top of page

Auftragsverarbeitungs-vereinbarung

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

 

 

zwischen

 

digtraform GmbH

Centroallee 273–275, 46047 Oberhausen

vertreten durch die Geschäftsführung

– nachfolgend „Auftragsverarbeiter" –

 

und

 

[Unternehmen des Verantwortlichen]

[Adresse]

vertreten durch die Geschäftsführung

– nachfolgend „Verantwortlicher" –

 

Präambel: Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Rahmen des jeweils vereinbarten Projekts. Dabei kann ein Zugriff auf personenbezogene Daten des Verantwortlichen nicht ausgeschlossen werden. Die Parteien schließen daher die nachfolgende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

 

 

§ 1 Gegenstand und Dauer der Verarbeitung

 

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich im Rahmen des vereinbarten Projekts und der hierzu vertraglich vereinbarten Leistungen.

 

(2) Die Verarbeitung beginnt mit Inkrafttreten dieses Vertrags und endet mit Beendigung der zugrunde liegenden Hauptleistung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

 

(3) Dieser Vertrag ist Bestandteil des zugrunde liegenden Hauptvertrags und tritt an die Stelle etwaiger früherer Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien.

 

(4) Jede Partei kann diesen Vertrag fristlos kündigen, wenn die andere Partei schwerwiegend oder wiederholt gegen Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Vorschriften verstößt und den Verstoß trotz Aufforderung nicht innerhalb einer angemessenen Frist von höchstens 14 Tagen abstellt. Das Recht zur Kündigung des Hauptvertrags aus wichtigem Grund bleibt unberührt.

 

(5) Der Auftragsverarbeitungsvertrag gilt unabhängig von einer Kündigung des Hauptvertrags so lange fort, wie der Auftragsverarbeiter noch personenbezogene Daten des Verantwortlichen verarbeitet oder im Besitz solcher Daten ist.

 

 

§ 2 Art und Zweck der Verarbeitung

 

(1) Die Verarbeitung erfolgt ausschließlich zum Zweck des Betriebs, der Wartung und Weiterentwicklung des beauftragten Systems sowie der Erbringung der vertraglich vereinbarten Leistungen.

 

(2) Die Art der Verarbeitung umfasst: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln und Löschen personenbezogener Daten – ausschließlich soweit dies für die Erfüllung des Auftrags technisch erforderlich ist.

 

 

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

 

(1) Arten der personenbezogenen Daten: Stammdaten, Kontaktdaten, Vertrags- und Auftragsdaten, Kommunikationsdaten, Nutzungs- und Zugriffsdaten innerhalb des beauftragten Systems.

 

(2) Kategorien betroffener Personen: Mitarbeiter, Kunden, Lieferanten und sonstige Geschäftspartner des Verantwortlichen.

 

(3) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung.

 

 

§ 4 Weisungsbindung

 

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die in diesem Vertrag festgelegten Verarbeitungen gelten als Weisung.

 

(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

 

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis der Verantwortliche diese bestätigt oder ändert.

 

(4) Die Verantwortung des Verantwortlichen für die Rechtmäßigkeit der Verarbeitung und die Einhaltung seiner Pflichten nach der DSGVO richtet sich nach § 5a. Der Auftragsverarbeiter ist nicht verpflichtet, die Weisungen des Verantwortlichen auf ihre Rechtmäßigkeit zu prüfen, es sei denn, ein Verstoß ist offensichtlich.

 

 

§ 5 Technische und organisatorische Maßnahmen – Zugriffskonzept

 

(1) Der Auftragsverarbeiter ergreift die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese Maßnahmen sind auf den konkreten Verarbeitungsgegenstand zugeschnitten und gewährleisten ein dem Risiko angemessenes Schutzniveau. Die nachfolgende Beschreibung ersetzt pauschale TOM-Fragebögen und bildet die verbindliche Grundlage für die Sicherheit der Verarbeitung.

 

Fernzugriff: Zugriffe auf Systeme des Verantwortlichen erfolgen ausschließlich über eine verschlüsselte VPN-Verbindung. Jeder einzelne Fernzugriff bedarf der vorherigen ausdrücklichen Freigabe durch einen benannten Berechtigten des Verantwortlichen. Der Verantwortliche ist berechtigt, Fernzugriffe jederzeit zu beenden.

