Auftragsverarbeitungsvertrag (AV-Vertrag)

1.1 Vertragsparteien

• Auftraggeber (Verantwortlicher): Der Nutzer der BauFinanz-Software
• Auftragnehmer (Auftragsverarbeiter): PerspektivRaum GmbH, Nauener Straße 60, 16833 Linum

1.2 Gegenstand der Auftragsverarbeitung

Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) ist integraler Bestandteil der Nutzungsbedingungen der BauFinanz-Software und regelt die Verarbeitung personenbezogener Daten durch PerspektivRaum GmbHim Auftrag und unter Kontrolle des Auftraggebers gemäß Art. 28 Abs. 3 DSGVO.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach Weisung des Auftraggebers und nur in dem Umfang, der zur Erbringung der Dienstleistungen erforderlich ist.

1.3 Dauer der Auftragsverarbeitung

• Beginn: Mit Aktivierung des Nutzerkontos
• Dauer: Für die Vertragslaufzeit der Software-Nutzungsvereinbarung
• Ende: Mit Kündigung oder Beendigung des Hauptvertrags

2.1 Verantwortung des Auftraggebers

Der Auftraggeber ist alleiniger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Er trägt volle Verantwortung für:

• Die Rechtmäßigkeit der Datenverarbeitung und deren Rechtfertigung
• Die Einhaltung von Informationspflichten gegenüber betroffenen Personen
• Die Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Datenportabilität)
• Die Durchführung von Datenschutz-Folgenabschätzungen, soweit erforderlich
• Die Benachrichtigung der Aufsichtsbehörde bei Datenschutzverletzungen (sofern erforderlich)

2.2 Auftragnehmer-Verpflichtungen

Der Auftragnehmer verarbeitet Daten ausschließlich nach dokumentierten Weisungen des Auftraggebers. Er handelt nicht eigenverantwortlich und agiert nicht als Verantwortlicher.

Der Auftragnehmer hat keine Befugnis, Daten für eigene Zwecke zu nutzen oder weiterzugeben, ausgenommen gesetzliche Verpflichtungen.

2.3 Anwendbares Recht

Dieser AV-Vertrag unterliegt der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG).

3.1 Kontaktdaten

• Vollständiger Name und ggf. Namensvarianten
• Geschäftliche E-Mail-Adresse
• Telefonnummer und ggf. Mobilnummer
• Arbeitstitel und Position im Unternehmen

3.2 Unternehmensdaten

• Firmenname und Rechtsform
• Handelsregister-Nummer (HRB)
• Umsatzsteuer-Identifikationsnummer (USt-ID)
• Bankverbindung und IBAN
• Geschäftsadresse und Niederlassungen
• Unternehmensstruktur und Organigramm

3.3 Finanzdaten

• Betriebswirtschaftliche Auswertung (BWA)
• Steuererklärung und Anlage EÜR/SÜÜ (SUSA)
• Liquiditätsplanungen und Prognosen
• Gewinn- und Verlustrechnung (GuV)
• Bilanzen und Offenlegungsunterlagen
• Forderungen und Verbindlichkeiten

3.4 Projektdaten

• Baustellen-Informationen und Adressen
• Aufträge und deren Detailinformationen
• Kostenkalkulation und Preisgestaltung
• Material- und Lohnkosten
• Bürgschaften und Sicherungsleistungen
• Schäden und Mängelberichte

3.5 Personaldaten

• Mitarbeiternamen und Personalausweisnummern
• Gehaltsabrechnung und Lohnstrukturen
• Lohngruppe und Qualifizierung
• Arbeitszeiten und Stundenzettel
• Sozialversicherungsnummern und Steuerdaten

3.6 Zugangsdaten

• Benutzerkonto-E-Mail-Adresse
• Verschlüsselte Passwörter (Bcrypt/Argon2)
• Multi-Faktor-Authentifizierung (MFA-Token)
• Session-Tokens und JWT-Token (temporär)
• Backup-Codes für Account-Recovery

3.7 Nutzungsdaten und Aktivitätsprotokolle

• Login- und Logout-Zeitstempel
• IP-Adressen bei Zugriff
• Aktivitätsprotokolle und Audit-Logs
• Änderungsverlauf (Wer hat wann was geändert)
• Fehlerprotokolle und Debug-Informationen
• Zugriffsdauer und -häufigkeit

