Auftragsverarbeitungsvertrag für KIRA SmartLift.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für die Nutzung von KIRA SmartLift Stand: April 2026 1. Vertragspartner zwischen KIRA Aufzüge GmbH Bockersend 49 41066 Mönchengladbach Deutschland USt-IdNr.: DE452164083 nachfolgend Auftragnehmer und dem jeweiligen Kunden von KIRA SmartLift nachfolgend Auftraggeber 2. Gegenstand und Dauer der Verarbeitung (1) Der Auftragnehmer stellt dem Auftraggeber die Software KIRA SmartLift als cloudbasierte SaaS-Lösung zur Verfügung. (2) Dabei verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. (3) Die Dauer der Verarbeitung entspricht der Dauer des Hauptvertrages über die Nutzung von KIRA SmartLift. (4) Dieser AVV endet automatisch mit Beendigung des Hauptvertrages. 3. Art und Zweck der Verarbeitung Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der Software KIRA SmartLift. Insbesondere: Benutzerverwaltung Wartungsplanung Prüfungsverwaltung Störungsmanagement Auftragsmanagement Disposition Anlagenverwaltung Dokumentation Terminplanung Technikerplanung 4. Art der personenbezogenen Daten Je nach Nutzung können folgende Daten verarbeitet werden: Benutzer Daten Name Vorname E-Mail-Adresse Benutzerrolle Login Daten IP-Adresse Mitarbeiter Daten Technikername Einsatzplanung Termine Berichte Dokumentationen Kontaktdaten Ansprechpartner Telefonnummer E-Mail Firmenname Systemdaten Login Logs Session Daten Token Geräteinformationen 5. Kategorien betroffener Personen Mitarbeiter des Auftraggebers Techniker Disponenten Administratoren Ansprechpartner Betreiber Kunden des Auftraggebers 6. Weisungsrecht des Auftraggebers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers. (2) Weisungen können erfolgen: über Software Nutzung Support Anfrage E-Mail Vertrag (3) Mündliche Weisungen sind unverzüglich zu bestätigen. 7. Vertraulichkeit (1) Der Auftragnehmer verpflichtet alle Mitarbeiter zur Vertraulichkeit. (2) Mitarbeiter sind auf Datenschutz verpflichtet. (3) Zugriff erfolgt nur bei Bedarf. 8. Technische und organisatorische Maßnahmen Der Auftragnehmer gewährleistet: Zugriffskontrolle Benutzerrechte Rollenmodell Passwortschutz Session Kontrolle Zugangskontrolle HTTPS Firewall Server Schutz Zugriffsbeschränkung Weitergabekontrolle verschlüsselte Übertragung keine Weitergabe ohne Auftrag Eingabekontrolle Logging Änderungsprotokolle Auftragskontrolle Weisungsbindung Support Zugriff kontrolliert Verfügbarkeitskontrolle Backups Monitoring Serverüberwachung 9. Subunternehmer Der Auftragnehmer kann Subunternehmer einsetzen: Hosting Provider Server Betreiber Infrastruktur Anbieter Diese befinden sich innerhalb der EU. Der Auftragnehmer stellt sicher: DSGVO Konformität AVV mit Subunternehmer Sicherheitsmaßnahmen 10. Datenübermittlung Eine Übermittlung in Drittstaaten erfolgt nicht. Sollte dies künftig notwendig sein: EU Standardvertragsklauseln DSGVO Sicherstellung 11. Unterstützungspflichten Der Auftragnehmer unterstützt den Auftraggeber bei: Auskunftsersuchen Löschanfragen Datenkorrektur Datenschutzvorfällen Behördenanfragen 12. Löschung und Rückgabe Nach Vertragsende: Zugriff deaktiviert Datenexport möglich Löschung nach 30 Tagen Lokale Offline-Entwürfe auf Endgeräten werden nach 30 Tagen automatisch verworfen Gesetzliche Pflichten bleiben unberührt. 13. Kontrollrechte Der Auftraggeber darf prüfen: DSGVO Einhaltung Sicherheitsmaßnahmen Prüfung erfolgt: schriftlich angemessen ohne Betriebsstörung 14. Datenschutzvorfälle Der Auftragnehmer informiert unverzüglich bei: Datenverlust unbefugtem Zugriff Sicherheitsvorfall 15. Haftung Die Haftung richtet sich nach dem Hauptvertrag. 16. Schriftform Änderungen bedürfen der Textform. 17. Schlussbestimmungen Sollte eine Regelung unwirksam sein: Rest bleibt gültig. Automatische Zustimmung Der AVV gilt als geschlossen mit: Registrierung Vertragsabschluss Nutzung der Software