 

Dediziertes Gerät: Zugriffe auf Systeme und Daten des Verantwortlichen erfolgen ausschließlich von einem dedizierten Arbeitsplatzgerät des Auftragsverarbeiters, das ausschließlich für die Erbringung von Leistungen gegenüber dem Verantwortlichen genutzt wird. Dieses Gerät befindet sich in den Geschäftsräumen des Auftragsverarbeiters und unterliegt dessen physischer Zutrittskontrolle.

 

Protokollierung: Sämtliche Fernzugriffe werden durch ein Zugriffsprotokoll dokumentiert, das mindestens Datum, Uhrzeit, Dauer und zugreifende Person enthält. Eine vollständige Bildschirmaufzeichnung erfolgt nur bei konkretem Anlass, insbesondere auf Weisung des Verantwortlichen oder bei sicherheitsrelevanten Tätigkeiten. Protokolle und etwaige Aufzeichnungen werden für die Dauer von 12 Monaten aufbewahrt und dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

 

Datentrennung und -minimierung: Es erfolgt kein Abzug, keine Kopie und keine lokale Speicherung personenbezogener Daten des Verantwortlichen auf Systemen des Auftragsverarbeiters. Bis zur Inbetriebnahme des Systems (Go-Live) beschränkt sich der Zugriff auf die reine Ansicht der Software und Testdaten. Ein Zugriff auf Echtdaten erfolgt erst nach gesonderter Freigabe durch den Verantwortlichen.

 

Vertraulichkeit der Mitarbeiter: Alle mit der Verarbeitung befassten Personen des Auftragsverarbeiters sind auf Vertraulichkeit verpflichtet. Der Zugang zu den Systemen des Verantwortlichen ist namentlich auf die in § 13 benannten Personen beschränkt.

 

(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, alternative Maßnahmen umzusetzen, sofern das Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

 

 

§ 5a Verantwortlichkeit und Infrastrukturabgrenzung

 

(1) Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO sowie für die Einhaltung der ihm obliegenden Pflichten nach Art. 24, 25 und 32 DSGVO.

 

(2) Der Verantwortliche gewährleistet, dass seine IT-Infrastruktur, insbesondere Serverbetrieb, Netzwerkarchitektur, Firewall-Konfiguration, Internetanbindung, Zugriffssteuerung, Patch-Management sowie physische Zutrittskontrolle, dem Stand der Technik entspricht und ein dem Risiko angemessenes Schutzniveau gewährleistet.

 

(3) Der Verantwortliche bestätigt, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert zu haben und diese regelmäßig auf Wirksamkeit zu überprüfen.

 

(4) Der Verantwortliche stellt dem Auftragsverarbeiter auf Anforderung geeignete Nachweise über die Umsetzung dieser Maßnahmen zur Verfügung, soweit dies zur Beurteilung der Risikoverteilung im Rahmen dieses Vertrags erforderlich ist.

 

(5) Der Auftragsverarbeiter ist nicht verpflichtet, die IT-Infrastruktur, Netzwerksicherheit oder sonstige Sicherheitsmaßnahmen des Verantwortlichen zu prüfen, zu auditieren oder zu bewerten. Werden dem Auftragsverarbeiter im Rahmen seiner Tätigkeit offensichtliche Sicherheitsmängel bekannt, wird er den Verantwortlichen hierauf hinweisen. Eine Haftung für unterlassene Hinweise besteht nicht.

 

(6) Sicherheitsmängel oder Datenschutzverstöße, die im Verantwortungsbereich des Verantwortlichen liegen, insbesondere solche im Zusammenhang mit dessen IT-Infrastruktur, Weisungen oder Datenbereitstellung, begründen keine Haftung des Auftragsverarbeiters.

 

(7) Die Freistellung des Auftragsverarbeiters bei Pflichtverletzungen oder Sicherheitsmängeln im Verantwortungsbereich des Verantwortlichen richtet sich nach § 12 Abs. 3 dieses Vertrags.

 

 

§ 6 Vertraulichkeit

 

(1) Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Personen auf Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

 

(2) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung befassten Personen mit den einschlägigen Datenschutzvorschriften vertraut sind.

