Auftragsverarbeitungsvertrag (AVV)

(1) Dieser AVV regelt die Verarbeitung personenbezogener Daten durch Corpra im Auftrag des Nutzers im Rahmen der Nutzung der Corpra-Plattform.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags.

(1) Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Auswertung und Löschung.

(2) Zweck: Bereitstellung der Corpra-SaaS-Plattform für Corporate Governance.

(3) Kategorien betroffener Personen:

• Nutzer (Geschäftsführer, Gesellschafter, Berater)
• In Dokumenten enthaltene Personen (z. B. in Gesellschafterlisten, Protokollen, HR-Auszügen)

(4) Kategorien personenbezogener Daten:

• Name, E-Mail-Adresse, Rolle
• Unternehmensdaten (HRB, Sitz, Stammkapital)
• Gesellschafterdaten (Anteile, Adressen, Geburtsdaten soweit in Dokumenten)
• Beschlussinhalte und Protokolle

(1) Corpra verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Nutzers.

(2) Corpra stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.

(3) Corpra unterstützt den Nutzer bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung).

(4) Corpra informiert den Nutzer unverzüglich, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.

Corpra hat folgende TOMs implementiert:

Zutrittskontrolle:
Serverstandorte in gesicherten Rechenzentren (ISO 27001)

Zugangskontrolle:
Passwortgeschützte Nutzerkonten · Zwei-Faktor-Authentifizierung (optional) · Automatische Session-Timeouts

Zugriffskontrolle:
Rollenbasierte Zugriffsrechte (RBAC) · Row Level Security (RLS) in der Datenbank · Kein mandantenübergreifender Datenzugriff

Trennungskontrolle:
Logische Mandantentrennung durch company_id-basierte Datenisolation

Übertragungskontrolle:
TLS-Verschlüsselung aller Verbindungen · Verschlüsselte Datenbankverbindungen

Eingabekontrolle:
Logging von Zugriffen und Änderungen

Verfügbarkeitskontrolle:
Automatische Backups (Supabase) · Redundante Infrastruktur

Wiederherstellbarkeit:
Point-in-Time Recovery verfügbar

(1) Corpra ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:

(2) Corpra informiert den Nutzer über geplante Änderungen der Unterauftragsverarbeiter. Der Nutzer kann Änderungen innerhalb von 14 Tagen widersprechen.

(1) Datenübermittlungen in Drittländer (insb. USA) erfolgen ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln).

(2) Die aktuellen Standardvertragsklauseln sind auf Anfrage bei Corpra erhältlich.

(1) Nach Beendigung des Hauptvertrags löscht Corpra alle personenbezogenen Daten des Nutzers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Anfrage stellt Corpra dem Nutzer vor der Löschung einen Datenexport (JSON/CSV) zur Verfügung.

(1) Der Nutzer ist berechtigt, die Einhaltung der Datenschutzvorschriften durch Corpra zu kontrollieren.

(2) Corpra stellt auf Anfrage Nachweise über die TOMs zur Verfügung (z. B. Zertifikate der Unterauftragsverarbeiter, Selbstauskunft).

(1) Corpra meldet Datenschutzverletzungen unverzüglich, spätestens jedoch binnen 36 Stunden nach Bekanntwerden, an den Nutzer.

(2) Corpra unterstützt den Nutzer bei der Meldung an die zuständige Aufsichtsbehörde.

Die Haftung zwischen den Parteien richtet sich nach Art. 82 DSGVO. Im Außenverhältnis zu Betroffenen haftet jede Partei für die von ihr zu vertretenden Datenschutzverstöße.

(1) Dieser AVV ist Bestandteil des Hauptvertrags und geht diesem bei Widersprüchen in Datenschutzfragen vor.

(2) Änderungen bedürfen der Schriftform.