Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO
Präambel
Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der zwischen ihnen bestehenden Nutzung der Dienste der 121 Apps GmbH (nachfolgend „Auftragsverarbeiter") durch den Kunden (nachfolgend „Verantwortlicher"). Er gilt für alle Tätigkeiten, bei denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
§ 1 Gegenstand, Art, Zweck & Dauer
(1) Gegenstand und Zweck der Verarbeitung ergeben sich aus dem zugrunde liegenden Hauptvertrag (Nutzung des jeweiligen Dienstes). Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und auf dokumentierte Weisung des Verantwortlichen.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
§ 2 Art der Daten & Kategorien betroffener Personen
(1) Art der personenbezogenen Daten: je nach genutztem Dienst z. B. Stammdaten (Name, E-Mail, Anschrift), Kontaktdaten, Nutzungs- und Protokolldaten, sowie vom Verantwortlichen eingestellte Inhaltsdaten (z. B. Umfrageantworten, Auftrags- und Dienstleisterdaten). [Bei besonderen Kategorien nach Art. 9 DSGVO gesondert regeln.]
(2) Kategorien betroffener Personen: z. B. Beschäftigte, Kunden, Interessenten, Umfrageteilnehmer und Dienstleister des Verantwortlichen.
§ 3 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Er stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Er ergreift alle nach Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen (§ 4).
(4) Er unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.
§ 4 Technische und organisatorische Maßnahmen (Art. 32)
Der Auftragsverarbeiter unterhält angemessene technisch-organisatorische Maßnahmen, insbesondere Pseudonymisierung/Verschlüsselung, Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen. [Detaillierte TOM-Beschreibung als Anlage 1 beifügen — z. B. TLS-Verschlüsselung, Zugriffskontrolle, EU-Hosting, Backups, Logging.]
§ 5 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein.
(2) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO). [Aktuelle Liste der Unterauftragsverarbeiter als Anlage 2 beifügen — z. B. Hosting-Anbieter, Zahlungsdienstleister, E-Mail-Versanddienst.]
§ 6 Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei den Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
§ 7 Löschung & Rückgabe
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche hat bis Vertragsende die Möglichkeit zum Export seiner Daten.
§ 8 Nachweise & Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang. [Modalitäten/Ankündigungsfristen und etwaige Kostentragung für Vor-Ort-Prüfungen festlegen.]
§ 9 Drittlandtransfer
Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln). [Sofern ausschließlich EU-Hosting: ausdrücklich festhalten.]
§ 10 Haftung & Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO. Im Verhältnis der Parteien gelten ergänzend die Haftungsregelungen des Hauptvertrags.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.
(3) Es gilt deutsches Recht.
Stand: [Datum] · Anlagen: [1] TOM-Beschreibung, [2] Liste der Unterauftragsverarbeiter