 

 

§ 7 Unterauftragsverhältnisse

 

(1) Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses keine Unterauftragsverarbeiter ein.

 

(2) Der Einsatz von Unterauftragsverarbeitern bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor dem geplanten Einsatz. Der Verantwortliche kann dem Einsatz innerhalb von 14 Tagen nach Zugang der Information aus wichtigem Grund widersprechen.

 

(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter vertraglich mindestens gleichwertige Datenschutzpflichten übernehmen.

 

(4) Übermittlungen personenbezogener Daten in ein Drittland außerhalb des EWR erfolgen nicht. Sollte dies künftig erforderlich werden, bedarf dies der vorherigen schriftlichen Zustimmung des Verantwortlichen und der Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO.

 

 

§ 8 Meldepflichten bei Datenpannen

 

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 33 und 34 DSGVO.

 

(2) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung erfolgt an die in § 13 benannten Ansprechpartner.

 

(3) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Personengruppen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Gegenmaßnahmen.

 

 

§ 9 Unterstützung bei Betroffenenrechten und DSFA

 

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Pflichten gegenüber betroffenen Personen gemäß Art. 12 bis 22 DSGVO.

 

(2) Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

 

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen im erforderlichen Umfang bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO sowie bei vorherigen Konsultationen der Aufsichtsbehörde gemäß Art. 36 DSGVO.

 

(4) Beide Parteien arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen oder Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für Ermittlungen im Rahmen von Ordnungswidrigkeits- oder Strafverfahren in Bezug auf die Verarbeitung personenbezogener Daten.

 

(6) Unterstützungsleistungen des Auftragsverarbeiters im Zusammenhang mit Datenpannen, Betroffenenanfragen, Datenschutz-Folgenabschätzungen, behördlichen Maßnahmen oder sonstigen datenschutzrechtlichen Vorgängen werden grundsätzlich nach Aufwand zu den jeweils gültigen Stundensätzen des Auftragsverarbeiters vergütet.

 

(7) Eine Vergütungspflicht besteht insbesondere, wenn die Ursache des Vorgangs im Verantwortungsbereich des Verantwortlichen liegt oder nicht eindeutig dem Auftragsverarbeiter zuzurechnen ist.

 

(8) Ist der Vorgang nachweislich auf ein schuldhaftes Verhalten des Auftragsverarbeiters zurückzuführen, trägt der Auftragsverarbeiter die hierfür erforderlichen Unterstützungsleistungen im angemessenen Umfang selbst.

 

 

§ 10 Löschung und Rückgabe von Daten

 

(1) Eine lokale Speicherung personenbezogener Daten des Verantwortlichen auf Systemen des Auftragsverarbeiters findet gemäß § 5 nicht statt. Soweit im Einzelfall dennoch Daten in den Besitz des Auftragsverarbeiters gelangen, werden diese nach Abschluss der jeweiligen Tätigkeit unverzüglich und datenschutzgerecht gelöscht oder auf Weisung des Verantwortlichen zurückgegeben.

 

(2) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Zusammenhang mit dem Auftrag stehenden Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.

 

(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Verarbeitung dienen (insbesondere Zugriffsprotokolle und etwaige Bildschirmaufzeichnungen gemäß § 5), sind hiervon ausgenommen und werden gemäß den dort genannten Fristen aufbewahrt.

 

 

§ 11 Kontrollrechte des Verantwortlichen

 

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen. Der Verantwortliche ist berechtigt, höchstens einmal pro Kalenderjahr eine Prüfung durchzuführen, sofern kein konkreter Anlass für eine weitergehende Kontrolle besteht. Kontrollen erfolgen unter angemessener Berücksichtigung der betrieblichen Abläufe des Auftragsverarbeiters und werden mit einer Frist von mindestens 14 Werktagen angekündigt.

 

(2) Die Kosten der Durchführung von Kontrollen, Audits oder Inspektionen trägt der Verantwortliche. Dies umfasst insbesondere Reisekosten, Kosten für externe Prüfer sowie den eigenen internen Aufwand des Verantwortlichen. Der Aufwand des Auftragsverarbeiters für die Unterstützung bei Kontrollen wird gemäß Absatz 3 abgerechnet.

