Datum des Inkrafttretens: 28.3.2026
Diese Auftragsverarbeitungsvereinbarung (“AVV”) wird geschlossen zwischen:
Gemeinsam als die “Parteien” bezeichnet.
Diese AVV ergänzt und bildet einen Bestandteil der Vereinbarung zwischen den Parteien über die Bereitstellung der Bomdiu B2B-Plattform für die Lebensmittel und Getränke-Branche, wie sie durch die Nutzungsbedingungen (die “Vereinbarung”) geregelt wird. Im Falle eines Widerspruchs zwischen dieser AVV und der Vereinbarung hat diese AVV in Bezug auf Datenschutzangelegenheiten Vorrang.
Begriffe, die hierin nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung oder in der Verordnung (EU) 2016/679 (“DSGVO”) zugewiesen wird.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der Bomdiu-B2B-Plattform für die Lebensmittel und Getränke-Branche, einschließlich Bestellwesen, Katalogverwaltung, Datensynchronisierung, Business Intelligence und KI-gestützter Dokumentenverarbeitung.
Die Verarbeitung erfolgt für die Dauer der Vereinbarung. Nach Beendigung gelten die Bestimmungen von Abschnitt 11 dieser AVV.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:
Der Verantwortliche hat:
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
Die Parteien vereinbaren, dass die Vereinbarung (einschließlich dieser AVV) und die Nutzung des Dienstes durch den Verantwortlichen die vollständigen und endgültigen dokumentierten Weisungen des Verantwortlichen an den Auftragsverarbeiter darstellen. Zusätzliche oder abweichende Weisungen bedürfen einer gesonderten schriftlichen Vereinbarung.
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich gegebenenfalls:
Der Auftragsverarbeiter überprüft und aktualisiert diese Maßnahmen regelmäßig, um Änderungen in der Technologie, den Bedrohungen und der Art der verarbeiteten Daten Rechnung zu tragen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Verantwortlichen zur Beantwortung von Anfragen betroffener Personen gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch).
Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der folgenden Pflichten:
Soweit eine solche Unterstützung einen erheblichen Aufwand erfordert, der über den normalen Betrieb des Dienstes hinausgeht, kann der Auftragsverarbeiter eine angemessene Vergütung auf der Grundlage seiner tatsächlichen Kosten berechnen.
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen. Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter Datenschutzpflichten unterliegt, die nicht weniger schützend sind als die in dieser AVV festgelegten.
Die zum Zeitpunkt dieser AVV aktuellen Unterauftragsverarbeiter des Auftragsverarbeiters sind in Anlage B aufgeführt. Eine aktuelle Liste wird auch in der Datenschutzerklärung gepflegt.
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern mindestens dreißig (30) Tage bevor der neue Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnt, um dem Verantwortlichen die Möglichkeit zu geben, gegen solche Änderungen Einspruch zu erheben.
Hat der Verantwortliche einen begründeten, dokumentierten Einwand gegen einen neuen Unterauftragsverarbeiter aus Datenschutzgründen, so teilt er dies dem Auftragsverarbeiter schriftlich innerhalb von fünfzehn (15) Tagen nach Erhalt der Mitteilung des Auftragsverarbeiters mit. Die Parteien werden den Einwand nach Treu und Glauben erörtern, um eine wirtschaftlich vertretbare Lösung zu erzielen.
Kann innerhalb von dreißig (30) Tagen nach dem Einwand des Verantwortlichen keine Einigung erzielt werden, kann der Verantwortliche die Vereinbarung (oder den betroffenen Teil des Dienstes) durch schriftliche Mitteilung ohne Vertragsstrafe kündigen. Der Auftragsverarbeiter erstattet im Voraus gezahlte Gebühren für den ungenutzten Teil des Abonnementzeitraums nach dem Wirksamkeitsdatum der Kündigung.
Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Rahmen dieser AVV in vollem Umfang haftbar.
Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR), es sei denn, es bestehen angemessene Garantien gemäß Kapitel V der DSGVO.
Soweit Übermittlungen außerhalb des EWR erforderlich sind, stützt sich der Auftragsverarbeiter auf einen oder mehrere der folgenden Mechanismen:
Der Auftragsverarbeiter führt Transfer-Folgenabschätzungen für Datenübermittlungen in Drittländer durch und stellt dem Verantwortlichen auf begründetes Verlangen Zusammenfassungen zur Verfügung.
Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, in jedem Fall aber innerhalb von achtundvierzig (48) Stunden, nachdem er Kenntnis von einer Datenschutzverletzung erlangt hat, die personenbezogene Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden.
Die Meldung enthält, soweit zum Zeitpunkt der Meldung bekannt:
Ist es nicht möglich, alle Informationen gleichzeitig bereitzustellen, stellt der Auftragsverarbeiter die Informationen ohne unangemessene weitere Verzögerung in Phasen bereit.
Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und unternimmt angemessene wirtschaftliche Schritte zur Unterstützung bei der Untersuchung, Minderung und Behebung der Datenschutzverletzung. Der Auftragsverarbeiter informiert keinen Dritten über eine Datenschutzverletzung, ohne zuvor den Verantwortlichen konsultiert zu haben, es sei denn, er ist gesetzlich dazu verpflichtet.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO und in dieser AVV festgelegten Pflichten erforderlich sind, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten unabhängigen Prüfer durchgeführt werden.
Prüfungen unterliegen folgenden Bedingungen:
Der Auftragsverarbeiter kann Prüfungsanfragen erfüllen, indem er dem Verantwortlichen einschlägige Prüfberichte Dritter, Zertifizierungen (z. B. SOC 2, ISO 27001) oder andere Nachweise der Einhaltung zur Verfügung stellt, sofern diese Nachweise die Prüfungsziele des Verantwortlichen in angemessener Weise abdecken.
Der Auftragsverarbeiter nutzt im Rahmen des Dienstes Technologien der künstlichen Intelligenz und des maschinellen Lernens zur Unterstützung bei der Extraktion, Organisation und Verarbeitung von Geschäftsdaten aus Dokumenten wie Rechnungen, Bestellungen und Katalogen.
Personenbezogene Daten, die über KI-Funktionen verarbeitet werden, können an die folgenden KI-Unterauftragsverarbeiter übermittelt werden (ebenfalls in Anlage B aufgeführt):
Es werden nur die Daten, die zur Bereitstellung der jeweiligen KI-Funktion zwingend erforderlich sind, an KI-Unterauftragsverarbeiter übermittelt.
Personenbezogene Daten, die über KI-Funktionen verarbeitet werden, werden ausschließlich für Inferenzzwecke verwendet und nicht zum Training von KI-Modellen eingesetzt. Der Auftragsverarbeiter stellt sicher, dass seine KI-Unterauftragsverarbeiter vertraglich daran gehindert sind, personenbezogene Daten zum Zweck des Modelltrainings aufzubewahren oder zu verwenden.
KI-generierte Ergebnisse werden zur menschlichen Überprüfung und Bestätigung vorgelegt, bevor Maßnahmen ergriffen werden. Es werden keine automatisierten Entscheidungen mit rechtlichen oder in ähnlicher Weise erheblichen Auswirkungen ausschließlich durch KI ohne menschliche Überprüfung getroffen.
Der Auftragsverarbeiter führt keine automatisierte Einzelentscheidung oder Profiling durch, die rechtliche Wirkung gegenüber betroffenen Personen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, im Sinne von Art. 22 DSGVO. Sollte sich dies ändern, wird der Auftragsverarbeiter den Verantwortlichen benachrichtigen und diese AVV entsprechend aktualisieren.
Nach Beendigung oder Ablauf der Vereinbarung hat der Verantwortliche eine Frist von neunzig (90) Tagen (“Abruffrist”), um seine personenbezogenen Daten aus dem Dienst zu exportieren. Der Auftragsverarbeiter stellt die Daten zum Export in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung (z. B. CSV oder JSON über die Exportfunktionen oder API der Plattform).
Nach Ablauf der Abruffrist löscht oder anonymisiert der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, es sei denn, eine Aufbewahrung ist nach dem Recht der Union oder der Mitgliedstaaten erforderlich. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage des Verantwortlichen schriftlich.
Personenbezogene Daten können nach der Löschung aus den Produktionssystemen für maximal dreißig (30) Tage in verschlüsselten Backups verbleiben, entsprechend dem Backup-Rotationsplan des Auftragsverarbeiters. Backup-Daten werden nicht aktiv verarbeitet und nur in Disaster-Recovery-Szenarien wiederhergestellt.
Der Auftragsverarbeiter kann begrenzte personenbezogene Daten aufbewahren, soweit dies zur Erfüllung gesetzlicher Pflichten erforderlich ist (z. B. Steuerunterlagen gemäß griechischem Gesetz 4987/2022, Art. 36: 5 Jahre, verlängerbar auf 10 Jahre bei ausstehenden Prüfungen), zur Beilegung von Streitigkeiten oder zur Durchsetzung der Vereinbarung. Soweit durchführbar, werden solche aufbewahrten Daten isoliert und zugangsbeschränkt.
Die Haftung der Parteien im Rahmen dieser AVV unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüssen, es sei denn, das anwendbare Datenschutzrecht schreibt etwas anderes vor.
