📅 Mo. 01. Juni 2026 14:07:29 | 4 T 🪜3.1K👀 133 | 4 | 33 ❤️158 | 0%↕ 5 s
📂 Geografie

👷 AVV Listen Generator Erstelle Verzeichnisse von Auftragnehmern und Auftragsverarbeitern auf Basis wiederverwendbarer Vorlagen für Compliance und Dokumentation.

Rechtliche Hinweise zur Demo-Version/Testumgebung
Hinweis zur Demo-Version Diese Anwendung wird ausschließlich zu Demonstrations- und Testzwecken bereitgestellt. Bitte geben Sie keine echten personenbezogenen, vertraulichen oder produktiven Unternehmensdaten ein! Die eingegebenen Inhalte können zu Test- und Präsentationszwecken sichtbar gespeichert werden und werden nicht dauerhaft geschützt verarbeitet. Für den produktiven Einsatz wird eine Installation innerhalb der eigenen geschützten IT-/Intranet-Umgebung empfohlen.

Das Tool wird vom Anbieter ausschließlich als technische Softwarelösung bereitgestellt. Es dient ausschließlich der Unterstützung bei der Identifikation, Strukturierung und Aufbereitung möglicher Lieferanten-, Dienstleister- und Kontaktdaten aus vorhandenen Dokumentenbeständen. Der Anbieter übernimmt keine Gewähr für die Vollständigkeit, Richtigkeit, Aktualität oder rechtliche Verwendbarkeit der erzeugten Ergebnisse. Die automatisiert erstellten Listen, Zuordnungen, Kontaktdaten, Anschriften oder Klassifizierungen können unvollständig, fehlerhaft oder veraltet sein und ersetzen keine manuelle Prüfung durch den Kunden. Der Anbieter erbringt keine Rechts-, Compliance-, Datenschutz-, Steuer- oder Unternehmensberatung. Insbesondere übernimmt der Anbieter keine Verantwortung für: • die rechtliche Zulässigkeit der Datenverarbeitung, • die datenschutzrechtliche Bewertung, • die Einhaltung handels-, steuer-, vergabe- oder aufsichtsrechtlicher Vorgaben, • die korrekte Klassifizierung von Lieferanten oder Dienstleistern, • die Vollständigkeit von Geschäftspartnerdaten oder • Entscheidungen des Kunden auf Grundlage der erzeugten Ergebnisse. Der Anbieter haftet nur bei Vorsatz, grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit. Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten („Kardinalpflichten“) ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Im Übrigen ist die Haftung ausgeschlossen.
Anbieter bearbeiten

Optional können Rohdaten aus dem Impressum oder der Supportseite eingefügt werden. Leere Felder werden beim Speichern automatisch daraus ergänzt.

Bearbeitung abbrechen
Gespeicherte AVV-Listen

Noch keine gespeicherten AVV-Listen vorhanden.

