Auftragsverarbeitungsvertrag (AVV) – Muster nach Art. 28 DSGVO

Sie befinden sich hier:
  1. Start
  2. Auftragsverarbeitungsvertrag (…

Muster nach Art. 28 DSGVO

Zwischen
Auftraggeber (Verantwortlicher): [Firma/Adresse des Kunden]
– nachfolgend „AG“ –
und
Auftragsverarbeiter: Planuro, vertreten durch Seitencode – Luca Renerken, Geschwister‑Scholl‑Weg 15, 47809 Krefeld, Deutschland, hey@planuro.com, +49 (0) 2151 6530622
– nachfolgend „AV“ –

§1 Gegenstand, Dauer, Ort der Verarbeitung

  1. Der AV erbringt für den AG die cloudbasierte Software‑Dienstleistung „Planuro“ (SaaS) mit Hosting in Frankfurt am Main (DE).

  2. Die Verarbeitung beginnt mit Vertragsschluss und endet mit Beendigung des SaaS‑Vertrags; Nachlauf gem. §10 (Löschung/Rückgabe).

  3. Verarbeitungsorte: EU/DE; administrativer Fernzugriff durch den AV aus DE/EWR.

§2 Art, Zweck, Kategorien

  1. Zweck/Art: Speichern, Abrufen, Organisieren, Übermitteln, Löschen von Kundendaten im Rahmen der SaaS‑Funktionen; Support/Fehleranalyse.

  2. Datenarten: Stammdaten (Name, Firma, Kontaktdaten), Account‑Daten, Nutzungs‑/Protokolldaten, Inhaltsdaten, Abrechnungs‑Metadaten (keine vollumfänglichen Zahlungsdaten; Zahlungsabwicklung durch Stripe/PayPal als eigene Verantwortliche).

  3. Betroffene Personen: Nutzer/‑innen des AG (Mitarbeitende, Admins), Endkund(inn)en des AG (sofern vom AG erfasst), Dienstleister des AG.

§3 Weisungen

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des AG.

  2. Weisungen sind in Textform zu erteilen; Mehrkosten durch zusätzliche Weisungen trägt der AG, soweit nicht gesetzlich geschuldet.

§4 Vertraulichkeit

Nur zur Verarbeitung befugte Personen erhalten Zugriff; diese sind auf Vertraulichkeit verpflichtet.

§5 Technische und organisatorische Maßnahmen (TOM)

  1. Der AV unterhält TOM nach Art. 32 DSGVO, u. a.: Zugriffs‑/Zugangskontrollen (Need‑to‑Know, 2FA für Mitarbeitende), Verschlüsselung in Transit (TLS 1.2+), Verschlüsselung at Rest auf Plattformebene (soweit bereitgestellt), Protokollierung/Monitoring, Netzsegmentierung/Firewalling, Schwachstellen‑/Patch‑Management, tägliche Backups (Disaster‑Recovery), Prozesse zur Verfügbarkeit/Resilienz und regelmäßige Wirksamkeitsprüfungen.

  2. Eine TOM‑Übersicht ist diesem Vertrag als Anlage 1 beigefügt und wird bei Bedarf fortgeschrieben. Wesentliche Änderungen, die das Sicherheitsniveau mindern, sind abzustimmen.

§6 Unterauftragsverhältnisse

  1. Eingesetzter Unterauftragsverarbeiter: Kinsta (Hosting; Rechenzentrum Frankfurt a. M., DE).

  2. Weitere Unterauftragsverarbeiter werden nicht eingesetzt. Einsätze zusätzlicher Sub‑Prozessoren bedürfen vorheriger schriftlicher Zustimmung des AG.

§7 Unterstützungspflichten

Der AV unterstützt den AG angemessen bei:
– Wahrnehmung von Betroffenenrechten,
– Meldung/Behandlung von Datenschutzverletzungen,
– Datenschutz‑Folgenabschätzungen,
– Erfüllung von Nachweispflichten.
Aufwände werden vergütet, soweit nicht gesetzlich geschuldet oder vom AV zu vertreten.

§8 Meldung von Datenschutzverletzungen

Der AV meldet dem AG unverzüglich (ohne schuldhaftes Zögern) nach Kenntniserlangung sicherheitsrelevante Vorfälle mit Bezug zu den verarbeiteten personenbezogenen Daten und teilt verfügbare Informationen mit (Art, Umfang, Folgen, getroffene Maßnahmen).

§9 Nachweise & Audits

  1. Der AV stellt geeignete Nachweise (z. B. TOM‑Übersicht, Policies) bereit.

  2. Audits durch den AG oder unabhängige Prüfer sind nach Ankündigung (mind. 10 Werktage), zu üblichen Geschäftszeiten, ohne Störung des Betriebs und unter Wahrung von Vertraulichkeit möglich. Ein Audit pro Jahr; zusätzliche Audits bei berechtigtem Anlass. Angemessene Aufwände des AV werden vergütet.

§10 Rückgabe/Löschung nach Vertragsende

  1. Der AV ermöglicht dem AG den Datenexport (CSV) während der Laufzeit und nach Vertragsende eine Abholfrist bis zu 90 Tagen (oder früher auf Wunsch).

  2. Danach Löschung der personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten bestehen; Löschbestätigung auf Anfrage.

§11 Haftung, Schluss

Es gilt das Haftungsregime des Hauptvertrags; im Übrigen deutsches Recht. Gerichtsstand bei Kaufleuten: Krefeld.
Anlagen:
Anlage 1 – TOM (kurz) · Anlage 2 – Sub‑Prozessoren (Kinsta) · Anlage 3 – Datenkategorien/Betroffene

Unterschriften
AG: ____________________ Datum: ____
AV (Planuro): ____________________ Datum: ____

Anlage 1 – TOM (Kurzüberblick)
– Zutritts-/Zugangskontrolle (rollenbasiert, 2FA intern) · Passwort‑Policy · Least‑Privilege
– TLS 1.2+; Verschlüsselung at Rest (plattformseitig) · sichere Schlüsselverwaltung
– Mandantentrennung/Logische Isolation · Firewall/Network Security · Hardening/Patching
– Protokollierung/Monitoring · Security‑Events‑Prozess · regelmäßige Tests
Backups täglich (DR‑Zwecke) · Wiederherstellungsübungen
– Lieferanten-/Sub‑Prozessor‑Management (Kinsta)
– Schulungen/Vertraulichkeit Mitarbeitende · Incident‑Response‑Prozess

Anlage 2 – Sub‑Prozessoren
Kinsta (Hosting), Standort Frankfurt am Main (DE), keine Weiterverlagerungen.

Anlage 3 – Daten/Betroffene
– Datenarten: Account‑/Stammdaten, Kommunikationsdaten, Nutzungs-/Logdaten, Inhaltsdaten.
– Betroffene: Mitarbeitende/Beauftragte des AG; Endkund(inn)en des AG (falls erfasst).