Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen Ihnen (Verantwortlicher) und BLOCQ (Auftragsverarbeiter) für den App-Veröffentlichungsservice.

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch BLOCQ im Auftrag des Nutzers.

Der Nutzer (nachfolgend "Verantwortlicher") beauftragt BLOCQ (nachfolgend "Auftragsverarbeiter") mit der Verarbeitung personenbezogener Daten im Rahmen des App-Veröffentlichungsservices.

§1 Gegenstand und Dauer der Verarbeitung

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der App-Veröffentlichung über den BLOCQ Publishing-Service.

Die Verarbeitung beginnt mit der Übermittlung der Daten zur App-Veröffentlichung und endet mit der vollständigen Löschung aller übermittelten Daten auf Anfrage des Verantwortlichen oder nach Beendigung des Vertragsverhältnisses.

Für nachfolgende Updates werden die Daten entsprechend den Vorgaben des Verantwortlichen weiterhin gespeichert, um zukünftige Veröffentlichungen zu ermöglichen.

§2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich zu folgenden Zwecken:

  • Kompilierung der vom Verantwortlichen konfigurierten App
  • Signierung der App mit den vom Verantwortlichen bereitgestellten Zertifikaten
  • Veröffentlichung der App in den App Stores (Apple App Store, Google Play Store) im Namen des Verantwortlichen
  • Speicherung der Daten für zukünftige App-Updates

§3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • App-Konfigurationsdaten (ISAR-Export): Enthält die vom Verantwortlichen erstellte App-Konfiguration
  • Mediendateien: Logos, Icons, Hintergrundbilder, Avatare und Banner
  • Firebase-Konfigurationsdateien: GoogleService-Info.plist und google-services.json (Projekt-IDs, keine Zugangsdaten)
  • Apple Store Signatur-Dateien: API-Key (.p8), Zertifikat (.p12), Provisioning Profile (.mobileprovision)
  • Google Play Signatur-Dateien: Service Account JSON

§4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

  • Der Verantwortliche selbst als Nutzer des BLOCQ Publishing-Service

§5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
  • Keine Unterauftragsverarbeiter ohne vorherige Genehmigung des Verantwortlichen einzusetzen
  • Den Verantwortlichen bei der Erfüllung seiner Pflichten bezüglich Betroffenenrechten zu unterstützen
  • Bei Datenschutzverletzungen den Verantwortlichen unverzüglich zu benachrichtigen
  • Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben

§6 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

Server (WebGo, Deutschland)

  • Zutrittskontrolle: Rechenzentrum in Deutschland mit Zugangsbeschränkungen
  • Zugangskontrolle: SSH-Key-basierte Authentifizierung, keine Passwort-Logins
  • Übertragungskontrolle: Verschlüsselte Übertragung via HTTPS/TLS
  • Eingabekontrolle: Protokollierung aller Datei-Uploads und Zugriffe

Builder-System (Mac, Deutschland)

  • Physische Sicherheit: Standort in Deutschland mit Zugangsbeschränkung
  • Zugriffskontrolle: Lokales System ohne Remote-Zugriff von außen
  • Datentrennung: Separate Verzeichnisse für jeden Verantwortlichen (nach Bundle-ID)
  • Verfügbarkeitskontrolle: Automatische Backups der Konfigurationsdaten

Allgemeine Maßnahmen

  • Pseudonymisierung: Daten werden nach Bundle-ID organisiert, nicht nach personenbezogenen Merkmalen
  • Vertraulichkeit: Alle Mitarbeiter sind zur Verschwiegenheit verpflichtet
  • Belastbarkeit: Redundante Systeme für kritische Prozesse
  • Wiederherstellbarkeit: Regelmäßige Überprüfung der Backup-Verfahren

§7 Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

NameStandortZweck
WebGo GmbHDeutschlandServer-Hosting für App-Dateien
Apple Inc.USA (SCCs)Veröffentlichung im Apple App Store
Google LLCUSA (SCCs)Veröffentlichung im Google Play Store

Für Datentransfers in die USA werden EU-Standardvertragsklauseln (SCCs) eingesetzt. Der Auftragsverarbeiter wird den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern informieren.

§8 Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • Sicherzustellen, dass die übermittelten Daten rechtmäßig erhoben wurden
  • Die eigenen Apple Developer und Google Play Developer Accounts bereitzustellen
  • Die Richtigkeit und Aktualität der übermittelten Daten zu gewährleisten
  • Dem Auftragsverarbeiter alle notwendigen Informationen für die Verarbeitung bereitzustellen

§9 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Anfragen betroffener Personen (Art. 15-22 DSGVO)
  • Meldung von Datenschutzverletzungen (Art. 33-34 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  • Vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

§10 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu überprüfen. Dies kann durch Anforderung von Nachweisen, Zertifikaten oder Selbstauskünften erfolgen.

Vor-Ort-Prüfungen sind nach vorheriger Ankündigung (mindestens 14 Tage) und unter Wahrung der Geschäftsgeheimnisse möglich.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§11 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung oder auf Anfrage des Verantwortlichen werden alle personenbezogenen Daten gelöscht oder zurückgegeben.

Der Verantwortliche kann wählen zwischen:

  • Vollständige Löschung aller Daten (Server und Builder)
  • Rückgabe der Daten in einem gängigen Format vor der Löschung
  • Beibehaltung der Daten für zukünftige Updates (Standard)

Die Löschung wird schriftlich bestätigt. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§12 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden.

Der Auftragsverarbeiter ist von der Haftung befreit, wenn er nachweist, dass er in keiner Weise für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

§13 Schlussbestimmungen

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen und wird mit der Nutzung des BLOCQ Publishing-Service wirksam.

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Kontakt

Bei Fragen zum Auftragsverarbeitungsvertrag oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:

Florian Zandberg

Am Bahnhof 8A, 21739 Dollern

datenschutz@blocq.io

Stand: Februar 2026