5.1 Allgemeine Verpflichtungen

Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten nur gemäß schriftlicher Weisung des Auftraggebers zu verarbeiten
• Personen, die berechtigt sind, personenbezogene Daten zu verarbeiten, zur Vertraulichkeit zu verpflichten (oder diese bereits gebunden zu haben)
• Alle erforderlichen technischen und organisatorischen Maßnahmen zu implementieren und zu unterhalten (siehe Abschnitt 8)
• Nachweise über die Einhaltung dieser Anforderungen zu erbringen und regelmäßig zu aktualisieren
• Den Auftraggeber in allen relevanten Datenschutzangelegenheiten zu unterstützen

5.2 Geltungsbereich der Unterstützung

Der Auftragnehmer unterstützt den Auftraggeber insbesondere bei:

• Beantwortung von Auskunftsersuchen betroffener Personen
• Erfüllung von Berichtigungs- und Löschanträgen
• Unterstützung bei Datenschutz-Folgenabschätzungen
• Vorbereitung für Inspektionen der Aufsichtsbehörden
• Benachrichtigungen bei Datenschutzverletzungen

5.3 Dauer der Unterstützung

Die Unterstützungspflichten des Auftragsverarbeiters enden nicht mit der Beendigung des Vertrags, soweit diese zur Erfüllung gesetzlicher Anforderungen des Auftraggebers erforderlich sind.

6.1 Weisungen des Auftraggebers

Der Auftragnehmer verarbeitet Daten ausschließlich nach schriftlichen Weisungen des Auftraggebers. Dies umfasst:

• Anfängliche Anweisungen in der Softwarevereinbarung und diesem AV-Vertrag
• Nachfolgende schriftliche Weisungen per E-Mail oder über das Kundenportal
• Weisungen zur Löschung oder Rückgabe von Daten

6.2 Abweichungen von Weisungen

Sollte der Auftragnehmer feststellen, dass eine Weisung des Auftraggebers gegen DSGVO, BDSG oder andere Datenschutzgesetze verstößt, ist er verpflichtet, den Auftraggeber unverzüglich darauf hinzuweisen und die Verarbeitung zu unterlassen, bis der Auftraggeber die Weisung anpasst.

6.3 Automatisierte Verarbeitung

Automatisierte Verarbeitungsprozesse in der Plattform (z.B. automatische Berechnung von Finanzmetriken) erfolgen gemäß den ursprünglichen Weisungen in diesem AV-Vertrag und bedürfen keiner separaten Einzelweisung für jeden Verarbeitungsschritt, sofern sie im dokumentierten Leistungsumfang enthalten sind.

7.1 Vertraulichkeitsverpflichtung

Der Auftragnehmer verpflichtet sich, alle Personen, die berechtigt sind, personenbezogene Daten zu verarbeiten, schriftlich zur Vertraulichkeit und zum Datenschutz zu verpflichten oder sicherzustellen, dass diese bereits entsprechend verpflichtet sind.

7.2 Umfang der Vertraulichkeit

Die Vertraulichkeitsverpflichtung muss auch nach Beendigung des Arbeitsverhältnisses oder des Dienstverhältnisses der Person bestehen bleiben.

7.3 Zugang zu Daten

Der Auftragnehmer gewährleistet, dass nur solche Personen Zugang zu personenbezogenen Daten haben, die zur Erfüllung ihrer Aufgaben berechtigt sind, und dass dieser Zugriff protokolliert wird (siehe Abschnitt 8 — Zugriffskontrolle).

8.1 Zutrittskontrolle (Access Control)

Standort und physische Sicherheit:

• Alle Serverinfrastruktur wird bei Hetzner Online GmbH gehostet (Rechenzentren Falkenstein und Nürnberg, Deutschland)
• Rechenzentren sind nach ISO 27001 zertifiziert
• Zutritt nur für autorisierte Hetzner-Mitarbeiter möglich
• Biometrische und kartenkontrollierte Zutrittssysteme
• 24/7 Überwachung und CCTV-Aufzeichnung
• Umgebungsüberwachung (Temperatur, Feuchte)
• Notfall- und Backup-Stromversorgung
• Ausgetauschte Hardware wird gemäß DataWipe-Standard gelöscht

8.2 Zugangskontrolle (Authentication)

Authentifizierung und Autorisierung:

