search
Termin buchen

file-contractAVV

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO – Rechtsgrundlage und Rahmenbedingungen für die Verarbeitung personenbezogener Daten im Auftrag

circle-info

Version 1.4 (Gültig ab: 01.10.2025 / Stand: 01.10.2025)

zwischen dem Auftraggeber („Verantwortlicher“)

Auftraggeber

und der Nexato GmbH, Florengasse 18, 36043 Fulda („Auftragsverarbeiter“) für den Cloud-Dienst „nexcore“.

hashtag
Geltung und Rangfolge

  1. Diese Vereinbarung wird Bestandteil der zwischen den Parteien bestehenden Leistungsvereinbarung (inkl. AGB) über die Nutzung von nexcore.

  2. Der Auftraggeber ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, die Nexato GmbH ist Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO.

  3. Soweit keine gesonderte Individual-AVV geschlossen wird, gilt diese Standard-AVV.

  4. Rangfolge bei Widersprüchen: (1) individuell vereinbarte AVV, (2) diese AVV, (3) Leistungsvereinbarung/AGB, (4) TOM (Technisch-organisatorische Maßnahmen), (5) Softwarespezifikation.

hashtag
1 Gegenstand und Dauer des Auftrags

hashtag
1.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Auftraggebers ausschließlich auf dokumentierte Weisung im Rahmen der in der Leistungsvereinbarung beschriebenen SaaS-Leistungen („nexcore“). Art und Zweck der Verarbeitung, Datenkategorien und Kategorien betroffener Personen ergeben sich aus den Anlagen zu dieser AVV.

hashtag
1.2 Dauer

Die Laufzeit dieser AVV entspricht der Laufzeit der Leistungsvereinbarung. Gesetzliche Kündigungsrechte (insb. § 314 BGB) bleiben unberührt.

hashtag
1.3 Rechtswidrige Weisungen

Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, setzt er deren Ausführung aus und informiert den Auftraggeber unverzüglich. Bis zur rechtmäßigen Bestätigung/Änderung bleibt die Suspendierung bestehen.

hashtag
2 Konkretisierung der Verarbeitung

hashtag
2.1 Art und Zweck

Details ergeben sich aus Anlage 1 (Verarbeitungstätigkeit).

hashtag
2.2 Verarbeitungsort

Die Verarbeitung erfolgt grundsätzlich im EU/EWR-Raum. Erfolgt eine Übermittlung in ein Drittland, stellt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO (z. B. EU-Standardvertragsklauseln inkl. Transfer Impact Assessment) sicher. Einzelheiten: Anlage 4 (Subprozessoren & Datenstandorte).

hashtag
2.3 Weisungsgebundenheit

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist ausgeschlossen.

hashtag
3 Technisch-organisatorische Maßnahmen (TOM)

hashtag
3.1 Verbindlichkeit

Die TOM des Auftragsverarbeiters (siehe Anlage 2) sind vertraglich verbindlich und gewährleisten ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO).

hashtag
3.2 Inhalte

Die TOM adressieren u. a. Zutritts-, Zugangs- und Zugriffskontrolle (Least Privilege, 2FA für Admins), Weitergabe- und Eingabekontrolle (Logging), Auftragskontrolle, Verfügbarkeits- und Wiederherstellungskontrolle (Backups, RTO/RPO), Trennungskontrolle, Verschlüsselung (TLS ≥ 1.2 in Transit, AES-256 at Rest), Schwachstellen-/Patch-Management und regelmäßige Wirksamkeitsprüfungen.

hashtag
3.3 Änderungen

Anpassungen der TOM sind zulässig, sofern das Schutzniveau nicht sinkt; wesentliche Änderungen werden dem Auftraggeber vorab in Textform mitgeteilt.

hashtag
3.4 Backups

Gelöschte Daten werden aus Sicherungssystemen nach Ablauf des rollierenden Backup-Zyklus final entfernt.

hashtag
4 Verarbeitung personenbezogener Daten / Unterstützung

hashtag
4.1 Weisungen

Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisungen (Vertrag, freigegebene Tickets/Kommunikationskanäle).

hashtag
4.2 Unterstützung

Der Auftragsverarbeiter unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO), Datenportabilität, Berichtigung/Löschung sowie bei Auskunftsersuchen – soweit vertraglich geschuldet. Leistungen, die über die Leistungsbeschreibung hinausgehen, sind vergütungspflichtig nach aktuellen Stundensätzen.

hashtag
4.3 Beschäftigte

Beschäftigte des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten haben, sind auf Vertraulichkeit verpflichtet und regelmäßig geschult.

hashtag
5 Qualitätssicherung und weitere Pflichten

hashtag
5.1 Gesetzestreue

Der Auftragsverarbeiter gewährleistet die Einhaltung der Pflichten aus Art. 28–33 DSGVO und arbeitet mit Aufsichtsbehörden zusammen.

hashtag
5.2 Kontakt Datenschutz

Ansprechpartner beim Auftragsverarbeiter: [email protected], +49 (0) 661 480 191 00. Sofern ein Datenschutzbeauftragter bestellt ist, werden dessen Kontaktdaten in Anlage 2 geführt.

hashtag
5.3 Nachweise

Der Auftragsverarbeiter überprüft regelmäßig seine Prozesse/TOM und stellt auf Anforderung geeignete Nachweise bereit (z. B. Zertifikate/Berichte).

hashtag
6 Haftung (Innenverhältnis)