Anbieter-Sammlung
📂Cloud Dienste Backup
ConnectWise SaaS Backup für Microsoft 365 (Exchange Online, SharePoint, Teams, OneDrive for Business)
Adresse: 400 N Tampa St, Suite 130, Tampa, FL 33602, USA
Website: https://www.connectwise.com/platform/backup-and-recovery/saas-backup
Support: https://docs.connectwise.com
📋
📂Cloud Dienste Backup
Microsoft Azure Cloud Backup und Storage
Adresse: One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland
Website: https://azure.microsoft.com/de-de/
Support: https://learn.microsoft.com/de-de/azure/
📋
📂Cloud Dienste Backup
Veeam Backup for Microsoft 365 (Exchange Online, SharePoint, Teams, OneDrive for Business)
Adresse: Lindwurmstrasse 114, 80337 München, Deutschland
Website: https://www.veeam.com/de
Support: https://helpcenter.veeam.com
📋
📂Cloud Dienste IaaS
Server-Rechenzentrum Support/Betrieb und Azure Backup - Rückruf-Support bei Business-Plänen
Adresse: Walter-Gropius-Straße 5, 80807 München
Telefon: +49 89 3176-0
Website: https://azure.microsoft.com/de-de/support/create-ticket
Support: https://azure.microsoft.com/de-de/support/create-ticket
📋
📂Cloud Dienste IaaS
Housing, Hosting, Rechenzentrum Support/Betrieb/Backup Platzhalter für IaaS-Drittanbieter
📋
📂Cloud Dienste Microsoft online
Azure, Exchange Online, Microsoft 365, Teams, Onedrive, Sharepoint, Defender, Rückruf-Support bei Business-Plänen
Adresse: Walter-Gropius-Straße 5, 80807 München
Telefon: +49 89 3176-0
Website: https://admin.microsoft.com/Adminportal/Home?culture=de-de#/support
Support: https://admin.microsoft.com/Adminportal/Home?culture=de-de#/support
📋
📂Cloud Künstliche Intelligenz
AI Orga-Regelung erforderlich - KI-Assistent Google Gemini
Adresse: Gordon House, Barrow Street, Dublin 4, Irland
Website: https://gemini.google.com
Support: https://support.google.com/gemini
📋
📂Cloud Künstliche Intelligenz
AI Orga-Regelung erforderlich - KI-Assistent Microsoft Copilot
Adresse: One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland
Website: https://copilot.microsoft.com
Support: https://support.microsoft.com/copilot
📋
📂Cloud Künstliche Intelligenz
AI Orga-Regelung erforderlich - KI-Assistent ChatGPT
Adresse: 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland
Website: https://chatgpt.com
Support: https://help.openai.com
📋
📂Cloud Microsoft Unterstützung
M365, Exchange Online, Azure - Lizenzen, Vertrag, Managed Service; gevis ERP, s.dok ECM; Support über JIRA-Ticket-System
Adresse: Willy-Brandt-Weg 1, 48155 Münster
Telefon: +49 251 7000-02
E-Mail: info@gws.ms
Website: https://gws.ms
Support: https://gws-group.atlassian.net/jira
📋
📂Cloud Microsoft Unterstützung
M365, Exchange Online, Azure - Platzhalter für eigenen Anbieter
📋
📂Cloudspeicher, Filesharing
Cloudspeicher und Filesharing
Adresse: One Park Place, Floor 5, Hatch Street Upper, Dublin 2, Irland
Website: https://www.dropbox.com/de
Support: https://help.dropbox.com
📋
📂Cloudspeicher, Hosting
AWS Cloud- und Hosting-Dienste
Adresse: 38 Avenue John F. Kennedy, L-1855 Luxemburg
Telefon: +352 2789-0057
Website: https://aws.amazon.com/de/
Support: https://aws.amazon.com/de/contact-us/
📋
📂Cloudspeicher, Onlinedienste
Google Workspace, Gmail, Google Cloud und SaaS-Dienste
Adresse: Gordon House, Barrow Street, Dublin 4, Irland
Website: https://www.google.com
Support: https://support.google.com
📋
📂Customer Relationship Management
CAS Genesis World; betreut durch XXX
Adresse: CAS-Weg 1-5, 76131 Karlsruhe
Telefon: +49 721 9638-0
Website: https://www.cas.de/loesungen/crm-xrm/cas-genesisworld/
Support: https://www.cas.de/loesungen/crm-xrm/cas-genesisworld/
📋
📂Customer Relationship Management
SaaS Dienst
Adresse: Walter-Gropius-Straße 5, 80807 München
Telefon: +49 89 3176-0
Website: https://www.microsoft.com/de-de/dynamics-365/contact-us
Support: https://www.microsoft.com/de-de/dynamics-365/contact-us
📋
📂Cyber-Versicherung
Meldestelle
Adresse: Colonia-Allee 10-20, 51067 Köln
Telefon: +49 800 2920333
Störungshotline: +49 800 2920333
📋
📂Cyber-Versicherung
Schadenservice Firmenkunden
Adresse: Raiffeisenplatz 1, 65189 Wiesbaden
Telefon: +49 800 533-1205
Störungshotline: +49 800 533-1205
📋
📂Cyber-Versicherung
Platzhalter für Cyberversicherung
📋
📂Datenschutzbeauftragter
Name, Firma, Webseite, E-Mail, Telefon ergänzen
