Auftragsverarbeitungsvertrag gemäss Art. 28 DSGVO
zwischen dem Kunden der Software PAREBA (nachfolgend „Auftraggeber“) und der Reisener UG (haftungsbeschraenkt), Holtwicker Strasse 102A, 45721 Haltern am See (nachfolgend „Auftragnehmer“).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Software PAREBA (Partnerprogramm-Verwaltung).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB). Nach Beendigung des Hauptvertrages werden die Daten gemaess § 7 dieses AVV geloescht.
§ 2 Art und Zweck der Verarbeitung
(1) Die Art der Verarbeitung umfasst: Erhebung, Speicherung, Veraenderung, Abfrage, Verwendung, Uebermittlung (an Publisher des Auftraggebers), Loeschung.
(2) Der Zweck der Verarbeitung ist die Bereitstellung der SaaS-Loesung PAREBA zur Verwaltung von Partnerprogrammen, einschliesslich:
- Verwaltung von Publisher-Registrierungen und -Daten
- Tracking von Klicks und Conversions
- Berechnung und Verwaltung von Provisionen
- Erstellung von Gutschriften und Abrechnungen
- Kommunikation mit Publishern (E-Mail-Versand)
§ 3 Kategorien betroffener Personen und Daten
Betroffene Personen:
- Publisher (Affiliate-Partner) des Auftraggebers
- Endkunden des Auftraggebers (nur Tracking-Daten)
Kategorien personenbezogener Daten:
- Publisher: Name, E-Mail, Adresse, Telefon, Bankverbindung, Steuernummer, Website-URLs
- Endkunden: IP-Adresse (gekuerzt), Cookie-ID, Bestellwert, Bestellnummer (keine Klarnamen oder Kontaktdaten)
- Nutzungsdaten: Klickzeitpunkte, Conversion-Daten, SubIDs
§ 4 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragnehmer gewaehrleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer ergreift alle gemaess Art. 32 DSGVO erforderlichen technischen und organisatorischen Massnahmen (siehe § 6).
(4) Der Auftragnehmer unterstuetzt den Auftraggeber bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.
(5) Der Auftragnehmer unterstuetzt den Auftraggeber bei der Beantwortung von Antraegen betroffener Personen (Art. 12-23 DSGVO).
§ 5 Unterauftragnehmer
(1) Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
| Unterauftragnehmer | Leistung | Standort |
|---|---|---|
| goserver.host (Starter Host GmbH) | Server-Hosting | Deutschland |
(2) Der Auftragnehmer informiert den Auftraggeber ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber kann gegen solche Aenderungen Einspruch erheben.
(3) Der Auftragnehmer schliesst mit jedem Unterauftragnehmer einen Vertrag, der dieselben Datenschutzpflichten enthaelt wie dieser AVV.
§ 6 Technische und organisatorische Massnahmen
Der Auftragnehmer hat folgende technische und organisatorische Massnahmen getroffen:
Zutrittskontrolle: Rechenzentrum mit physischer Zugangskontrolle (Betreiber: goserver.host, ISO 27001 zertifiziert).
Zugangskontrolle: Passwortgeschuetzte Zugaenge, Bcrypt-Hashing (Faktor 12), rollenbasiertes Berechtigungssystem, individuelle Admin-Zugaenge.
Zugriffskontrolle: Mandantentrennung auf Datenbankebene, Aktivitaets-Logging aller Admin-Aktionen, Prinzip der minimalen Rechte.
Weitergabekontrolle / Uebertragungskontrolle: SSL/TLS-Verschluesselung (HTTPS), HSTS aktiviert, verschluesselte Datenbank-Verbindungen, sichere API-Authentifizierung (Bearer Token).
Eingabekontrolle: Protokollierung aller datenveraendernden Aktionen mit Zeitstempel und Benutzer-ID.
Auftragskontrolle: Verarbeitung nur nach dokumentierter Weisung, Vertraulichkeitsverpflichtung aller Mitarbeiter.
Verfuegbarkeitskontrolle: Taegliche automatische Backups, 30 Tage Aufbewahrung, separater Backup-Server in Deutschland, Monitoring und Alerting.
Trennungsgebot: Mandantentrennung auf Datenbankebene, isolierte Kundeninstanzen, keine gemeinsame Datennutzung zwischen Mandanten.
§ 7 Loeschung und Rueckgabe von Daten
(1) Nach Beendigung des Hauptvertrages stehen dem Auftraggeber seine Daten fuer 30 Tage zum Export zur Verfuegung.
(2) Nach Ablauf dieser Frist loescht der Auftragnehmer saemtliche im Auftrag verarbeiteten personenbezogenen Daten unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(3) Der Auftragnehmer bestaetigt die Loeschung auf Anfrage schriftlich.
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu ueberpruefen, einschliesslich durch Inspektionen.
(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung.
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer informiert den Auftraggeber unverzueglich, spaetestens innerhalb von 24 Stunden, ueber jede Verletzung des Schutzes personenbezogener Daten.
(2) Die Meldung enthaelt mindestens: Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen, ergriffene und vorgeschlagene Massnahmen.
§ 10 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Hauptvertrages (AGB) und tritt mit Abschluss des Hauptvertrages in Kraft.
(2) Bei Widerspruechen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.
(3) Aenderungen dieses AVV beduerfen der Textform.
Auftragnehmer:
Reisener UG (haftungsbeschraenkt)
Holtwicker Strasse 102A, 45721 Haltern am See
Geschaeftsfuehrer: Joerg Reisener
E-Mail: kontakt@pareba.de
Stand: April 2026