Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 14. Juni 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Vereinbarung zwischen GAPFY UNIPESSOAL LDA ("Gapfy", "Auftragsverarbeiter") und der Kundenorganisation ("Kunde", "Verantwortlicher"), die unsere Dienste nutzt. Er regelt die Verarbeitung der in den Kundendaten enthaltenen personenbezogenen Daten durch Gapfy im Auftrag des Kunden und gilt zusätzlich zu unseren Nutzungsbedingungen und unserer Datenschutzerklärung. Für Selbstbedienungskunden wird dieser AVV durch Verweis in die Bedingungen einbezogen; eine gegengezeichnete Ausfertigung ist auf Anfrage unter privacy@gapfy.io erhältlich.

1. Begriffsbestimmungen

"DSGVO" bezeichnet die Verordnung (EU) 2016/679. "Verantwortlicher", "Auftragsverarbeiter", "Unterauftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "Verarbeitung" und "Verletzung des Schutzes personenbezogener Daten" haben die in der DSGVO festgelegte Bedeutung. "Personenbezogene Kundendaten" bezeichnet personenbezogene Daten innerhalb der Kundendaten, die Gapfy im Auftrag des Kunden verarbeitet.

2. Rollen und Anwendungsbereich

In Bezug auf personenbezogene Kundendaten ist der Kunde der Verantwortliche und Gapfy der Auftragsverarbeiter. Gapfy verarbeitet personenbezogene Kundendaten ausschließlich zur Bereitstellung und Unterstützung der Dienste und nur auf dokumentierte Weisung des Kunden, einschließlich der in diesem AVV und den Bedingungen festgelegten Weisungen, sofern Gapfy nicht durch das Recht der EU oder eines Mitgliedstaats zu einem anderen Vorgehen verpflichtet ist; in diesem Fall unterrichtet Gapfy den Kunden, sofern das betreffende Recht dies nicht untersagt. Soweit Gapfy die Zwecke und Mittel der Verarbeitung bestimmt (zum Beispiel bei Konto-, Abrechnungs- und Sicherheitsdaten), handelt es als Verantwortlicher gemäß der Datenschutzerklärung.

3. Einzelheiten der Verarbeitung (Anhang I)

• Gegenstand: Bereitstellung der vom Kunden abonnierten Gapfy-Dienste.
• Dauer: für die Laufzeit des Abonnements zuzüglich des Löschungs- und Rückgabezeitraums in Abschnitt 11.
• Art und Zweck: Hosting, Speicherung, Organisation, Abruf, Übermittlung und Löschung von Kundendaten, soweit dies für den Betrieb der Dienste erforderlich ist.
• Arten personenbezogener Daten: Kennungen und Kontaktdaten, Inhalte, die der Kunde und seine Nutzer in den Diensten erstellen, Nutzungs- und Aktivitätsdaten sowie alle sonstigen personenbezogenen Daten, deren Übermittlung der Kunde wählt.
• Kategorien betroffener Personen: die autorisierten Nutzer des Kunden sowie alle Personen, deren personenbezogene Daten der Kunde in die Kundendaten aufnimmt.

Der Kunde darf keine besonderen Kategorien personenbezogener Daten übermitteln, es sei denn, er hat angemessene Schutzmaßnahmen getroffen, und ist für die Rechtmäßigkeit der von ihm übermittelten Daten verantwortlich.

4. Vertraulichkeit

Gapfy stellt sicher, dass die zur Verarbeitung personenbezogener Kundendaten befugten Personen zur Vertraulichkeit verpflichtet sind und die Daten nur weisungsgemäß verarbeiten.

5. Sicherheit (Anhang II)

Gapfy setzt geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO um, einschließlich der Verschlüsselung von Daten bei der Übertragung und im Ruhezustand, Zugriffskontrollen und eines Zugriffs nach dem Grundsatz der geringsten Rechte, Netzwerksegmentierung, Protokollierung und Überwachung, sicherer Softwareentwicklungspraktiken sowie regelmäßiger Überprüfung. Diese Maßnahmen sind in unserer Datenschutzerklärung beschrieben und können mit der technologischen Entwicklung aktualisiert werden, sofern das Schutzniveau nicht verringert wird.

6. Unterauftragsverarbeiter (Anhang III)

Der Kunde ermächtigt Gapfy, die auf unserer Seite Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter heranzuziehen. Gapfy erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die nicht weniger schützend sind als dieser AVV, und bleibt für deren Leistung verantwortlich. Gapfy kündigt jeden neuen oder ersetzenden Unterauftragsverarbeiter im Voraus an; der Kunde kann aus berechtigten datenschutzrechtlichen Gründen Widerspruch erheben, und die Parteien arbeiten nach Treu und Glauben an der Beilegung des Widerspruchs.

7. Unterstützung bei den Rechten betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt Gapfy den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Beantwortung von Anträgen betroffener Personen, die ihre Rechte nach Kapitel III DSGVO ausüben. Soweit Gapfy einen solchen Antrag unmittelbar erhält, verweist es die betroffene Person an den Kunden.

8. Unterstützung bei Sicherheit, Verletzungen und Folgenabschätzungen

Gapfy unterstützt den Kunden bei der Gewährleistung der Einhaltung der Artikel 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Gapfy zur Verfügung stehenden Informationen.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

Gapfy benachrichtigt den Kunden unverzüglich, nachdem es von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Kundendaten betrifft, und stellt die Informationen bereit, die der Kunde nach vernünftigem Ermessen zur Erfüllung seiner eigenen Meldepflichten benötigt.

10. Internationale Übermittlungen

Gapfy hostet personenbezogene Kundendaten in der Europäischen Union. Soweit ein Unterauftragsverarbeiter Daten außerhalb des Europäischen Wirtschaftsraums übermittelt, stützt sich die Übermittlung auf einen Angemessenheitsbeschluss oder die Standardvertragsklauseln der Europäischen Kommission mit zusätzlichen Schutzmaßnahmen, wie auf der Seite Unterauftragsverarbeiter angegeben.

11. Rückgabe und Löschung

Bei Beendigung der Dienste gibt Gapfy die personenbezogenen Kundendaten nach Wahl des Kunden innerhalb einer angemessenen Frist zurück oder löscht sie, sofern nicht das Recht der EU oder eines Mitgliedstaats eine Speicherung verlangt. Der Kunde kann die Kundendaten während des Abonnements und während des Exportzeitraums nach Beendigung exportieren.

12. Prüfungen

Gapfy stellt dem Kunden die zum Nachweis der Einhaltung des Artikels 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem von ihm beauftragten Prüfer durchgeführt werden, nach angemessener vorheriger Ankündigung und vorbehaltlich der Vertraulichkeit.

13. Haftung

Die Haftung jeder Partei nach diesem AVV unterliegt den Beschränkungen und Ausschlüssen in den Bedingungen oder einer zwischen den Parteien geschlossenen unterzeichneten Vereinbarung.

14. Kontakt

Um einen gegengezeichneten AVV anzufordern oder eine Frage zur Verarbeitung zu stellen, wenden Sie sich an privacy@gapfy.io.

Dies ist eine Übersetzung zur Erleichterung. Die englischsprachige Fassung dieses Dokuments ist die maßgebliche und rechtsverbindliche Fassung.