zwischen
dem Kunden (nachfolgend „Auftraggeber«)
und
Wizlabs GmbH
c/o Nicholas Weingarten
Rietgrabenstrasse 10
8152 Opfikon
Schweiz
(nachfolgend „Auftragsverarbeiter«)
1.1 Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch die Wizlabs GmbH im Rahmen der Bereitstellung der Cloud-Software Scanwiz (scanwiz.com) zur smarten Verwaltung von Lagerartikeln, Bestandsführung, Inventur und Variantenmanagement.
1.2 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers gemäß Art. 28 Abs. 3 lit. a DSGVO.
1.3 Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Nutzungsvertrags für Scanwiz. Eine Kündigung des Nutzungsvertrags beendet automatisch diese Vereinbarung. Der Nutzungsvertrag kommt durch Buchung eines Angebots direkt über die Plattform scanwiz.com zustande.
2. Art und Zweck der Verarbeitung
2.1 Art und Zweck: Bereitstellung der Scanwiz-Software als SaaS-Lösung zur digitalen Lagerverwaltung, einschließlich Speicherung, Abruf, Verwaltung und Wartung der vom Auftraggeber eingegebenen Daten.
2.2 Verarbeitete Datenkategorien:
- Nutzerdaten: Namen, E-Mail-Adressen, Telefonnummern
- Vertragsdaten: Vertragsbeziehung, Abrechnungs- und Zahlungsdaten
- Anwendungsdaten: Lagerartikel, Bestände, Inventurdaten, vom Kunden in Scanwiz gespeicherte Informationen
2.3 Betroffene Personen: Kunden, Mitarbeiter des Auftraggebers, Lieferanten, Ansprechpartner.
2.4 Ort der Verarbeitung: Ausschließlich in Rechenzentren innerhalb Deutschlands bzw. der EU/EWR. Eine Verarbeitung in Drittländern bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers unter Einhaltung der Art. 44 ff. DSGVO.
3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Auftraggebers, es sei denn, eine gesetzliche Verpflichtung erfordert eine andere Verarbeitung. In diesem Fall informiert der Auftragsverarbeiter den Auftraggeber unverzüglich, sofern rechtlich zulässig.
3.2 Weisungen erfolgen schriftlich oder in elektronisch dokumentierter Form. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
3.3 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Die Ausführung wird bis zur Klärung ausgesetzt.
4. Pflichten des Auftragsverarbeiters
4.1 Vertraulichkeit: Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Mitarbeiter zur Vertraulichkeit und schult diese regelmäßig zu datenschutzrechtlichen Anforderungen.
4.2 Datensicherheit: Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:
- Verschlüsselung und Pseudonymisierung
- Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit
- Regelmäßige Backups
- Zugangs- und Zugriffskontrolle
- Schutz vor Malware und unbefugtem Zugriff
4.3 Unterstützungspflichten: Der Auftragsverarbeiter unterstützt den Auftraggeber angemessen bei:
- Erfüllung von Betroffenenrechten (Art. 12-22 DSGVO)
- Meldung von Datenschutzverletzungen
- Datenschutz-Folgenabschätzungen, soweit erforderlich
4.4 Meldung von Datenpannen: Verletzungen des Schutzes personenbezogener Daten sind dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, zu melden.
4.5 Keine Zweckänderung: Personenbezogene Daten dürfen nicht für eigene Zwecke des Auftragsverarbeiters verwendet oder ohne Zustimmung an Dritte weitergegeben werden. Backup-Kopien und gesetzlich vorgeschriebene Speicherungen sind zulässig.
5.1 Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter (z. B. Cloud-Hosting-Anbieter) zur Verarbeitung einzusetzen. Eine aktuelle Liste der Unterauftragsverarbeiter wird dem Auftraggeber auf Anfrage zur Verfügung gestellt.
5.2 Die Beauftragung neuer oder anderer Unterauftragsverarbeiter ist dem Auftraggeber mindestens 10 Werktage im Voraus schriftlich mitzuteilen. Der Auftraggeber kann innerhalb dieser Frist aus datenschutzrechtlichen Gründen widersprechen.
5.3 Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in dieser Vereinbarung festgelegt.
6.1 Kontrollrechte: Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung die Einhaltung der datenschutzrechtlichen Pflichten durch den Auftragsverarbeiter zu überprüfen. Dies kann durch Stichprobenkontrollen oder beauftragte Prüfer erfolgen.
6.3 Auskunft: Der Auftragsverarbeiter erteilt dem Auftraggeber auf Anfrage unverzüglich alle erforderlichen Auskünfte zur Verarbeitung und unterstützt bei Anfragen von Behörden oder betroffenen Personen.
7. Rückgabe und Löschung von Daten
7.1 Nach Beendigung der Leistungsvereinbarung oder auf Weisung des Auftraggebers sind sämtliche personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückzugeben oder datenschutzkonform zu löschen.
7.2 Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Ein Löschprotokoll ist auf Anforderung vorzulegen. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
8.1 Der Auftragsverarbeiter haftet für Schäden aus der Verletzung datenschutzrechtlicher Pflichten nach den gesetzlichen Bestimmungen der Art. 82 DSGVO.
8.2 Der Auftraggeber stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die aus einer rechtswidrigen Weisung des Auftraggebers resultieren, sofern der Auftragsverarbeiter den Auftraggeber hierauf hingewiesen hat.
9.1 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
9.2 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem ursprünglichen wirtschaftlichen Zweck am nächsten kommt.
9.3 Diese Vereinbarung wird bei Änderungen der datenschutzrechtlichen Anforderungen auf Verlangen einer Partei angepasst.
Stand: November 2025
Wizlabs GmbH