Complir
Zurück zur Startseite

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 2. Februar 2026

Zweck

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Artikel 28 der DSGVO. Die Verarbeitung erfolgt im Rahmen der Bereitstellung der Complir-Compliance-Plattform und damit verbundener Dienstleistungen.

Art der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten, um dem Verantwortlichen Werkzeuge zur Verwaltung der Produktcompliance bereitzustellen, darunter:

  • Speicherung von Lieferantenkontaktdaten
  • Verarbeitung hochgeladener produktbezogener Dokumentation
  • Unterstützung KI-gestützter Workflows für Klassifizierung, Übersetzung und Risikobewertung

Arten personenbezogener Daten

Die verarbeiteten Datenarten können unter anderem Folgendes umfassen:

  • Name
  • E-Mail
  • Telefonnummer
  • Unternehmenszugehörigkeit
  • Rolle/Funktion
  • Lieferantenunternehmensdaten
  • Hochgeladene Dokumente mit personenbezogenen oder Lieferanteninformationen

Kategorien betroffener Personen

Der Auftragsverarbeiter kann im Auftrag des Verantwortlichen personenbezogene Daten folgender Kategorien betroffener Personen verarbeiten:

  • Mitarbeiter und berechtigte Nutzer des Verantwortlichen, die auf die Complir-Plattform zugreifen oder diese nutzen.
  • Lieferantenkontakte und Vertreter, deren Informationen vom Verantwortlichen in der Plattform hochgeladen oder verwaltet werden.
  • Subunternehmer oder externe Partner, deren Angaben in vom Verantwortlichen bereitgestellten Dokumentationen oder Compliancedaten vorkommen können.

Es ist nicht beabsichtigt, besondere Kategorien personenbezogener Daten (im Sinne von Artikel 9 der DSGVO) im Rahmen dieses Vertrags zu verarbeiten.

Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, darunter:

  • Verschlüsselte Kommunikation (TLS)
  • Rollenbasierte Zugriffskontrolle
  • Regelmäßige Zugriffsüberprüfungen
  • Protokollierung und Überwachung über Sentry
  • Regelmäßige Backups
  • Nutzung von ISO 27001-zertifizierten Infrastrukturanbietern

Betroffenenrechte und Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Kapitel 3 der DSGVO (Betroffenenrechte), einschließlich Auskunft, Berichtigung, Löschung und Widerspruch.

Löschung oder Rückgabe von Daten

Bei Beendigung des Vertrags löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten auf Verlangen des Verantwortlichen zurück, sofern nicht gesetzlich anders vorgeschrieben.

Prüfungsrechte

Der Verantwortliche kann die Datenverarbeitungspraktiken des Auftragsverarbeiters einmal jährlich mit 30 Tagen schriftlicher Vorankündigung prüfen. Die Prüfungskosten trägt der Verantwortliche, sofern kein wesentlicher Verstoß festgestellt wird.

Meldung von Verletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und spätestens innerhalb von 48 Stunden nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten.

Laufzeit

Dieser Vertrag bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.