeitet.

3.5 Keine besonderen Datenkategorien

Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie von Daten gemäß Art. 10 DSGVO ist nicht vorgesehen. Der Auftraggeber sichert zu, solche Daten nicht in die Plattform einzustellen, sofern nicht zuvor schriftlich vereinbart und mit ergänzenden Garantien abgesichert.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung nach Unions- oder Mitgliedstaatsrecht verpflichtet ist. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Der Auftragnehmer hält schriftliche bzw. elektronische Aufzeichnungen über Kategorien von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

(3) Der Auftragnehmer hat zur Wahrung der Vertraulichkeit alle mit den Verarbeitungen befassten Personen vor Aufnahme der Tätigkeit auf Vertraulichkeit verpflichtet und stellt deren Fortbestand auch nach Beendigung ihrer Tätigkeit sicher (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO).

(4) Der Auftragnehmer setzt die in Anlage 1 (TOM) dargestellten technischen und organisatorischen Maßnahmen um und entwickelt diese im Einklang mit dem Stand der Technik fort. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.

(5) Der Auftragnehmer unterstützt den Auftraggeber – soweit angemessen und unter Berücksichtigung der Art der Verarbeitung – bei der Erfüllung von Anträgen betroffener Personen sowie bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO (Art. 28 Abs. 3 lit. e, f DSGVO).

(6) Der Auftragnehmer meldet dem Auftraggeber unverzüglich nach Kenntniserlangung, spätestens jedoch innerhalb von 72 Stunden, jede Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO). Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit dem Auftragnehmer bekannt.

(7) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

(8) Der Auftragnehmer hat keinen Datenschutzbeauftragten benannt; eine entsprechende Pflicht nach Art. 37 DSGVO i.V.m. § 38 BDSG besteht nicht. Datenschutz-Anfragen werden unter info@kmupim.com bearbeitet.

§ 5 Pflichten des Auftraggebers

(1) Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die durch ihn in der Plattform verarbeiteten personenbezogenen Daten. Er ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Rechte der betroffenen Personen verantwortlich (Art. 24 DSGVO).

(2) Der Auftraggeber erteilt sämtliche Weisungen grundsätzlich schriftlich oder per E-Mail an info@kmupim.com. Mündliche Weisungen sind unverzüglich schriftlich oder per E-Mail zu bestätigen.

(3) Der Auftraggeber benennt eine ansprechbare Stelle für datenschutzrelevante Anfragen (im Regelfall die in der Hauptbestellung angegebene E-Mail-Adresse).

(4) Der Auftraggeber stellt sicher, dass er für die Übermittlung personenbezogener Daten in die Plattform die erforderliche Rechtsgrundlage besitzt (insbesondere Einwilligung der Betroffenen, soweit erforderlich) und dass die Betroffenen entsprechend informiert sind.

(5) Der Auftraggeber hat über seine vom Auftragnehmer bereitgestellten administrativen Funktionen umfassende Möglichkeiten zur Steuerung, Auskunft, Berichtigung, Löschung und Export von Daten („Selbst-Service“). Ergänzend kann er den Auftragnehmer um Unterstützung bitten.

§ 6 Anfragen betroffener Personen

(1) Sofern eine betroffene Person sich direkt an den Auftragnehmer wendet, leitet der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiter, sofern aus der Anfrage erkennbar ist, dass sie den Auftraggeber betrifft.

(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Beantwortung von Anträgen auf Auskunft, Berichtigung, Einschränkung, Datenübertragbarkeit, Widerspruch oder Löschung gemäß Art. 12 ff. DSGVO. Der Auftragnehmer kann hierfür den nachgewiesenen Mehraufwand in Rechnung stellen, soweit der Aufwand über den standardmäßig im Produkt enthaltenen Selbst-Service-Funktionen liegt; Standard-Anfragen sind kostenfrei.

§ 7 Unterauftragsverarbeiter

7.1 Allgemeine Zustimmung

(1) Der Auftraggeber erteilt hiermit die allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 Satz 2 DSGVO) zur Hinzuziehung der in Anlage 2 genannten Unterauftragsverarbeiter zum Zeitpunkt des Vertragsschlusses.

(2) Der Auftragnehmer unterrichtet den Auftraggeber mindestens 30 Tage vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern (per E-Mail an die hinterlegte Datenschutz-Kontaktadresse oder durch Bekanntgabe in der Anwendung).

(3) Der Auftraggeber kann der Hinzuziehung oder Ersetzung innerhalb von 14 Tagen nach Mitteilung aus wichtigem datenschutzrechtlichen Grund schriftlich widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien zur einvernehmlichen Lösung verpflichtet; gelingt diese nicht, ist der Auftraggeber berechtigt, den Nutzungsvertrag mit einer Frist von 30 Tagen außerordentlich zu kündigen. Bereits gezahlte Vergütungen werden anteilig erstattet.

7.2 Anforderungen

Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter vor Aufnahme der Tätigkeit auf datenschutzrechtliche Verpflichtungen, die denen dieses Vertrags entsprechen, insbesondere auf die Einhaltung der Vertraulichkeit, der TOM und der Zweckbindung (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter wie für eigenes Verschulden.