 

(3) Der Auftragsverarbeiter stellt dem Verantwortlichen jährlich ein Kontingent von höchstens 8 Arbeitsstunden für die Unterstützung bei Kontrollen zur Verfügung (insbesondere Zusammenstellung von Protokollen, Beantwortung von Rückfragen, Begehungen). Der Aufwand wird dem Verantwortlichen zu den jeweils gültigen Stundensätzen des Auftragsverarbeiters in Rechnung gestellt. Darüber hinausgehender Aufwand bedarf der vorherigen Zustimmung des Auftragsverarbeiters.

 

(4) Der Nachweis der Einhaltung der Maßnahmen kann insbesondere durch Vorlage der Zugriffsprotokolle und etwaiger Bildschirmaufzeichnungen gemäß § 5 erfolgen. Sofern der Verantwortliche diese Nachweise als nicht ausreichend erachtet, kann er eine Vor-Ort-Kontrolle gemäß Absatz 1 durchführen.

 

(5) Der Auftragsverarbeiter ist berechtigt, vom Verantwortlichen beauftragte Prüfer abzulehnen, sofern diese in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen oder berechtigte Zweifel an deren Unabhängigkeit oder Vertraulichkeit bestehen. Der Verantwortliche benennt in diesem Fall einen anderen Prüfer.

 

(6) Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt dem Verantwortlichen die erforderlichen Angaben auf Anfrage zur Verfügung.

 

 

§ 12 Haftung und Schadensersatz

 

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den gesetzlichen Bestimmungen.

 

(2) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen nur für Schäden, die durch eine ihm zurechenbare Verletzung der ihm nach der DSGVO auferlegten Pflichten oder durch eine Verarbeitung außerhalb oder entgegen den Weisungen des Verantwortlichen entstanden sind.

 

(3) Der Verantwortliche stellt den Auftragsverarbeiter von sämtlichen Ansprüchen Dritter frei, soweit diese nicht auf einem Verschulden des Auftragsverarbeiters beruhen. Ein Verschulden des Verantwortlichen liegt insbesondere vor bei: (a) unzureichenden, widerrechtlichen oder fehlerhaften Weisungen, (b) Sicherheitsmängeln oder Pflichtverletzungen in seinem Verantwortungsbereich gemäß § 5a, (c) Verstößen gegen seine eigenen Pflichten als Verantwortlicher nach der DSGVO, (d) fehlerhaften oder unvollständigen Angaben gegenüber dem Auftragsverarbeiter. Die Freistellung umfasst ausdrücklich auch die notwendigen Kosten der Rechtsverteidigung, insbesondere Rechtsanwalts-, Gerichts- und außergerichtliche Vergleichskosten.

 

(4) Haben beide Parteien einen Schaden mit verursacht, haften sie im Innenverhältnis entsprechend ihrem jeweiligen Verursachungs- und Verschuldensanteil.

 

(5) Die Haftung des Auftragsverarbeiters ist der Höhe nach auf 50 % der im letzten abgeschlossenen Vertragsjahr gezahlten Nettovergütung begrenzt, höchstens jedoch auf 10.000,00 € (in Worten: zehntausend Euro) für die gesamte Vertragslaufzeit. Diese Begrenzung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.

 

 

§ 13 Ansprechpartner und Weisungsberechtigte

 

Auf Seiten des Auftragsverarbeiters (digtraform GmbH):

 

Benjamin Lange — Projektleitung / Datenschutz 

Bernd Kladders — Geschäftsführer

Noah Gaspers — Technik —

 

Auf Seiten des Verantwortlichen: [vom Verantwortlichen auszufüllen]

 

 

§ 14 Schlussbestimmungen

 

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

 

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

 

(3) Es gilt deutsches Recht. Gerichtsstand ist Oberhausen.

 

(4) Dieser Vertrag tritt mit Unterzeichnung durch beide Parteien in Kraft. Einseitige Erklärungen zur Geltung dieses oder eines anderen Vertrags ohne Zustimmung der jeweils anderen Partei entfalten keine Wirkung.

 

 

Stand: März 2026

bottom of page