• Pflicht zur Multi-Faktor-Authentifizierung (MFA) für alle Nutzerkonten (TOTP/Google Authenticator oder Authenticator-Apps)
• Sichere Passwort-Hashing mit Argon2id (speichert keine Plain-Text-Passwörter)
• Minimum-Passwort-Anforderungen (mindestens 12 Zeichen, komplexe Zeichen)
• Session-Management mit sicheren, zeitlich begrenzten Tokens
• JWT-Token mit asymmetrischer Signatur (RS256)
• Automatisches Session-Timeout nach 30 Minuten Inaktivität
• Sichere Speicherung von Backup-Codes für Account-Recovery
• Blockade nach mehreren fehlgeschlagenen Login-Versuchen (nach 5 Versuchen)

8.3 Zugriffskontrolle (Authorization)

Rollenbasierte Zugriffskontrolle (RBAC) und Row-Level Security:

• Rollenbasiertes Zugriffskontrollsystem mit granularen Berechtigungen (Admin, Geschäftsführer, Kontoren, Bauleiter, Lohnbüro, Viewer)
• Row-Level Security (RLS) auf Datenbankebene für Mandantentrennung
• Nutzer können nur auf Daten ihres Mandanten zugreifen
• Keine Datenlecks zwischen Mandanten möglich, auch bei kompromittiertem Account
• Principle of Least Privilege: Jeder Nutzer erhält nur minimal erforderliche Rechte
• Dokumentierte Rollen und Berechtigungsmatrix
• Regelmäßige Überprüfung und Anpassung von Berechtigungen

8.4 Trennungskontrolle (Separation)

Multi-Mandanten-Isolation:

• Strikte Datentrennung nach Mandant (tenant_id in jeder Tabelle)
• Logische Trennung auf Datenbankebene mit RLS-Policies
• Separate Datenbanken pro Mandant (optional für Enterprise-Kunden)
• Separate Verschlüsselungsschlüssel pro Mandant (Key per Tenant)
• Vollständige Isolierung von Geschäftsdaten, Benutzern und Sessions zwischen verschiedenen Kunden
• Regelmäßige Penetrationstests zur Validierung der Isolation

8.5 Pseudonymisierung

Minimierung und Anonymisierung:

• Personenbezogene Daten werden unter Verwendung von UUIDs referenziert, nicht echten Namen oder Identifizierern
• Daten in Auditlogs werden pseudonymisiert (user_id statt Benutzer-E-Mail)
• Produktionsumgebung nutzt anonymisierte Testdaten für Entwicklung und Testing
• Analytik-Daten sind aggregiert und nicht-personalisiert

8.6 Verschlüsselung (Encryption)

Verschlüsselung in Transit und at Rest:

• In Transit (TLS 1.3): Alle Datenübertragungen zwischen Client und Server erfolgen über TLS 1.3 mit starken Cipher-Suites (nur AEAD-Ciphers)
• At Rest (AES-256): Vertrauliche Daten (Passwörter, Bankverbindungen, sensible Finanzwerte) werden mit AES-256-CBC verschlüsselt
• Verschlüsselungsschlüssel werden mit separaten Key-Management-Systemen (AWS KMS, Hetzner Key Management) verwaltet
• Backup- und Archiv-Daten werden ebenfalls mit AES-256 verschlüsselt
• Regelmäßige Rotation von Verschlüsselungsschlüsseln (mindestens annual)
• Sichere Vernichtung von alten Schlüsseln nach Ablauf der Aufbewahrungsfrist

8.7 Verfügbarkeit und Resilience

Hochverfügbarkeit und Disaster Recovery:

• Backups: Automatische Backups alle 2 Stunden (RPO: 2 Stunden, RTO: < 1 Stunde)
• Backup-Retention: 3 Tage Aufbewahrung mit täglicher Rotation
• Geo-Redundanz: Backups werden auf mehrere Hetzner-Standorte verteilt (Falkenstein + Nürnberg)
• Regelmäßige Restore-Tests: Monatliche Durchführung von Restore-Tests um Datenverlust auszuschließen
• Load Balancing: Automatische Lastverteilung auf mehrere Applikations-Server
• Auto-Scaling: Automatische Skalierung bei erhöhter Last (HTTP 503 Schutz)
• CDN-Integration: Statische Assets werden über Hetzner CDN mit DDoS-Mitigation verteilt
• SLA: Zusicherung von 99,5% Verfügbarkeit

8.8 Belastbarkeit gegen Angriffe

Sicherheit gegen Cyberangriffe:

• DDoS-Mitigation: Hetzner DDoS-Schutz mit automatischer Erkennung und Blockade verdächtiger Zugriffe
• WAF (Web Application Firewall): Modular Security auf Hetzner Cloud
• Intrusion Detection: Monitoring auf verdächtige Aktivitäten und Angriffe
• SQL Injection Prevention: Verwendung von Prepared Statements und ORM-Frameworks
• XSS-Prevention: Content Security Policy (CSP) Header, Input-Validierung
• CSRF-Protection: CSRF-Token auf allen State-modifying Requests
• Dependency Scanning: Regelmäßiges Scanning von Abhängigkeiten auf bekannte Schwachstellen
• Security Patches: Zeitnahe Anwendung von Sicherheit-Updates

8.9 Wiederherstellbarkeit

Disaster Recovery und Business Continuity:

• Disaster Recovery Plan: Dokumentierter Plan mit regelmäßigen Tests (minimum halbjährlich)
• RTO (Recovery Time Objective): Weniger als 1 Stunde für kritische Systeme
• RPO (Recovery Point Objective): Maximal 2 Stunden Datenverlust
• Failover-Automatisierung: Automatisches Failover bei Datencenter-Ausfällen
• Kapazitätsplanung: Kontinuierliche Überwachung und Planung von Ressourcen
• Wiederherstellungsvorgaben: Regelmäßige Tests von Restore-Prozessen

8.10 Audit-Logging und Überwachung

Protokollierung und Monitoring:

• Audit-Logs: Umfassende Protokollierung aller Datenzugriffe und -änderungen
• Log-Retention: Mindestens 90 Tage Aufbewahrung von Audit-Logs
• Unveränderbarkeit: Logs werden als append-only gespeichert (keine Bearbeitung möglich)
• Echtzeit-Alerts: Benachrichtigungen bei verdächtigen Aktivitäten
• Performance-Monitoring: Kontinuierliche Überwachung von Systemperformance
• Sicherheits-Monitoring: 24/7 Überwachung durch Security-Team

8.11 Regelmäßige Überprüfung und Aktualisierung

Der Auftragnehmer überprüft diese Maßnahmen regelmäßig (mindestens halbjährlich) und aktualisiert sie, um mit technischen und organisatorischen Entwicklungen Schritt zu halten.

9.1 Generelle Zustimmung

Der Auftraggeber erteilt dem Auftragnehmer die generelle Zustimmung (Art. 28 Abs. 2 DSGVO), weitere Unterauftragsverarbeiter einzusetzen, unter der Bedingung dass:

• Der Auftraggeber mindestens 30 Tage vorher schriftlich benachrichtigt wird
• Der Auftraggeber das Recht hat, gegen die Beauftragung neuer Unterauftragsverarbeiter Einspruch zu erheben
• Der Auftragnehmer ein gültiges AV-Vertrag mit dem neuen Unterauftragsverarbeiter abschließt, das die gleichen Datenschutzpflichten auferlegt

9.2 Aktuelle Unterauftragsverarbeiter

Der Auftragnehmer nutzt folgende Unterauftragsverarbeiter:

9.3 Haftung für Unterauftragsverarbeiter

Der Auftragnehmer trägt die volle Verantwortung gegenüber dem Auftraggeber für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO).

9.4 Verzeichnis der Unterauftragsverarbeiter

Ein aktuelles Verzeichnis der Unterauftragsverarbeiter ist verfügbar unter:

https://bauzahlen.de/dpa-subprocessors

10.1 Auskunftspflicht (Art. 15 DSGVO)

Der Auftragnehmer stellt auf Wunsch innerhalb von 5 Arbeitstagen eine vollständige Übersicht aller zu einer Person gespeicherten Daten zur Verfügung.

10.2 Berichtigungsrecht (Art. 16 DSGVO)

Der Auftragnehmer unterstützt den Auftraggeber bei der Berichtigung fehlerhafter Daten und führt diese Berichtigungen zeitnah durch.

10.3 Löschungsrecht (Art. 17 DSGVO)

Der Auftragnehmer löscht Daten auf Antrag hin, es sei denn, es bestehen überwiegende berechtigte Interessen oder gesetzliche Aufbewahrungspflichten.

10.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Der Auftragnehmer kann auf Anfrage die Verarbeitung bestimmter Daten einschränken (z.B. Markierung als „Do Not Process").

10.5 Datenportabilität (Art. 20 DSGVO)

Der Auftragnehmer stellt auf Wunsch alle Daten einer Person in einem strukturierten, gängigen, maschinenlesbaren Format (JSON oder CSV) zur Verfügung oder übermittelt diese unmittelbar an einen anderen Verantwortlichen.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Widersprüchen gegen die Verarbeitung zu Direktmarketing-Zwecken.

