Auftragsverarbeitungsvertrag (AVV)
Letzte Aktualisierung: April 2026
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt unsere Nutzungsbedingungen und Datenschutzrichtlinie. Er gilt, wenn Sie als Verantwortlicher LuniOps-Dienste nutzen, die die Verarbeitung personenbezogener Daten in Ihrem Auftrag beinhalten.
1. Geltungsbereich und Zweck
Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch OzyCore ("Auftragsverarbeiter") im Auftrag des Kunden ("Verantwortlicher") im Rahmen der Nutzung der LuniOps-Plattform. Verarbeitete Datenkategorien: Kontaktdaten, Geschäftsdaten, Bestellinformationen, Lieferdaten, Rechnungsdaten. Betroffene Personen: Mitarbeiter des Verantwortlichen, Kunden des Verantwortlichen, Lieferpersonal.
2. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich: • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten • Vertraulichkeit aller verarbeiteten Daten zu gewährleisten • Geeignete technische und organisatorische Maßnahmen zu ergreifen • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen • Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
3. Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden eingesetzt: • Google Cloud Platform (Firebase) — Cloud-Infrastruktur, Datenbank, Authentifizierung • Stripe — Zahlungsabwicklung — Standort: EU/US — Zertifizierung: PCI DSS Level 1 Der Verantwortliche wird über Änderungen bei Unterauftragsverarbeitern vorab informiert und kann Einspruch erheben.
4. Sicherheitsmaßnahmen
Folgende technische und organisatorische Maßnahmen werden umgesetzt: • Verschlüsselung: AES-256 für ruhende Daten, TLS 1.3 für Daten in Übertragung • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit Mandantenisolierung • Tenant-Isolation: Strikte Datentrennung auf Datenbankebene mit Firestore Security Rules • Audit-Trail: Unveränderliche Protokollierung aller datenverändernden Operationen • Backup: Automatische tägliche Sicherungen mit Point-in-Time-Recovery • Monitoring: Echtzeit-Überwachung und Alarmierung bei Sicherheitsereignissen
5. Internationale Übermittlungen
Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914. Die produktive Regionskonfiguration wird dienstspezifisch verwaltet und intern dokumentiert.
6. Benachrichtigung bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden einer Datenschutzverletzung. Die Benachrichtigung umfasst: • Art der Verletzung und betroffene Datenkategorien • Ungefähre Anzahl betroffener Personen • Wahrscheinliche Folgen der Verletzung • Ergriffene und vorgeschlagene Maßnahmen
7. Kontakt
Für Fragen zum AVV oder zur Anforderung einer unterzeichneten Kopie: E-Mail: privacy@luniops.de Verantwortlicher: Yusuf Yilmaz, OzyCore