Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO)
Anlage zum Dienstleistungsvertrag vom [DATUM DES HAUPTVERTRAGS]
Vertragsparteien
AUFTRAGGEBER
[Name des Auftraggebers]
[Straße, Hausnummer]
[PLZ Ort]
vertreten durch: [Name, Funktion]
– nachfolgend „Auftraggeber" –
AUFTRAGNEHMER
SCHAFFSCH GmbH
Julius-Hatry-Straße 1
68163 Mannheim
vertreten durch: Philipp Sonnenstrahl, Fabian Wolff (Geschäftsführer)
– nachfolgend „Auftragnehmer" –
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem Dienstleistungsvertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten.
Die SCHAFFSCH GmbH erbringt für den Auftraggeber Dienstleistungen in den Bereichen IT-Beratung, Prozessautomatisierung und individuelle Softwareentwicklung. Im Rahmen dieser Tätigkeiten kann die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers erforderlich sein.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich aus dem zugrundeliegenden Dienstleistungsvertrag. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:
| Art der Daten | Art und Zweck der Verarbeitung | Kategorien betroffener Personen |
|---|---|---|
| Stamm- und Kontaktdaten (Name, E-Mail, Telefon, Adresse, Unternehmen) | Beratungs- und Projektdurchführung, Kommunikation, Dokumentation, Abrechnungsvorbereitung | Ansprechpartner und Mitarbeitende des Auftraggebers |
| Prozess- und Betriebsdaten (z. B. Workflowdaten, Dokumenteninhalte, Systemprotokolle) | Automatisierung und Digitalisierung von Geschäftsprozessen des Auftraggebers | Mitarbeitende, Kunden und Lieferanten des Auftraggebers |
| [Weitere Datenkategorien gemäß Leistungsvertrag] | [Bitte ergänzen] | [Bitte ergänzen] |
Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages. Verpflichtungen, die über das Vertragsende hinausgehen (insbesondere Löschung/Rückgabe von Daten, Vertraulichkeit), bleiben bestehen.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
Datenschutzansprechpartner Auftragnehmer: Philipp Sonnenstrahl, anpacken@schaffsch.de
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen (TOMs) zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der DS-GVO (Art. 32 DS-GVO) genügen. Die konkret getroffenen Maßnahmen sind in Anhang A (TOMs) zu dieser Anlage beschrieben.
(3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten. Der Aufwand hierfür wird nach Absprache vergütet, sofern er den gewöhnlichen Unterstützungsumfang übersteigt.
(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich – spätestens innerhalb von 72 Stunden –, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen: Philipp Sonnenstrahl, anpacken@schaffsch.de
(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen einzusetzen.
(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese an den Auftraggeber zurück.
(9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Der Auftragnehmer bestätigt die Löschung schriftlich auf Anfrage.
(10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO gilt § 3 Abs. 10 entsprechend.
(3) Der Auftraggeber nennt dem Auftragnehmer einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen: [Name], [E-Mail], [Telefon].
§ 5 Anfragen betroffener Personen
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Als Nachweis geeigneter Garantien kann der Auftragnehmer insbesondere folgende Unterlagen vorlegen:
- Selbstauskunft zu den technischen und organisatorischen Maßnahmen (Anhang A)
- Unternehmensinterne Datenschutzrichtlinien
- Nachweise über Mitarbeiterschulungen zum Datenschutz
- Zertifikate zu Datenschutz und/oder Informationssicherheit (sofern vorhanden)
(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung mit einer Vorlaufzeit von mindestens 10 Werktagen durchgeführt. Der Auftragnehmer darf die Inspektion von der vorherigen Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden abhängig machen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt; darüber hinausgehender Aufwand wird nach Aufwand vergütet.
(3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend.
§ 7 Subunternehmer (weitere Auftragsverarbeiter)
(1) Der Einsatz von Subunternehmern als weiteren Auftragsverarbeitern ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat.
(2) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Hinzuziehung der nachfolgend aufgeführten Subunternehmer. Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer informiert der Auftragnehmer den Auftraggeber mit einer Frist von mindestens 4 Wochen. Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.
| Subunternehmer / Anbieter | Beschreibung der Teilleistung |
|---|---|
| [Subunternehmer / Anbieter] | [Beschreibung der Teilleistung] |
| [Subunternehmer / Anbieter] | [Beschreibung der Teilleistung] |
| [Weitere Subunternehmer – ggf. ergänzen] |
(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
§ 8 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der DS-GVO liegen.
