1. Vertragsparteien Auftragsverarbeiter ÖFTN&KEKSN LLC 30 N Gould St Ste R Sheridan, WY 82801, USA E-Mail: hallo@lex-wizard.de Verantwortlicher Der jeweilige registrierte Nutzer von LexWizard (Unternehmer gemäß §14 BGB). 2. Gegenstand und Dauer der Verarbeitung Der Auftragsverarbeiter stellt dem Verantwortlichen die Software „LexWizard“ als SaaS zur Verfügung und verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dieser Vertrag gilt für die Dauer der Nutzung des Dienstes. 3. Art und Zweck der Verarbeitung Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck: der Bereitstellung von LexWizard der Speicherung und Verwaltung von Kunden-, Rechnungs- sowie Mahndaten des Versands systemrelevanter E-Mails (z. B. Zahlungserinnerungen) des technischen Betriebs (Hosting, Datenbank, Authentifizierung) Andere Zwecke sind ausgeschlossen. 4. Kategorien personenbezogener Daten und betroffener Personen Datenarten: Kundenstammdaten (Name, Firma, Adresse, E-Mail) Rechnungs- und Zahlungsinformationen Mahn- & Fälligkeitsdaten System- und Nutzungsdaten Betroffene Personen: Kunden des Verantwortlichen Ansprechpartner, Geschäftskontakte ggf. Mitarbeiter des Verantwortlichen 5. Pflichten des Verantwortlichen Der Verantwortliche: ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich erteilt Weisungen an den Auftragsverarbeiter darf nur Daten eingeben, für die er eine Berechtigung besitzt prüft regelmäßig die Export- und Löschfunktionen sichert Daten regelmäßig über die Exportfunktionen 6. Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter verpflichtet sich: Daten nur gemäß dokumentierter Weisungen des Verantwortlichen zu verarbeiten keine Daten unberechtigt an Dritte weiterzugeben Mitarbeiter auf Vertraulichkeit zu verpflichten technische und organisatorische Maßnahmen (TOMs) umzusetzen den Verantwortlichen bei Betroffenenrechten zu unterstützen Datenschutzverstöße unverzüglich zu melden 7. Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter hat insbesondere folgende Maßnahmen implementiert: TLS/HTTPS-Verschlüsselung der Datenübertragung Verschlüsselte Speicherung (providerseitig) Passwortgesicherte Accounts und Rollenberechtigungen Server-Firewalls und Angriffserkennung Zugriffsbeschränkungen und Protokollierung regelmäßige Backups Schutz vor unbefugtem Zugriff Die TOMs können bei technischer Weiterentwicklung angepasst werden, solange das Schutzniveau angemessen bleibt. 8. Einsatz von Unterauftragsverarbeitern Folgende Unterauftragsverarbeiter werden genutzt: Hosting & Datenbank Supabase (EU-Region) E-Mail-Versand Resend Zahlungsdienstleister (falls genutzt) Stripe Infrastruktur & Sicherheit Cloudflare (CDN/Security) Der Verantwortliche erhält bei Änderungen an Unterauftragsverarbeitern eine Mitteilung. Widerspricht er nicht innerhalb von 14 Tagen, gilt die Änderung als genehmigt. 9. Ort der Datenverarbeitung Die Hauptverarbeitung erfolgt in der Europäischen Union. Technische Systemdaten können in den USA verarbeitet werden, basierend auf: EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO geeigneten Schutzmaßnahmen vertraglichen Vereinbarungen mit Unterauftragsverarbeitern Der Verantwortliche stimmt diesen Übermittlungen zu. 10. Unterstützung des Verantwortlichen Der Auftragsverarbeiter unterstützt den Verantwortlichen – soweit möglich – bei: Auskunftsersuchen Berichtigungen Löschungen der Meldung von Datenschutzvorfällen Datenschutz-Folgenabschätzungen Komplexe oder außergewöhnliche Maßnahmen können kostenpflichtig sein. 11. Meldung von Datenschutzverletzungen Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens binnen 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten. 12. Löschung und Rückgabe von Daten Nach Vertragsende: bleiben die Daten 30 Tage zur Sicherung verfügbar danach werden sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen der Verantwortliche kann seine Daten jederzeit exportieren 13. Haftung Die Haftung richtet sich nach den jeweils gültigen AGB von LexWizard. Der Auftragsverarbeiter haftet nur für Verstöße innerhalb seines eigenen Verantwortungsbereiches. 14. Schriftform und Änderungen Änderungen dieses Vertrages bedürfen der Textform (E-Mail ausreichend). Der Auftragsverarbeiter darf diesen AVV anpassen, wenn dies aufgrund technischer oder rechtlicher Änderungen notwendig ist. Der Verantwortliche wird informiert; Widerspruchsfrist: 14 Tage. 15. Anwendbares Recht Es gilt das Recht des Bundesstaates Wyoming (USA). Gerichtsstand ist Sheridan County, Wyoming.