10.7 Unterstützung bei Auskunftsersuchen

Der Auftragnehmer erbringt diese Unterstützung innerhalb von 5 Arbeitstagen nach Erhalt eines begründeten Ersuchens des Auftraggebers und ohne zusätzliche Gebühren (falls nicht unverhältnismäßig aufwändig).

11.1 Mitteilungspflicht des Auftragsverarbeiters

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, über Datenschutzverletzungen oder verdächtige Vorfälle, die personenbezogene Daten betreffen oder betreffen könnten.

11.2 Inhalt der Mitteilung

Die Mitteilung muss mindestens folgende Informationen enthalten:

• Art und Umfang der Verletzung
• Zeitpunkt und Dauer des Vorfalls
• Betroffene Kategorien von Daten und Personen (Schätzung der Betroffenenzahl)
• Wahrscheinliche Folgen
• Ergriffene und geplante Abhilfemaßnahmen
• Kontaktperson für weitere Fragen (Sicherheitsleiter)

11.3 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber:

• Bei der Benachrichtigung der Aufsichtsbehörde (Datenschutzbehörde)
• Bei der Benachrichtigung betroffener Personen (falls erforderlich)
• Bei der Untersuchung des Vorfalls und dessen Ursachen
• Bei der Dokumentation des Vorfalls

11.4 Meldekette und Kontakt

Datenschutzverletzungen müssen umgehend dem Auftraggeber mitgeteilt werden. Kontaktinformationen für Sicherheitsvorfälle:

E-Mail: security@perspektivraum.berlin
24/7 Hotline: [Wird bereitgestellt nach Vertragsabschluss]

12.1 Löschung nach Vertragsende

Nach Beendigung oder Ablauf des Vertrags löscht oder gibt der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen zurück oder löscht sie, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

12.2 Optionen für den Auftraggeber

Der Auftraggeber kann wählen zwischen:

• Datenexport: Vollständiger Export aller Daten in strukturiertem Format (JSON, CSV, XML) mit Anleitung zur Datenmigration
• Migration: Unterstützung bei der Migration zu einem anderen System (gegen zusätzliche Gebühr)
• Datenlöschung: Sichere und zertifizierte Löschung aller Daten (siehe Abschnitt 12.3)

12.3 Sichere Löschung

Wenn der Auftraggeber die Löschung wählt, erfolgt diese wie folgt:

• Methode: DoD 5220.22-M Standard oder äquivalent (min. 3-fache Überschreibung mit Zufallsdaten)
• Zeitrahmen: Innerhalb von 30 Tagen nach schriftlichem Antrag
• Zertifikat: Der Auftraggeber erhält ein Lösch-Zertifikat mit Datum und Methode
• Backup-Löschung: Auch Backups werden nach Ablauf ihrer Retention-Periode sicher gelöscht

12.4 Ausnahmen von Löschung

Folgende Daten können länger aufbewahrt werden, wenn gesetzlich erforderlich:

• Geschäftsunterlagen: Gemäß HGB § 257 (6 Jahre für Handelsbücher) oder StGB § 90 Abs. 3 (10 Jahre für Steuerbücher)
• Rechnungsunterlagen: 10 Jahre gemäß UStG § 14 Abs. 4
• Personaldaten: Mindestens 3 Jahre gemäß Arbeitsrecht (Lohnabrechnung)
• Audit-Logs: 90 Tage für Sicherheitscompliance

12.5 Datenverwertung nach Vertragsende

Der Auftragnehmer erklärt, dass keine Daten des Auftraggebers nach Vertragsende für eigene Zwecke verwendet oder monetarisiert werden, ausgenommen aggregierte, anonymisierte Statistiken.

