+ Auftragsverarbeitungsvertrag

Vorschau

Artikel 28 in Klartext.

Wenn ihr personenbezogene Daten auf recover.is speichert, seid ihr Verantwortlicher und wir Auftragsverarbeiter. Der AVV regelt dieses Verhältnis nach Art. 28 DSGVO. Die Zusammenfassung unten zeigt unsere Standardbedingungen; ein gegengezeichneter AVV wird mit eurem MSA bereitgestellt.

Zuletzt aktualisiert · Mai 2026

Diese Seite ist eine Zusammenfassung in Klartext. Der formale, unterschriftsreife Text wird vor dem ersten kommerziellen Vertrag bereitgestellt. Bis dahin gilt diese Seite als verbindliche Absicht — bei Widersprüchen zu unterschriebenen Verträgen gilt das unterschriebene Dokument.

01 /

Gegenstand und Dauer

  • +Gegenstand: Speicherung und Abruf personenbezogener Daten auf der recover.is-Plattform.
  • +Dauer: Vertragslaufzeit zuzüglich des Export-Fensters nach Beendigung.
  • +Art und Zweck: Backup, Archiv, Disaster Recovery und unveränderliche Audit-Evidenz.
  • +Datenkategorien: durch euch festgelegt. Wir kategorisieren oder interpretieren Objektinhalte nie.

02 /

Unsere Pflichten als Auftragsverarbeiter

  • +Personenbezogene Daten nur auf eure dokumentierten Weisungen verarbeiten.
  • +Sicherstellen, dass verarbeitende Personen zur Vertraulichkeit verpflichtet sind.
  • +Die auf der Sicherheits- und Compliance-Seite beschriebenen Sicherheitsmassnahmen umsetzen.
  • +Euch unverzüglich (spätestens innerhalb von 72 Stunden) über bekannt gewordene Verletzungen personenbezogener Daten informieren.
  • +Euch bei der Erfüllung von Betroffenenrechten unterstützen, einschliesslich der Art.-17-Löschungspipeline.
  • +Alle zur Compliance-Demonstration erforderlichen Informationen zur Verfügung stellen, einschliesslich Auditrechten in angemessenem Umfang.

03 /

Unterauftragsverarbeiter

  • +Unsere Standardliste der Unterauftragsverarbeiter ist auf der Sicherheits- und Compliance-Seite veröffentlicht.
  • +Wir beauftragen Unterauftragsverarbeiter nur unter schriftlichen Verträgen, die gleichwertige Datenschutzpflichten weiterreichen.
  • +Wir kündigen Aufnahme oder Wechsel eines Unterauftragsverarbeiters 30 Tage vorher an; ihr könnt innerhalb dieses Fensters schriftlich widersprechen.

04 /

Internationale Übermittlungen

  • +Objektdaten und Metadaten verlassen Island nie.
  • +E-Mail-Daten (Empfängeradressen, Nachrichteninhalte) durchlaufen Resend (USA). Resend ist nach Standardvertragsklauseln und EU-US Data Privacy Framework zertifiziert.
  • +Sollte ein zukünftiger Unterauftragsverarbeiter ausserhalb des EWR sitzen, werden Übermittlungsmechanismen (SCC + ergänzende Massnahmen) vertraglich vorausgesetzt.

05 /

Audit und Kooperation

  • +Mit angemessener Vorankündigung könnt ihr unsere AVV-Compliance prüfen — direkt, durch unabhängige Dritte oder über unsere SOC 2 / ISO 27001 Reports nach Ausstellung.
  • +Wir kooperieren mit Aufsichtsbehörden, einschliesslich Persónuvernd in Island.
  • +Wir unterstützen bei Datenschutz-Folgenabschätzungen, sofern nach Art. 35 erforderlich.

+ Fragen?

Schreibe an legal@recover.is und wir antworten innerhalb eines Werktages.

Zurück zu recover.is