Vereinbarung nach Art. 28 DSGVO — Stand: Juli 2026. Wird gemäß § 2 der Nutzungsbedingungen mit Vertragsschluss Bestandteil des Vertrags.
Diese Vereinbarung wird geschlossen zwischen dem Kunden der Software „validait" als Verantwortlichem („Auftraggeber") und validait — Löffler & Tradler GbR, Innstraße 22, 83022 Rosenheim, als Auftragsverarbeiter („Auftragnehmer"). Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien, soweit der Auftraggeber im Rahmen der Nutzung von validait personenbezogene Daten Dritter verarbeitet (Art. 28 DSGVO). Sie gilt für die Dauer des Nutzungsvertrags und endet mit dessen Beendigung.
Der Auftragnehmer speichert, strukturiert und analysiert vom Auftraggeber hochgeladene Dokumente und eingegebene Unternehmensdaten, um Ausschreibungsprüfungen, Wettbewerbs- und Partneranalysen sowie Zusammenfassungen zu erstellen (Erheben, Speichern, Auslesen, Verwenden, Löschen im Sinne von Art. 4 Nr. 2 DSGVO). Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglichen Leistung und auf dokumentierte Weisung des Auftraggebers; die Nutzung der Software durch den Auftraggeber gilt als Weisung. Eine Nutzung der Daten für eigene Zwecke des Auftragnehmers oder zum Training von KI-Modellen findet nicht statt.
Betroffene: Mitarbeiter und Ansprechpartner des Auftraggebers; in hochgeladenen Unterlagen genannte Personen (z. B. Ansprechpartner von Auftraggebern, Referenzkunden, Nachunternehmern).
Datenkategorien: Kontakt- und Identifikationsdaten (Name, E-Mail, Telefon, Funktion), berufsbezogene Daten (Qualifikationen, Referenzen), Inhalte hochgeladener Geschäftsdokumente. Besondere Kategorien (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; der Auftraggeber ist verpflichtet, solche Daten nicht in die Plattform zu laden.
Der Auftragnehmer (a) verarbeitet die Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist rechtlich zur Verarbeitung verpflichtet; (b) gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben; (c) trifft die technischen und organisatorischen Maßnahmen nach § 6; (d) unterstützt den Auftraggeber mit geeigneten Mitteln bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) und bei den Pflichten aus Art. 32–36 DSGVO; (e) meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis; (f) löscht oder gibt nach Ende des Auftrags alle personenbezogenen Daten zurück (§ 7); (g) stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung und ermöglicht Überprüfungen — in der Regel durch aussagekräftige Dokumentation, auf begründetes Verlangen durch Audits nach angemessener Ankündigung; (h) informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
Der Auftraggeber erteilt die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen (Hinzufügung oder Ersetzung) informiert der Auftragnehmer vorab in Textform; der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen. Mit jedem Unterauftragsverarbeiter bestehen Verträge nach Art. 28 Abs. 4 DSGVO.
Der Auftraggeber kann hochgeladene Dokumente und Analysen jederzeit selbst in der Anwendung löschen. Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers spätestens 30 Tage nach Ablauf der Exportfrist (§ 9 der Nutzungsbedingungen), soweit keine gesetzliche Aufbewahrungspflicht besteht. Auf Verlangen bestätigt der Auftragnehmer die Löschung in Textform.
Bei Widersprüchen zwischen dieser Vereinbarung und den Nutzungsbedingungen geht diese Vereinbarung in datenschutzrechtlichen Fragen vor. Die Haftungsregelungen der Nutzungsbedingungen gelten auch für diese Vereinbarung, soweit Art. 82 DSGVO nichts anderes bestimmt. Es gilt deutsches Recht; Gerichtsstand ist — soweit zulässig — der Sitz des Auftragnehmers.