Auftragsverarbeitungsvertrag (AVV)

(1) Gegenstand der Verarbeitung sind die Leistungen des Auftragsverarbeiters gemäß dem Hauptvertrag, insbesondere Konzeption, Entwicklung, Hosting, Wartung, Support und Weiterentwicklung der Website des Verantwortlichen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

(1) Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zu den im Hauptvertrag beschriebenen Zwecken, insbesondere:

• Betrieb und Hosting der Website des Verantwortlichen (einschließlich Zugriff auf Server-Logs zu Sicherheits-, Fehler- und Wartungszwecken)
• Bereitstellung und Wartung des Content-Management-Systems
• Bearbeitung von Support-Anfragen und Fehlerbehebung
• Erstellung technischer Reports und Performance-Analysen
• Umsetzung datenschutz- und sicherheitsrelevanter Maßnahmen

(2) Der Auftragsverarbeiter verwendet die Daten nicht für eigene Zwecke und gibt diese nicht an Dritte weiter, soweit dies nicht zur Vertragserfüllung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

(1) Gegenstand der Verarbeitung können insbesondere folgende Datenarten sein:

• Stammdaten (Name, Anschrift)
• Kontaktdaten (E-Mail, Telefon)
• Nutzungsdaten (IP-Adresse, Zugriffszeitpunkte, Browsertyp)
• Inhaltsdaten (Formular-Eingaben, hochgeladene Dateien)
• Vertragsdaten, soweit diese über die Website übermittelt werden

(2) Zu den Kategorien betroffener Personen zählen insbesondere Kunden, Interessenten, Mitarbeiter und sonstige Besucher der Website des Verantwortlichen.

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Der Hauptvertrag gilt als Grundweisung. Einzelweisungen können in Textform erteilt werden.

(2) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen (Art. 12 bis 23 DSGVO) sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. e und f DSGVO).

(4) Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich – spätestens innerhalb von 24 Stunden nach Kenntnisnahme – mit (Art. 33 Abs. 2 DSGVO).

(5) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie – nach Wahl des Verantwortlichen – zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

(1) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

• Verschlüsselung der Datenübertragung (TLS/HTTPS) und Verschlüsselung sensibler Daten at rest (AES-256)
• Zugriffskontrollen auf Server und Anwendungen (rollenbasierte Zugriffsrechte, Zwei-Faktor-Authentifizierung)
• Regelmäßige Datensicherungen und geprüfte Wiederherstellungsverfahren
• Trennung von Test- und Produktivumgebungen
• Protokollierung administrativer Zugriffe (Audit-Log)
• Regelmäßige Aktualisierung eingesetzter Software und Abhängigkeiten
• Physische Sicherheit der Rechenzentren der eingesetzten Hosting-Dienstleister

(2) Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik entsprechend angepasst.

(1) Der Auftragsverarbeiter ist berechtigt, zur Erbringung seiner Leistungen Unterauftragsverarbeiter einzusetzen. Der Verantwortliche stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu:

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter mindestens vier Wochen vor Wirksamwerden in Textform. Der Verantwortliche kann gegen die Änderung aus wichtigem Grund binnen zwei Wochen in Textform Widerspruch einlegen.

(3) Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich auf ein mit diesem AVV vergleichbares Datenschutzniveau.

(4) Bei Übermittlung personenbezogener Daten in ein Drittland sorgt der Auftragsverarbeiter für geeignete Garantien im Sinne der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung dieses AVV durch den Auftragsverarbeiter zu überzeugen. Hierzu kann der Auftragsverarbeiter insbesondere aktuelle Zertifikate, Testate unabhängiger Stellen oder dokumentierte technische und organisatorische Maßnahmen vorlegen.

(2) Vor-Ort-Kontrollen sind nach angemessener Vorankündigung während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs und unter Wahrung der Vertraulichkeit möglich.

Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO.

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.

(3) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Datenschutzfragen vor.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.