Auftragsverarbeitungsvertrag (AVV) – Muster nach Art. 28 DSGVO

Sie befinden sich hier:
  1. Start
  2. Auftragsverarbeitungsvertrag (…

 

Auftragsverarbeitungsvertrag (AVV) – Muster nach Art. 28 DSGVO

Vertragsparteien

Auftraggeber (Verantwortlicher)
[Firma / Name]
[Adresse]
– nachfolgend „AG“ –

Auftragsverarbeiter
Planuro
Projekt in Gründung – geplante UG (haftungsbeschränkt) / GmbH

Vertreten während der Vorgründungsphase durch:
Seitencode – Luca Renerken
(Einzelunternehmen – keine wirtschaftliche oder operative Umsetzung von Planuro)
Ziegeleiweg 34
40591 Düsseldorf
Deutschland
E-Mail: hey@planuro.com
Telefon: +49 (0) 211 44099224
– nachfolgend „AV“ –

§ 1 Gegenstand, Dauer und Ort der Verarbeitung

Der AV erbringt für den AG die cloudbasierte Software-Dienstleistung
„Planuro“ (Software as a Service – SaaS).
Das Hosting erfolgt in Frankfurt am Main (Deutschland).

Die Verarbeitung beginnt mit Vertragsschluss und endet mit Beendigung
des SaaS-Vertrags. Nachlaufregelungen ergeben sich aus § 10
(Rückgabe und Löschung).

Verarbeitungsorte sind ausschließlich Deutschland bzw. die Europäische Union.
Administrativer Fernzugriff erfolgt nur aus Deutschland oder dem EWR.

§ 2 Art, Zweck und Kategorien der Verarbeitung

Art und Zweck:

  • Speichern, Abrufen, Organisieren, Übermitteln und Löschen von Daten
  • Bereitstellung der SaaS-Funktionen
  • Support- und Fehleranalyse

Datenarten:

  • Stammdaten (Name, Firma, Kontaktdaten)
  • Account- und Authentifizierungsdaten
  • Nutzungs- und Protokolldaten
  • Inhaltsdaten
  • Abrechnungs-Metadaten
    (keine vollständigen Zahlungsdaten; Zahlungsabwicklung erfolgt
    durch Stripe/PayPal als eigenständig Verantwortliche)

Betroffene Personen:

  • Mitarbeitende und Administratoren des AG
  • Endkundinnen und Endkunden des AG (sofern vom AG erfasst)
  • Dienstleister und Beauftragte des AG

§ 3 Weisungsbindung

Der AV verarbeitet personenbezogene Daten ausschließlich auf dokumentierte
Weisung des AG.
Weisungen sind in Textform zu erteilen.
Mehrkosten durch zusätzliche Weisungen trägt der AG,
soweit diese nicht gesetzlich geschuldet sind.

§ 4 Vertraulichkeit

Der AV stellt sicher, dass ausschließlich zur Verarbeitung befugte Personen
Zugriff auf personenbezogene Daten erhalten.
Diese Personen sind auf Vertraulichkeit verpflichtet.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der AV unterhält angemessene technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO, insbesondere:

  • Zugangs- und Zugriffskontrollen (rollenbasiert, Need-to-Know, 2FA intern)
  • Verschlüsselung der Datenübertragung (TLS 1.2+)
  • Verschlüsselung ruhender Daten auf Plattformebene, soweit bereitgestellt
  • Protokollierung, Monitoring und Incident-Management
  • Firewalling, Netzsegmentierung, Patch- und Schwachstellenmanagement
  • Tägliche Backups zu Disaster-Recovery-Zwecken
  • Maßnahmen zur Sicherstellung von Verfügbarkeit und Resilienz

Eine TOM-Übersicht ist als Anlage 1 beigefügt
und wird bei Bedarf fortgeschrieben.
Wesentliche Änderungen, die das Sicherheitsniveau mindern,
werden vorab mit dem AG abgestimmt.

§ 6 Unterauftragsverhältnisse

Eingesetzter Unterauftragsverarbeiter:

  • Kinsta Inc. – Hosting,
    Rechenzentrum Frankfurt am Main (Deutschland)

Weitere Unterauftragsverarbeiter werden nicht eingesetzt.
Der Einsatz zusätzlicher Sub-Prozessoren bedarf der vorherigen
schriftlichen Zustimmung des AG.

§ 7 Unterstützungspflichten

Der AV unterstützt den AG angemessen bei:

  • der Wahrnehmung von Betroffenenrechten
  • der Meldung und Behandlung von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen
  • der Erfüllung von Nachweispflichten

Aufwände werden vergütet, soweit sie nicht gesetzlich geschuldet
oder vom AV zu vertreten sind.

§ 8 Meldung von Datenschutzverletzungen

Der AV meldet dem AG unverzüglich nach Kenntniserlangung
Datenschutzverletzungen mit Bezug zu den verarbeiteten Daten
und stellt alle verfügbaren Informationen bereit
(Art, Umfang, Folgen, ergriffene Maßnahmen).

§ 9 Nachweise und Audits

Der AV stellt geeignete Nachweise zur Einhaltung der DSGVO bereit
(z. B. TOM-Übersicht, Richtlinien).
Audits sind nach vorheriger Ankündigung (mindestens 10 Werktage),
zu üblichen Geschäftszeiten und unter Wahrung der Vertraulichkeit möglich.

Ein Audit pro Kalenderjahr ist kostenfrei;
weitere Audits bei berechtigtem Anlass.
Angemessene Aufwände des AV werden vergütet.

§ 10 Rückgabe und Löschung nach Vertragsende

Der AV ermöglicht dem AG während der Vertragslaufzeit
sowie bis zu 90 Tage nach Vertragsende einen Datenexport (CSV).
Danach werden personenbezogene Daten gelöscht,
sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Eine Löschbestätigung wird auf Anfrage bereitgestellt.

§ 11 Haftung und Schlussbestimmungen

Es gilt das Haftungsregime des Hauptvertrags.
Im Übrigen findet deutsches Recht Anwendung.
Gerichtsstand für Kaufleute ist Krefeld.

Anlagen

Anlage 1 – Technische und organisatorische Maßnahmen (Kurzüberblick)

  • Zutritts- und Zugangskontrolle (rollenbasiert, 2FA intern)
  • Passwort-Policy, Least-Privilege-Prinzip
  • TLS 1.2+; Verschlüsselung ruhender Daten (plattformseitig)
  • Mandantentrennung, logische Isolation
  • Firewalling, Hardening, Patch-Management
  • Protokollierung, Monitoring, Incident-Response-Prozess
  • Tägliche Backups (Disaster-Recovery)
  • Lieferanten- und Sub-Prozessor-Management (Kinsta)
  • Mitarbeiterschulungen und Vertraulichkeitsverpflichtungen

Anlage 2 – Sub-Prozessoren

  • Kinsta Inc. – Hosting, Standort Frankfurt am Main (Deutschland)

Anlage 3 – Datenarten und betroffene Personen

  • Datenarten: Account-, Stamm-, Kommunikations-, Nutzungs- und Inhaltsdaten
  • Betroffene Personen:
    Mitarbeitende, Beauftragte und Endkund(inn)en des AG (sofern erfasst)

Unterschriften

Auftraggeber (AG): ____________________________ Datum: __________

Auftragsverarbeiter (AV – Planuro): ____________________________ Datum: __________