AVV
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO – Rechtsgrundlage und Rahmenbedingungen für die Verarbeitung personenbezogener Daten im Auftrag
zwischen dem Auftraggeber („Verantwortlicher“)
und der Nexato GmbH, Florengasse 18, 36043 Fulda („Auftragsverarbeiter“) für den Cloud-Dienst „nexcore“.
Geltung und Rangfolge
Diese Vereinbarung wird Bestandteil der zwischen den Parteien bestehenden Leistungsvereinbarung (inkl. AGB) über die Nutzung von nexcore.
Der Auftraggeber ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, die Nexato GmbH ist Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO.
Soweit keine gesonderte Individual-AVV geschlossen wird, gilt diese Standard-AVV.
Rangfolge bei Widersprüchen: (1) individuell vereinbarte AVV, (2) diese AVV, (3) Leistungsvereinbarung/AGB, (4) TOM (Technisch-organisatorische Maßnahmen), (5) Softwarespezifikation.
1 Gegenstand und Dauer des Auftrags
1.1 Gegenstand
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Auftraggebers ausschließlich auf dokumentierte Weisung im Rahmen der in der Leistungsvereinbarung beschriebenen SaaS-Leistungen („nexcore“). Art und Zweck der Verarbeitung, Datenkategorien und Kategorien betroffener Personen ergeben sich aus den Anlagen zu dieser AVV.
1.2 Dauer
Die Laufzeit dieser AVV entspricht der Laufzeit der Leistungsvereinbarung. Gesetzliche Kündigungsrechte (insb. § 314 BGB) bleiben unberührt.
1.3 Rechtswidrige Weisungen
Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, setzt er deren Ausführung aus und informiert den Auftraggeber unverzüglich. Bis zur rechtmäßigen Bestätigung/Änderung bleibt die Suspendierung bestehen.
2 Konkretisierung der Verarbeitung
2.1 Art und Zweck
Details ergeben sich aus Anlage 1 (Verarbeitungstätigkeit).
2.2 Verarbeitungsort
Die Verarbeitung erfolgt grundsätzlich im EU/EWR-Raum. Erfolgt eine Übermittlung in ein Drittland, stellt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO (z. B. EU-Standardvertragsklauseln inkl. Transfer Impact Assessment) sicher. Einzelheiten: Anlage 4 (Subprozessoren & Datenstandorte).
2.3 Weisungsgebundenheit
Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist ausgeschlossen.
3 Technisch-organisatorische Maßnahmen (TOM)
3.1 Verbindlichkeit
Die TOM des Auftragsverarbeiters (siehe Anlage 2) sind vertraglich verbindlich und gewährleisten ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO).
3.2 Inhalte
Die TOM adressieren u. a. Zutritts-, Zugangs- und Zugriffskontrolle (Least Privilege, 2FA für Admins), Weitergabe- und Eingabekontrolle (Logging), Auftragskontrolle, Verfügbarkeits- und Wiederherstellungskontrolle (Backups, RTO/RPO), Trennungskontrolle, Verschlüsselung (TLS ≥ 1.2 in Transit, AES-256 at Rest), Schwachstellen-/Patch-Management und regelmäßige Wirksamkeitsprüfungen.
3.3 Änderungen
Anpassungen der TOM sind zulässig, sofern das Schutzniveau nicht sinkt; wesentliche Änderungen werden dem Auftraggeber vorab in Textform mitgeteilt.
3.4 Backups
Gelöschte Daten werden aus Sicherungssystemen nach Ablauf des rollierenden Backup-Zyklus final entfernt.
4 Verarbeitung personenbezogener Daten / Unterstützung
4.1 Weisungen
Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisungen (Vertrag, freigegebene Tickets/Kommunikationskanäle).
4.2 Unterstützung
Der Auftragsverarbeiter unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO), Datenportabilität, Berichtigung/Löschung sowie bei Auskunftsersuchen – soweit vertraglich geschuldet. Leistungen, die über die Leistungsbeschreibung hinausgehen, sind vergütungspflichtig nach aktuellen Stundensätzen.
4.3 Beschäftigte
Beschäftigte des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten haben, sind auf Vertraulichkeit verpflichtet und regelmäßig geschult.
5 Qualitätssicherung und weitere Pflichten
5.1 Gesetzestreue
Der Auftragsverarbeiter gewährleistet die Einhaltung der Pflichten aus Art. 28–33 DSGVO und arbeitet mit Aufsichtsbehörden zusammen.
5.2 Kontakt Datenschutz
Ansprechpartner beim Auftragsverarbeiter: [email protected], +49 (0) 661 480 191 00. Sofern ein Datenschutzbeauftragter bestellt ist, werden dessen Kontaktdaten in Anlage 2 geführt.
5.3 Nachweise
Der Auftragsverarbeiter überprüft regelmäßig seine Prozesse/TOM und stellt auf Anforderung geeignete Nachweise bereit (z. B. Zertifikate/Berichte).