13.1 Nachweismittel und Dokumentation

Der Auftragnehmer führt und stellt Nachweise über die Einhaltung dieser AV-Vereinbarung zur Verfügung, einschließlich:

• Dokumentation aller technischen und organisatorischen Maßnahmen
• Sicherheitszertifikate und Audits (ISO 27001, SOC 2, etc.)
• Verzeichnis der Unterauftragsverarbeiter und deren Verträge
• Datenschutz-Folgenabschätzungen (DPIA) falls durchgeführt
• Protokolle von Penetrationstests und Sicherheits-Audits
• Protokolle von Incident-Response-Maßnahmen
• Schulungs- und Trainingsnachweise des Personals

13.2 Inspektions- und Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Dies umfasst:

• Dokumenteneinsicht: Zugang zu Dokumentation und Nachweisen (mindestens 2x pro Jahr)
• Audit-Recht: Durchführung von Sicherheits-Audits durch den Auftraggeber oder dessen Auditor (mit angemessener Ankündigung)
• Inspektionen: Vor-Ort-Inspektionen bei kritischen Prozessen (nach schriftlicher Anforderung)
• Bericht-Zugang: Zugang zu Audit-Reports von Dritten (z.B. ISO 27001 Audits, SOC 2 Reports)
• Beschwerde-Verfahren: Schriftliche Einreichung von Beschwerden und Gewährung angemessener Reaktionszeit

13.3 Audit-Berichte

Der Auftragnehmer stellt dem Auftraggeber folgende Audit-Berichte zur Verfügung:

• ISO 27001 Zertifikat: Jährlich aktualisiertes Zertifikat vom Hosting-Anbieter
• SOC 2 Type II Report: Jährlich durchgeführter, unabhängiger Audit (falls verfügbar)
• Penetrationstests: Mindestens halbjährliche externe Penetrationstests
• Datenschutz-Konformitätsbescheinigung: Jährliche Selbsterklärung der DSGVO-Konformität

13.4 Kosten der Kontrollen

Der Auftraggeber trägt die Kosten für Inspektionen und Audits selbst, es sei denn, diese sind durch einen Datenschutzverstoß des Auftragsverarbeiters verursacht worden.

13.5 Vertraulichkeit bei Kontrollen

Der Auftraggeber verpflichtet sich, Betriebsgeheimnisse und vertrauliche Informationen des Auftragsverarbeiters, die während von Inspektionen oder Audits bekannt werden, geheim zu halten.

14.1 Laufzeit

Dieser AV-Vertrag tritt mit Aktivierung des Nutzerkontos in Kraft und läuft parallel zum Hauptvertrag (Softwarevereinbarung) mit der BauFinanz-Plattform.

14.2 Automatische Verlängerung

Der AV-Vertrag verlängert sich automatisch mit jeder Verlängerung des Hauptvertrags, es sei denn, eine Partei kündigt zum Ende der Laufzeit.

14.3 Kündigung durch den Auftraggeber

Der Auftraggeber kann die Nutzung der Software und damit diesen AV-Vertrag jederzeit mit einer Frist von 30 Tagen zum Ende eines Kalendermonats kündigen.

14.4 Kündigung durch den Auftragnehmer

Der Auftragnehmer kann diese Vereinbarung mit 90 Tagen Vorankündigung beenden, sofern der Auftraggeber seinen Zahlungsverpflichtungen nicht nachkommt oder diesen AV-Vertrag wiederholt verletzt.

14.5 Auswirkungen der Beendigung

Mit Beendigung oder Ablauf des Vertrags:

• Endgültige Sperrung des Nutzerkontos
• Einleitung der Datenlöschung oder -rückgabe (siehe Abschnitt 12)
• Beendigung aller Verarbeitungsaktivitäten
• Abwicklung offener Fragen und Forderungen

14.6 Weitergeltung nach Kündigung

Die Verpflichtungen aus diesem AV-Vertrag bezüglich Vertraulichkeit und Datensicherheit bleiben auch nach Kündigung und Datenvernichtung gültig.

Geltung und Vorrang

Dieser AV-Vertrag ist integraler Bestandteil des Hauptvertrags und geht im Falle von Widersprüchen den Allgemeinen Geschäftsbedingungen vor.

Änderungen und Aktualisierungen

Der Auftragnehmer kann diesen AV-Vertrag mit 60 Tagen Vorankündigung ändern. Der Auftraggeber hat das Recht, gegen Änderungen Einspruch zu erheben und im Falle von Uneinigung den Vertrag zu beenden.

Kontaktinformationen

Datenschutzbeauftragter des Auftragnehmers:
PerspektivRaum GmbH
Nauener Straße 60, 16833 Linum
E-Mail: datenschutz@perspektivraum.berlin
Telefon: 033922 - 90 29 56

Anwendbares Recht und Gerichtsstand

Dieser AV-Vertrag unterliegt deutschem Recht, insbesondere der DSGVO und dem BDSG. Gerichtsstand für alle Streitigkeiten ist Berlin.