Auftragsverarbeitungsvertrag (AVV)
Margency Drive ist ein Produkt der Margency UG (haftungsbeschränkt)Vertragsparteien
das Autohaus / Unternehmen, das ein Händlerkonto bei Margency Drive nutzt (Angaben gemäß Registrierung).
Auftragsverarbeiter (nachfolgend „Anbieter"):
Margency UG (haftungsbeschränkt), Marktplatz 7, 72379 Hechingen, Deutschland
Geschäftsführung: Maninder Singh · E-Mail: maninder.singh@margency.de
§ 1 Gegenstand, Art und Zweck der Verarbeitung
(1) Der Anbieter erbringt für den Kunden die Leistungen gemäß Nutzungsvertrag (Bereitstellung der Software-as-a-Service „Margency Drive" zur Verwaltung von Fahrzeugbeständen, zur Erstellung von Inseraten, zur Beantwortung von Kundenanfragen sowie zur Veröffentlichung von Fahrzeugen über Schnittstellen zu vom Kunden gewählten Plattformen). Dabei verarbeitet er personenbezogene Daten im Auftrag und nach Weisung des Kunden.
(2) Art der Verarbeitung: Erheben, Speichern, Organisieren, Auslesen, Verändern, Übermitteln (an die vom Kunden ausgewählten Empfänger) und Löschen, im Umfang der vom Kunden genutzten Funktionen.
(3) Zweck: ausschließlich die vertragsgemäße Erbringung der vereinbarten Leistungen.
(4) Dauer: für die Laufzeit des Nutzungsvertrags; Löschung/Rückgabe nach § 8.
(5) Für die personenbezogenen Daten des Kunden selbst (Registrierungs-/Vertrags- und Abrechnungsdaten) ist der Anbieter eigener Verantwortlicher; hierfür gilt die Datenschutzerklärung, nicht dieser AVV.
§ 2 Art der Daten und Kategorien betroffener Personen
Datenarten (je nach Nutzung durch den Kunden):
- Kontaktdaten von Interessenten und Käufern (Name, E-Mail-Adresse, Telefonnummer);
- Inhalte von Kundenanfragen, Nachrichten und Verhandlungs-/Angebotsdaten;
- Fahrzeug- und Inseratsdaten sowie hochgeladene Dokumente (z. B. Fahrzeugschein, TÜV-Bericht), die personenbezogene Angaben Dritter – etwa früherer Halter – enthalten können.
Kategorien betroffener Personen: Interessenten, Anfragende und Käufer des Kunden sowie weitere vom Kunden eingegebene Personen.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; der Kunde gibt solche Daten nicht ein.
§ 3 Weisungsgebundenheit
(1) Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden, auch hinsichtlich einer Übermittlung in Drittländer, sofern nicht eine gesetzliche Verpflichtung besteht (in diesem Fall teilt er dies vorher mit, soweit zulässig).
(2) Die Nutzung der Software durch den Kunden und die von ihm vorgenommenen Einstellungen (insbesondere die Auswahl der Plattformen, an die veröffentlicht wird, sowie die Freigabe ausgehender Inhalte) gelten als Weisung. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
(3) Hält der Anbieter eine Weisung für rechtswidrig, informiert er den Kunden und darf deren Ausführung aussetzen.
§ 4 Vertraulichkeit
Der Anbieter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und stellt sicher, dass sie personenbezogene Daten nur weisungsgemäß verarbeiten.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Anbieter trifft geeignete technische und organisatorische Maßnahmen, insbesondere:
- Serverstandort Deutschland/EU: Betrieb und Datenhaltung erfolgen auf Servern in Deutschland (Rechenzentrum Nürnberg, Hetzner Online GmbH); es findet keine standardmäßige Datenspeicherung außerhalb der EU/des EWR statt.
- Mandantentrennung: die Daten jedes Händlerkontos werden getrennt geführt; der Zugriff ist an ein kontobezogenes Sitzungs-Token gebunden.
- Transportverschlüsselung: sämtliche Verbindungen erfolgen ausschließlich über TLS/HTTPS.
- Verschlüsselung sensibler Daten (at rest): hinterlegte Zugangsdaten zu angebundenen Portalen/Postfächern werden verschlüsselt gespeichert und nicht an den Browser des Kunden ausgeliefert.
