← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO

Entwurf — rechtliche Prüfung erforderlich. Dieser AVV ist ein branchenüblicher Muster-Entwurf und dient als Ausgangsdokument. Er ist vor Verwendung an die tatsächlich eingesetzten Systeme, Subunternehmer und technisch-organisatorischen Maßnahmen anzupassen und fachkundig zu prüfen. Mit […] markierte Stellen sind zu vervollständigen.

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der zwischen ihnen bestehenden Nutzung der Dienste der 121 Apps GmbH (nachfolgend „Auftragsverarbeiter") durch den Kunden (nachfolgend „Verantwortlicher"). Er gilt für alle Tätigkeiten, bei denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

§ 1 Gegenstand, Art, Zweck & Dauer

(1) Gegenstand und Zweck der Verarbeitung ergeben sich aus dem zugrunde liegenden Hauptvertrag (Nutzung des jeweiligen Dienstes). Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und auf dokumentierte Weisung des Verantwortlichen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

§ 2 Art der Daten & Kategorien betroffener Personen

(1) Art der personenbezogenen Daten: je nach genutztem Dienst z. B. Stammdaten (Name, E-Mail, Anschrift), Kontaktdaten, Nutzungs- und Protokolldaten, sowie vom Verantwortlichen eingestellte Inhaltsdaten (z. B. Umfrageantworten, Auftrags- und Dienstleisterdaten). [Bei besonderen Kategorien nach Art. 9 DSGVO gesondert regeln.]

(2) Kategorien betroffener Personen: z. B. Beschäftigte, Kunden, Interessenten, Umfrageteilnehmer und Dienstleister des Verantwortlichen.

§ 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.

(2) Er stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Er ergreift alle nach Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen (§ 4).

(4) Er unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO.

(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.

§ 4 Technische und organisatorische Maßnahmen (Art. 32)

Der Auftragsverarbeiter unterhält angemessene technisch-organisatorische Maßnahmen, insbesondere Pseudonymisierung/Verschlüsselung, Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen. [Detaillierte TOM-Beschreibung als Anlage 1 beifügen — z. B. TLS-Verschlüsselung, Zugriffskontrolle, EU-Hosting, Backups, Logging.]

§ 5 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein.

(2) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO). [Aktuelle Liste der Unterauftragsverarbeiter als Anlage 2 beifügen — z. B. Hosting-Anbieter, Zahlungsdienstleister, E-Mail-Versanddienst.]

§ 6 Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei den Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 7 Löschung & Rückgabe

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche hat bis Vertragsende die Möglichkeit zum Export seiner Daten.

§ 8 Nachweise & Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang. [Modalitäten/Ankündigungsfristen und etwaige Kostentragung für Vor-Ort-Prüfungen festlegen.]

§ 9 Drittlandtransfer

Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln). [Sofern ausschließlich EU-Hosting: ausdrücklich festhalten.]

§ 10 Haftung & Schlussbestimmungen

(1) Für die Haftung gilt Art. 82 DSGVO. Im Verhältnis der Parteien gelten ergänzend die Haftungsregelungen des Hauptvertrags.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

(3) Es gilt deutsches Recht.

Stand: [Datum] · Anlagen: [1] TOM-Beschreibung, [2] Liste der Unterauftragsverarbeiter