Im Innenverhältnis der Parteien gilt Art. 82 DSGVO mit folgender Präzisierung: Der Auftragsverarbeiter haftet nur, soweit er außerhalb oder entgegen rechtmäßiger Weisungen gehandelt hat oder seinen gesetzlichen Pflichten als Auftragsverarbeiter nicht nachgekommen ist.

hashtag
7 Unterauftragsverhältnisse (Subprozessoren)

hashtag
7.1 Genehmigung

Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO).

hashtag
7.2 Information & Einwand

Der Auftragsverarbeiter informiert über neue/wechselnde Subprozessoren mindestens 30 Tage vor Einsatz (per E-Mail oder über das Subprozessor-Register gemäß Anlage 4). Der Auftraggeber kann begründet widersprechen; scheitert eine Lösung, steht ihm ein Sonderkündigungsrecht zu.

hashtag
7.3 Drittland

Bei Drittlandverarbeitung stellt der Auftragsverarbeiter SCC inkl. Transfer Impact Assessment sicher und verpflichtet Subprozessoren zu gleichwertigen TOM („Flow-Down“).

hashtag
7.4 Nebenleistungen

Reine Nebenleistungen (z. B. Telekommunikation, Post/Transport, Entsorgung, Standard-Wartung) gelten nicht als Unterauftragsverarbeitung; der Auftragsverarbeiter stellt dennoch angemessene vertragliche Sicherungen her.

hashtag
8 Kontrollrecht / Audits

hashtag
8.1 Stufenmodell

Zur Wahrnehmung seiner Kontrollrechte (Art. 28 Abs. 3 lit. h DSGVO) erhält der Auftraggeber vorrangig geeignete Nachweise. Remote-Audits sind nach Ankündigung möglich. On-Site-Audits sind max. einmal jährlich, mit 30 Tagen Vorlauf, während Geschäftszeiten, unter Wahrung von Vertraulichkeit/Sicherheitsinteressen zulässig.

hashtag
8.2 Kosten

Die Audit-Kosten trägt der Auftraggeber, es sei denn, es wird ein wesentlicher Verstoß des Auftragsverarbeiters festgestellt.

hashtag
9 Mitwirkungspflichten / Meldungen

hashtag
9.1 Sicherheit & DSFA

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Umsetzung geeigneter Sicherheitsmaßnahmen (Art. 32 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35) und Vorabkonsultationen (Art. 36).

hashtag
9.2 Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Auftraggeber unverzüglich, spätestens binnen 24 Stunden nach Kenntniserlangung, mit Angaben zu Art des Vorfalls, betroffenen Datenkategorien/Umfang, wahrscheinlichen Folgen und getroffenen/ vorgeschlagenen Abhilfemaßnahmen.

hashtag
9.3. Vergütung

Unterstützungsleistungen, die über die vertraglich geschuldete Leistung hinausgehen und nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, sind vergütungspflichtig.

hashtag
10 Weisungsbefugnis

hashtag
10.1 Form

Weisungen werden in Schrift-/Textform an die in der Leistungsvereinbarung bzw. in Anlage 3 benannten Kontaktstellen erteilt und protokolliert (z. B. Ticket).

hashtag
10.2 Aussetzung

Der Auftragsverarbeiter darf eine Weisung bei begründetem Rechtsverstoß aussetzen (vgl. 1 Abs. 3) und holt Klarstellung/Änderung ein.

hashtag
10.3 Änderungen

Änderungen der weisungsberechtigten Personen teilt der Auftraggeber in Textform mit.

hashtag
11 Rückgabe und Löschung von Daten

hashtag
11.1 Kopien

Der Auftragsverarbeiter erstellt ohne Wissen des Auftraggebers keine Kopien/Duplikate, ausgenommen Sicherheitskopien (Backup), technisch erforderliche Kopien (z. B. Caches/Logs) oder gesetzlich gebotene Aufbewahrung.

hashtag
11.2 Export

Nach Vertragsende stellt der Auftragsverarbeiter für 30 Tage eine Exportmöglichkeit (z. B. API/Export-Portal) bereit; hierfür ist weiterhin eine aktive Produktlizenz (Full-User) erforderlich. Alternativ kann ein manueller Komplett-Export beauftragt werden (entgeltlich).

hashtag
11.3 Löschung

Nach Ablauf der Frist werden personenbezogene Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten – unwiderruflich gelöscht; die Löschung aus Backups erfolgt nach Ablauf des Backup-Zyklus. Auf Wunsch stellt der Auftragsverarbeiter einen Lösch-/Vernichtungsnachweis bereit.

hashtag
11.4 Dokumentation

Vertrags- und Verarbeitungsdokumentationen, die dem Nachweis ordnungsgemäßer Verarbeitung dienen, bewahrt der Auftragsverarbeiter entsprechend gesetzlicher Fristen über das Vertragsende hinaus auf.

hashtag
12 Schlussbestimmungen

hashtag
12.1 Form

Änderungen/Ergänzungen dieser AVV bedürfen der Textform.

hashtag
12.2 Recht/Gerichtsstand

Es gilt deutsches Recht; ausschließlicher Gerichtsstand – soweit zulässig – ist der Sitz des Auftragsverarbeiters, Fulda.

hashtag
12.3 Salvatorisch

Die Unwirksamkeit einzelner Bestimmungen berührt die Wirksamkeit der übrigen Bestimmungen nicht.

Für den Auftraggeber
Für den Auftragsverarbeiter

Name

Funktion

Ort

Datum

Signatur

VorherigeSLANächsteAnlage 1 - Verarbeitungstätigkeit

Zuletzt aktualisiert