6 Haftung (Innenverhältnis)
Im Innenverhältnis der Parteien gilt Art. 82 DSGVO mit folgender Präzisierung: Der Auftragsverarbeiter haftet nur, soweit er außerhalb oder entgegen rechtmäßiger Weisungen gehandelt hat oder seinen gesetzlichen Pflichten als Auftragsverarbeiter nicht nachgekommen ist.
7 Unterauftragsverhältnisse (Subprozessoren)
7.1 Genehmigung
Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO).
7.2 Information & Einwand
Der Auftragsverarbeiter informiert über neue/wechselnde Subprozessoren mindestens 30 Tage vor Einsatz (per E-Mail oder über das Subprozessor-Register gemäß Anlage 4). Der Auftraggeber kann begründet widersprechen; scheitert eine Lösung, steht ihm ein Sonderkündigungsrecht zu.
7.3 Drittland
Bei Drittlandverarbeitung stellt der Auftragsverarbeiter SCC inkl. Transfer Impact Assessment sicher und verpflichtet Subprozessoren zu gleichwertigen TOM („Flow-Down“).
7.4 Nebenleistungen
Reine Nebenleistungen (z. B. Telekommunikation, Post/Transport, Entsorgung, Standard-Wartung) gelten nicht als Unterauftragsverarbeitung; der Auftragsverarbeiter stellt dennoch angemessene vertragliche Sicherungen her.
8 Kontrollrecht / Audits
8.1 Stufenmodell
Zur Wahrnehmung seiner Kontrollrechte (Art. 28 Abs. 3 lit. h DSGVO) erhält der Auftraggeber vorrangig geeignete Nachweise. Remote-Audits sind nach Ankündigung möglich. On-Site-Audits sind max. einmal jährlich, mit 30 Tagen Vorlauf, während Geschäftszeiten, unter Wahrung von Vertraulichkeit/Sicherheitsinteressen zulässig.
8.2 Kosten
Die Audit-Kosten trägt der Auftraggeber, es sei denn, es wird ein wesentlicher Verstoß des Auftragsverarbeiters festgestellt.
9 Mitwirkungspflichten / Meldungen
9.1 Sicherheit & DSFA
Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Umsetzung geeigneter Sicherheitsmaßnahmen (Art. 32 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35) und Vorabkonsultationen (Art. 36).
9.2 Datenschutzverletzungen
Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Auftraggeber unverzüglich, spätestens binnen 24 Stunden nach Kenntniserlangung, mit Angaben zu Art des Vorfalls, betroffenen Datenkategorien/Umfang, wahrscheinlichen Folgen und getroffenen/ vorgeschlagenen Abhilfemaßnahmen.
9.3. Vergütung
Unterstützungsleistungen, die über die vertraglich geschuldete Leistung hinausgehen und nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, sind vergütungspflichtig.
10 Weisungsbefugnis
10.1 Form
Weisungen werden in Schrift-/Textform an die in der Leistungsvereinbarung bzw. in Anlage 3 benannten Kontaktstellen erteilt und protokolliert (z. B. Ticket).
10.2 Aussetzung
Der Auftragsverarbeiter darf eine Weisung bei begründetem Rechtsverstoß aussetzen (vgl. 1 Abs. 3) und holt Klarstellung/Änderung ein.
10.3 Änderungen
Änderungen der weisungsberechtigten Personen teilt der Auftraggeber in Textform mit.
11 Rückgabe und Löschung von Daten
11.1 Kopien
Der Auftragsverarbeiter erstellt ohne Wissen des Auftraggebers keine Kopien/Duplikate, ausgenommen Sicherheitskopien (Backup), technisch erforderliche Kopien (z. B. Caches/Logs) oder gesetzlich gebotene Aufbewahrung.
11.2 Export
Nach Vertragsende stellt der Auftragsverarbeiter für 30 Tage eine Exportmöglichkeit (z. B. API/Export-Portal) bereit; hierfür ist weiterhin eine aktive Produktlizenz (Full-User) erforderlich. Alternativ kann ein manueller Komplett-Export beauftragt werden (entgeltlich).
11.3 Löschung
Nach Ablauf der Frist werden personenbezogene Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten – unwiderruflich gelöscht; die Löschung aus Backups erfolgt nach Ablauf des Backup-Zyklus. Auf Wunsch stellt der Auftragsverarbeiter einen Lösch-/Vernichtungsnachweis bereit.
11.4 Dokumentation
Vertrags- und Verarbeitungsdokumentationen, die dem Nachweis ordnungsgemäßer Verarbeitung dienen, bewahrt der Auftragsverarbeiter entsprechend gesetzlicher Fristen über das Vertragsende hinaus auf.
12 Schlussbestimmungen
12.1 Form
Änderungen/Ergänzungen dieser AVV bedürfen der Textform.
12.2 Recht/Gerichtsstand
Es gilt deutsches Recht; ausschließlicher Gerichtsstand – soweit zulässig – ist der Sitz des Auftragsverarbeiters, Fulda.
12.3 Salvatorisch
Die Unwirksamkeit einzelner Bestimmungen berührt die Wirksamkeit der übrigen Bestimmungen nicht.
Name
Funktion
Ort
Datum
Signatur
Zuletzt aktualisiert