Diese AVV tritt mit dem Datum in Kraft, an dem der Verantwortliche die Vereinbarung annimmt, und bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Diese AVV kann vom Auftragsverarbeiter geändert werden, um Änderungen des anwendbaren Datenschutzrechts oder Leitlinien der Aufsichtsbehörden zu berücksichtigen. Wesentliche Änderungen werden dem Verantwortlichen mindestens dreißig (30) Tage im Voraus mitgeteilt. Die fortgesetzte Nutzung des Dienstes durch den Verantwortlichen nach Inkrafttreten der Änderung gilt als Annahme. Stimmt der Verantwortliche der Änderung nicht zu, kann er die Vereinbarung gemäß Abschnitt 17 der Nutzungsbedingungen kündigen.
Diese AVV unterliegt dem Recht der Hellenischen Republik (Griechenland) und der ausschließlichen Zuständigkeit der Gerichte von Thessaloniki, in Übereinstimmung mit der Vereinbarung.
| Element | Beschreibung |
|---|---|
| Gegenstand | Verarbeitung personenbezogener Daten zur Bereitstellung der Bomdiu-B2B-Plattform für die Lebensmittel und Getränke-Branche |
| Laufzeit | Dauer der Vereinbarung zuzüglich der in Abschnitt 11 beschriebenen Aufbewahrungsfristen nach Vertragsbeendigung |
| Art der Verarbeitung | Erhebung, Speicherung, Organisation, Abfrage, Konsultation, Nutzung, Offenlegung durch Übermittlung, Abgleich, Verknüpfung, Einschränkung, Löschung, Vernichtung |
| Zweck | Plattform-Hosting, Bestellabwicklung, Datensynchronisierung, KI-gestützte Dokumentenverarbeitung, Analysen, transaktionsbezogene Kommunikation, Kundensupport |
| Arten personenbezogener Daten | Kontaktdaten (Name, E-Mail, Telefon, Adresse), Mitarbeiterinformationen (Name, Berufsbezeichnung), Bestell-/Transaktionsdaten, Chat-Nachrichten, technische Kennungen (IP-Adresse, gehashte Zugangsdaten) |
| Kategorien betroffener Personen | Mitarbeiter und Auftragnehmer des Verantwortlichen, Kontaktpersonen der Kunden/Lieferanten des Verantwortlichen, Zustell-/Logistikpersonal |
Die folgenden Unterauftragsverarbeiter sind zum Veröffentlichungsdatum dieser AVV autorisiert:
| Unterauftragsverarbeiter | Dienst | Verarbeitete Daten | Datenstandort | Übermittlungsmechanismus |
|---|---|---|---|---|
| Cloudflare | CDN, Datenbank (D1), Hosting (Workers/Pages), Webanalysen, KI-Inferenz (Workers AI) | Technische Daten, Kontodaten, Betriebsdaten | EU (primär), USA | EU-US DPF; SCCs |
| PlanetScale | Datenbank-Hosting | Kontodaten, Betriebsdaten | EU | SCCs |
| UpCloud | Infrastruktur-Hosting | Kontodaten, Betriebsdaten | EU | Entfällt (nur EWR) |
| Fly.io | Hosting von Diensten | Kontodaten, Betriebsdaten | EU | Entfällt (nur EWR) |
| Resend | Transaktionaler E-Mail-Versand | Kontaktdaten (Name, E-Mail), Benachrichtigungsinhalte | USA | EU-US DPF; SCCs |
| PostHog | Produktanalysen, Sitzungsaufzeichnung (EU Cloud) | Nutzungsanalyseereignisse, Sitzungsaufzeichnungs- und Interaktionsdaten (einschließlich aufgezeichneter Bildschirminhalte, die je nach Anzeige personenbezogene Daten enthalten können), interne Organisations-/Kundenkennungen | EU | Entfällt (nur EWR) |
| Google (Vertex AI) | KI-Inferenz (Dokumentenverarbeitung) | Dokumenteninhalte (Rechnungen, Bestellungen, Kataloge), die Kontaktdaten enthalten können | EU-Region | SCCs; Google DPA |
| Better Auth | Authentifizierungsinfrastruktur (Dashboard, Missbrauchsschutz, Audit-Protokollierung) | Kontodaten, Authentifizierungsereignisse, Sicherheitsereignisse (IP-Adressen, Browser-Fingerabdrücke, Anmeldeorte), E-Mail-Adressen | USA | SCCs |
Hinweis: Umami-Analysen werden auf der eigenen Infrastruktur von Bomdiu selbst gehostet und sind kein Unterauftragsverarbeiter.
Bei Fragen zu dieser AVV wenden Sie sich bitte an:
Bomdiu SINGLE MEMBER PC GEMI: 190310106000 USt-IdNr.: EL803131996 Geor. Gennimata 21 555 35 Thessaloniki Griechenland Telefon: +30 231 176 8265 E-Mail: privacy@bomdiu.com Website: https://bomdiu.com