- Passwortschutz: Kontopasswörter werden ausschließlich als kryptografischer Hash (PBKDF2/SHA-256 mit Salt) gespeichert, niemals im Klartext.
- Zugriffs- und Freigabekontrolle: ausgehende Aktionen (Veröffentlichung, Nachrichtenversand) erfolgen erst nach Freigabe durch den Kunden (Human-Gate); Betreiber-/Support-Zugriffe sind passwortgeschützt.
- Verfügbarkeit/Wiederherstellbarkeit: Serverbetrieb mit Datensicherung; dokumentiertes Löschkonzept (7-Tage-Test → 90-Tage-Aufbewahrung → endgültige Löschung, § 8).
- Trennung von Test- und Produktivumgebung sowie regelmäßige Aktualisierung der eingesetzten Komponenten.
Die Maßnahmen werden bei Bedarf an den Stand der Technik angepasst; ein gleichwertiges oder höheres Schutzniveau bleibt gewahrt.
§ 6 Unterauftragsverarbeiter
(1) Der Kunde genehmigt allgemein den Einsatz der unten genannten Unterauftragsverarbeiter. Mit diesen bestehen Verträge mit Datenschutzpflichten, die den Anforderungen des Art. 28 DSGVO entsprechen (bei Anbietern mit US-Bezug einschließlich EU-Standardvertragsklauseln).
(2) Die Hinzunahme oder den Austausch eines Unterauftragsverarbeiters teilt der Anbieter rechtzeitig mit; der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
| Unterauftragsverarbeiter | Zweck | Ort / Garantie |
|---|---|---|
| Hetzner Online GmbH | Serverbetrieb und Datenhaltung (Anwendungs-/Webserver, Datenbank) | Deutschland (Nürnberg) – EU |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (sobald die Zahlungsfunktion aktiviert ist) | EU/USA – SCC |
| Google Ireland Ltd. | Bereitstellung einer Web-Schriftart (Google Fonts) beim Seitenaufruf | EU/USA – SCC |
| Vom Kunden ausgewählte Verkaufsplattformen (z. B. Mobile.de, AutoScout24, Kleinanzeigen, eigene Website) | Empfänger der vom Kunden freigegebenen Inseratsdaten – nur auf dessen Veranlassung | gemäß jeweiligem Anbieter |
Hinweis: Wird zukünftig eine KI-gestützte Textgenerierung aktiviert, die Daten an einen externen KI-Dienstleister übermittelt, wird dieser vor Aktivierung als Unterauftragsverarbeiter in diese Liste aufgenommen und mitgeteilt. Die jeweils aktuelle Liste wird auf Anfrage bereitgestellt.
§ 7 Unterstützung des Kunden & Betroffenenrechte
(1) Der Anbieter unterstützt den Kunden mit geeigneten Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Funktionen zur Bearbeitung und Löschung der Daten stehen im Dienst bereit.
(2) Er unterstützt den Kunden ferner bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Wird ihm eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert er den Kunden unverzüglich.
§ 8 Löschung und Rückgabe
Nach Beendigung des Nutzungsvertrags werden die personenbezogenen Daten nach Wahl des Kunden gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Standardmäßig werden die Daten 90 Tage nach Ende der Testphase bzw. des Vertrags vorgehalten (Reaktivierung möglich) und danach endgültig gelöscht. Der Kunde kann jederzeit die sofortige Löschung veranlassen.
§ 9 Nachweise und Kontrollen
(1) Der Anbieter stellt dem Kunden die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung.
(2) Er ermöglicht Überprüfungen – auch Inspektionen – durch den Kunden oder einen beauftragten Prüfer in zumutbarem Umfang, nach angemessener Vorankündigung und ohne den Betrieb unverhältnismäßig zu stören; vorrangig durch Auskünfte und geeignete Nachweise.
§ 10 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen für den Bereich der Auftragsverarbeitung die Regelungen dieses AVV vor.
(2) Es gilt das Recht der Bundesrepublik Deutschland. Ist eine Bestimmung unwirksam, bleibt die Wirksamkeit der übrigen unberührt.