7.3 Weitere Empfänger (keine Unterauftragsverarbeitung)

Die folgenden Empfänger werden im Rahmen der Plattform-Nutzung vom Auftraggeber selbst angesteuert oder agieren als eigenverantwortliche Stellen und sind keine Unterauftragsverarbeiter des Auftragnehmers:

• Shopify International Ltd. / Shopify Inc. – Empfänger der vom Auftraggeber initiierten API-Aufrufe an seinen eigenen Shop;
• Mistral AI SAS, OpenRouter, Inc., Runware AI, Inc. und vergleichbare KI-Anbieter – sofern der Auftraggeber freiwillig einen eigenen API-Schlüssel hinterlegt und KI-Funktionen aktiv nutzt („Bring Your Own Key“). Vertragspartner dieser Anbieter ist der Auftraggeber.

§ 8 Drittlandsübermittlung

(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet ausschließlich im Rahmen der in Anlage 2 dargestellten Konstellationen statt.

(2) Soweit Drittlandsübermittlungen erfolgen, stützt der Auftragnehmer diese auf:

• den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework vom 10.07.2023 (Art. 45 DSGVO), sofern der Empfänger DPF-zertifiziert ist;
• ergänzend die Standardvertragsklauseln der EU-Kommission (Durchführungsbeschluss 2021/914, Art. 46 Abs. 2 lit. c DSGVO) einschließlich ergänzender technischer und organisatorischer Schutzmaßnahmen entsprechend den Empfehlungen 01/2020 des EDSA.

(3) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage Nachweise zur Verfügung.

§ 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der TOM und der Pflichten dieses Vertrags zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragnehmer erbringt diese Nachweise im Regelfall durch:

• die zur Verfügung stehende aktuelle TOM-Dokumentation (Anlage 1),
• die Bereitstellung von Status-, Sicherheits- und ggf. vorhandenen Audit-Berichten (z. B. Penetrationstests) auf begründete Anfrage,
• schriftliche oder elektronische Beantwortung sachgerechter Fragebögen des Auftraggebers innerhalb angemessener Frist.

(3) Eine Vor-Ort-Prüfung ist möglich, jedoch nur in Abstimmung mit dem Auftragnehmer, mit angemessenem Vorlauf (mindestens 30 Tage), während der üblichen Geschäftszeiten und ohne wesentliche Störung des Geschäftsbetriebs. Der Auftraggeber trägt seine eigenen Kosten; der Auftragnehmer kann den durch die Prüfung verursachten Mehraufwand in Rechnung stellen, soweit dieser nicht durch die Anhaltspunkte eines konkreten Verstoßes ausgelöst wurde.

(4) Eingesetztes Prüfpersonal ist zur Vertraulichkeit zu verpflichten; Wettbewerber des Auftragnehmers sind als Prüfer ausgeschlossen.

§ 10 Haftung

Für die Haftung der Parteien aus diesem AVV gelten die Regelungen des Nutzungsvertrags; ergänzend bleibt Art. 82 DSGVO sowie sonstiges zwingendes Recht unberührt. Im Innenverhältnis tragen die Parteien etwaige nach Art. 82 DSGVO geleistete Ersatzzahlungen entsprechend ihrem jeweiligen Verantwortungsanteil.

§ 11 Rückgabe und Löschung nach Vertragsende

(1) Mit Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle für den Auftraggeber gespeicherten personenbezogenen Daten innerhalb von 30 Tagen vollständig und unwiederbringlich, einschließlich der in Backups enthaltenen Kopien nach Ablauf der jeweiligen Backup-Vorhaltefrist (max. 30 Tage nach erstmaliger Löschung im Live-System).

(2) Auf Wunsch des Auftraggebers stellt der Auftragnehmer die personenbezogenen Daten vor der Löschung in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV, ZIP der Mediendateien) zum Export bereit. Der hierfür entstehende Aufwand kann gesondert berechnet werden; ein einmaliger Datenexport im Standard-Format ist kostenfrei.

(3) Die Löschung wird auf Anforderung schriftlich bzw. per E-Mail bestätigt.

(4) Gesetzliche Aufbewahrungspflichten bleiben unberührt; davon erfasste Daten werden gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

§ 12 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt der Vertrag im Übrigen wirksam. Die unwirksame Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem mit ihr verfolgten wirtschaftlichen Zweck am nächsten kommt.

(3) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (E-Mail genügt). Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

(4) Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragnehmers.

Anlagen

• Anlage 1: Technische und organisatorische Maßnahmen (TOM) – auf Anfrage unter info@kmupim.com oder über das Trust-Portal verfügbar.
• Anlage 2: Liste der Unterauftragsverarbeiter – siehe nachstehend.

Anlage 2 – Liste der Unterauftragsverarbeiter

Stand: 26. Mai 2026. Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Die jeweils aktuelle Fassung dieser Liste ist öffentlich abrufbar unter www.kmupim.com/subprocessors und wird gemäß § 7.1 dieses AVV mit mindestens 30-tägiger Vorlauffrist aktualisiert.

Etwaige zusätzliche Empfänger, an die der Auftragnehmer Daten lediglich auf eigene Veranlassung des Auftraggebers übermittelt (z. B. Shopify als Ziel der vom Kunden konfigurierten Sync-Verbindung), sowie BYOK-KI-Anbieter (Abschnitt § 7.3) gelten nicht als Unterauftragsverarbeiter des Auftragnehmers.