gemäß Art. 28 DSGVO (AVV)
— schließen folgenden Vertrag zur Auftragsverarbeitung:
Dieser Vertrag konkretisiert die Pflichten der Parteien aus Art. 28 DSGVO, die sich aus der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des Hauptvertrages (z. B. Werk-, Wartungs- oder Dienstleistungsvertrag) ergeben.
(1) Gegenstand, Art, Zweck und Umfang der Verarbeitung sowie die Art der Daten und die Kreise der betroffenen Personen ergeben sich aus Anlage 1.
(2) Die Laufzeit entspricht der Laufzeit des Hauptvertrages und endet mit dessen Beendigung.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.
(2) Weisungen erfolgen grundsätzlich in Textform. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen dabei, Anträge betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Inanspruchnahme der in Anlage 3 genannten Unterauftragnehmer.
(2) Über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig vorab; dieser kann der Änderung aus wichtigem Grund widersprechen.
(3) Der Auftragsverarbeiter erlegt jedem Unterauftragnehmer dieselben Datenschutzpflichten vertraglich auf, die in diesem Vertrag festgelegt sind.
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden (in der Regel innerhalb von 24 Stunden) und unterstützt ihn bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen schriftlich bestätigt.
Der Auftragsverarbeiter weist die Einhaltung dieses Vertrages auf Anfrage nach (z. B. durch Auskünfte, aktuelle Bestätigungen oder Berichte). Der Verantwortliche ist berechtigt, sich nach angemessener Vorankündigung von der Einhaltung zu überzeugen; vor-Ort-Prüfungen erfolgen ohne Störung des Betriebs.
(1) Für die Haftung gilt Art. 82 DSGVO. Im Innenverhältnis gelten ergänzend die Haftungsregelungen des Hauptvertrages.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Datenschutzfragen vor. Es gilt deutsches Recht; Gerichtsstand ist — soweit zulässig — Bremen. Änderungen bedürfen der Textform.
| Gegenstand der Verarbeitung | z. B. Betrieb/Wartung der Software „…" |
|---|---|
| Art der Verarbeitung | Erheben, Speichern, Ändern, Auslesen, Löschen im Rahmen des Hauptvertrages |
| Zweck | z. B. Bereitstellung der Anwendung für den Verantwortlichen |
| Art der Daten | z. B. Stammdaten, Kontaktdaten, Nutzungs-/Logdaten |
| Kreise betroffener Personen | z. B. Kunden, Mitarbeitende, Interessenten des Verantwortlichen |
| Ort der Verarbeitung | Europäische Union (siehe Anlage 3) |
| Vertraulichkeit | Individuelle Benutzerkonten mit starken Passwörtern und Zwei-Faktor-Authentifizierung; rollenbasierte Zugriffsrechte nach Need-to-know; Datenbank-Zugriffsschutz auf Zeilenebene (Row Level Security); Tätigkeit aus gesicherter Arbeitsumgebung ohne eigenen Server. |
|---|---|
| Integrität | Verschlüsselte Übertragung (TLS/HTTPS) und Verschlüsselung im Ruhezustand bei den eingesetzten Diensten; Protokollierung von Änderungen (Aktivitäts-/Audit-Log); Versionsverwaltung des Quellcodes. |
| Verfügbarkeit & Belastbarkeit | Regelmäßige automatische Backups über die eingesetzten EU-Dienste; Wiederherstellbarkeit nach Vorfällen; gehostete Infrastruktur mit hoher Verfügbarkeit. |
| Trennung & Zweckbindung | Mandanten-/Projekttrennung; getrennte Umgebungen für Entwicklung und Produktion; Verarbeitung ausschließlich zu den vereinbarten Zwecken. |
| Überprüfung | Regelmäßige Kontrolle und Aktualisierung der Maßnahmen sowie der eingesetzten Abhängigkeiten (Updates). |
Die konkreten Maßnahmen sind an das jeweilige Projekt anzupassen.
| Unterauftragnehmer | Leistung | Ort der Verarbeitung | Drittland-Grundlage |
|---|---|---|---|
| Supabase (Supabase Inc.) | Datenbank, Authentifizierung, Speicher | EU (Frankfurt, Deutschland) | Keine Übermittlung in Drittland (EU-Region) |
| Netlify (Netlify, Inc.) | Hosting, CDN, Formulare | EU / USA | EU-US Data Privacy Framework + EU-Standardvertragsklauseln |
| ggf. weiterer Dienst | … | … | … |
Ort, Datum
Ort, Datum
⚖️ Muster ohne Gewähr — keine Rechtsberatung. Anlagen 1–3 für jedes Projekt konkret ausfüllen und die Unterauftragnehmer-Liste aktuell halten. Vor Verwendung datenschutzrechtlich prüfen lassen.