(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
(4) Es gilt deutsches Recht. Gerichtsstand ist Mannheim.
§ 9 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung. Im Innenverhältnis gilt: Hat der Auftragnehmer eine Pflichtverletzung nicht zu vertreten, ist seine Haftung gegenüber dem Auftraggeber ausgeschlossen. Eine zwischen den Parteien im Leistungsvertrag vereinbarte Haftungsbeschränkung gilt auch für die Auftragsverarbeitung, außer soweit ausdrücklich etwas anderes vereinbart ist.
Unterzeichnung
Durch die Unterzeichnung bestätigen die Parteien, diese Anlage zur Auftragsverarbeitung gelesen, verstanden und akzeptiert zu haben. Die Anlage wird Bestandteil des Dienstleistungsvertrages.
Ort, Datum / Auftraggeber Ort, Datum / Auftragnehmer
Anhang A – Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DS-GVO – Stand: März 2026 – SCHAFFSCH GmbH
Die SCHAFFSCH GmbH ist ein kleines Unternehmen (Boutique-IT-Beratung) ohne eigene Server-Infrastruktur. Die Leistungserbringung erfolgt ausschließlich über gesicherte Endgeräte und datenschutzkonforme SaaS-Plattformen. Die nachfolgend beschriebenen Maßnahmen entsprechen dem Risikoprofil der verarbeiteten Daten und dem Stand der Technik für kleine IT-Dienstleister.
| Maßnahme (Art. 32 DS-GVO) | Umsetzung bei SCHAFFSCH GmbH |
|---|---|
| Zutrittskontrolle | Homeoffice-Setup ohne physische Serverinfrastruktur; Nutzung ausschließlich gesicherter Arbeitsgeräte; keine unautorisierten Dritten am Arbeitsplatz |
| Zugangskontrolle | Passwortgeschützte Geräte mit starken Passwörtern; Einsatz von 2-Faktor-Authentifizierung (2FA) für alle wesentlichen Systeme und Cloud-Dienste |
| Zugriffskontrolle | Rollenbasierte Benutzerrechte in genutzten Systemen; Prinzip der minimalen Rechtevergabe |
| Trennungskontrolle | Mandantentrennung bei der Verarbeitung von Kundendaten; keine gemeinsame Speicherung von Daten unterschiedlicher Auftraggeber |
| Pseudonymisierung | Soweit technisch möglich und vertraglich vereinbart werden personenbezogene Daten pseudonymisiert verarbeitet |
| Weitergabe- / Übertragungskontrolle | Verschlüsselte Übertragung (TLS/HTTPS); Nutzung ausschließlich datenschutzkonformer Cloud-Dienste mit EU-Serverstandort oder angemessenem Schutzniveau (z. B. SCCs) |
| Eingabekontrolle | Protokollierung von Datenzugriffen und -änderungen in den genutzten Systemen; Versionierung von Daten und Workflows |
| Verfügbarkeitskontrolle | Regelmäßige Datensicherung durch Cloud-Dienste; Nutzung hochverfügbarer SaaS-Plattformen mit eigenen Backup-Konzepten |
| Wiederherstellbarkeit | Möglichkeit zur Wiederherstellung von Daten über Cloud-Backups; Incident-Response-Prozess im Datenschutzvorfall |
| KI-Dienste / Drittlandübermittlung | Der Einsatz von KI-Diensten erfolgt nur auf ausdrückliche Vereinbarung mit dem Auftraggeber. Der Auftraggeber ist verantwortlich für den Abschluss erforderlicher Auftragsverarbeitungsverträge (DPAs) mit den jeweiligen KI-Anbietern. Der Auftragnehmer stellt auf Anfrage Informationen zu den eingesetzten Diensten bereit. |
| Überprüfung / Evaluation | Regelmäßige interne Überprüfung der TOMs; Dokumentation von Datenschutzvorfällen und Korrekturmaßnahmen |
Diese TOMs werden mindestens jährlich sowie anlassbezogen überprüft und ggf. angepasst. Änderungen werden dem Auftraggeber gem. § 8 Abs. 2 mitgeteilt.