📋
📂Datenschutzbeauftragter
Name und E-Mail ergänzen
📋
📂Druckdienstleister (nur SaaS)
Adresse: 2 Manor Farm Court, Old Wolverton Road, Old Wolverton, MK12 5NN Milton Keynes, Buckinghamshire, England
E-Mail: support@printnode.com
Website: https://printnode.com
Support: https://www.printnode.com/en/contact
📋
📂Druckerleasing/Druckerwartung
Support für bizhub & Accurio Multifunktions- & Produktions-Systeme
Adresse: Europaallee 17, 30855 Langenhagen
Telefon: 0800 2494-820
E-Mail: service@konicaminolta.de
Website: https://www.konicaminolta.de
Störungshotline: 0800 2494-820
Support: https://www.konicaminolta.de/de-de/support
📋
📂Druckerleasing/Druckerwartung
Druckerleasing, Multifunktionssysteme und Wartung
Adresse: Otto-Hahn-Straße 12, 40670 Meerbusch
Telefon: +49 2159 918-0
E-Mail: info@kyocera.de
Website: https://www.kyoceradocumentsolutions.de
Support: https://www.kyoceradocumentsolutions.de/de/support-services/contact.html
📋
📂Druckerleasing/Druckerwartung
Druckerleasing, Multifunktionssysteme und Managed Print Services
Adresse: Vahrenwalder Straße 315, 30179 Hannover
Telefon: +49 511 6742-0
E-Mail: info@ricoh.de
Website: https://www.ricoh.de
Support: https://www.ricoh.de/support/
📋
📂Druckerleasing/Druckerwartung
Adresse: Südwestpark 23, 90449 Nürnberg
Telefon: +49 911 6898-0
E-Mail: info@triumph-adler.net
Website: https://www.triumph-adler.com/ta-de-de/kundendienst
Support: https://www.triumph-adler.com/ta-de-de/kundendienst
📋
📂Druckerleasing/Druckerwartung
Platzhalter für Anbieter
📋
📂E-Mail Archivierung
E-Mail-Archivierung und Compliance
Adresse: Cloerather Straße 1-3, 41748 Viersen
Telefon: +49 2162 50299-0
E-Mail: info@mailstore.com
Website: https://www.mailstore.com/de/
Support: https://www.mailstore.com/de/kontakt/
📋
📂E-Mail Security
Spamfilter, Mailsecurity und Backup
Adresse: Am Listholze 78, 30177 Hannover
Telefon: +49 511 515464-0
E-Mail: info@hornetsecurity.com
Website: https://www.hornetsecurity.com/de/
Support: https://www.hornetsecurity.com/de/kontakt/
📋
📂E-Signatur
Digitale Signaturen und Vertragsmanagement
Adresse: Neue Mainzer Straße 75, 60311 Frankfurt am Main
Telefon: +49 69 945159-0
E-Mail: support@docusign.com
Website: https://www.docusign.de
Support: https://support.docusign.com
📋
📂Endpoint Security / Antivirus
Endpoint Security und Antivirus
Adresse: Spitzweidenweg 32, 07743 Jena
Telefon: +49 3641 3114-200
E-Mail: info@eset.de
Website: https://www.eset.com/de/
Support: https://www.eset.com/de/about/contact/
📋
📂Endpoint Security / Antivirus
Endpoint Security, Firewall und MDR
Adresse: Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: +49 611 5858-0
E-Mail: sales@sophos.de
Website: https://www.sophos.com/de-de
Support: https://www.sophos.com/de-de/company/contact
📋
📂Endpoint Security / Antivirus
Endpoint Security, Firewall, MDR und Antivirus
Adresse: Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: +49 611 5858-0
E-Mail: sales@sophos.de
Website: https://www.sophos.com/de-de
Support: https://www.sophos.com/de-de/company/contact
📋
📂ERP Auswertungen
Support für Jetreports
Adresse: Dohrener Weg 7, 21555 Tostedt
Telefon: +49 4182 2389920
E-Mail: js@brandt-singleton.de
Website: https://brandt-singleton.de
Ansprechpartner: Herr Brandt
Support: https://brandt-singleton.de
📋
📂ERP Auswertungen
Corporate Planner
Adresse: Große Elbstraße 27, 22767 Hamburg
Telefon: +49 40 431333-0
E-Mail: info@corporate-planning.com
Website: https://corporate-planning.com
Support: https://corporate-planning.com
📋
📂ERP Auswertungen
GenoBI; Lorenz Schmidt
Adresse: Schützenstraße 19, 48143 Münster
Telefon: 0160 91014470
E-Mail: support@geno-digital.de
Website: https://geno-bi.de/
Ansprechpartner: Lorenz Schmidt
Support: https://geno-bi.de/
📋
📂ERP Auswertungen
Jetreports; Support über Herrn Brandt, Brandt und Singleton GmbH
Adresse: Havneholmen 29, DK-1561 Kopenhavn V
E-Mail: arremit@insightsoftware.com
Website: https://insightsoftware.com
Ansprechpartner: Herr Brandt
Support: https://insightsoftware.com
📋
📂ERP Auswertungen
Business Intelligence / Reporting / Dashboards
Telefon: +49 800 8088014
Website: https://www.microsoft.com/de-de/power-platform/products/power-bi
Support: https://www.microsoft.com/de-de/power-platform/products/power-bi
📋
📂ERP SaaS-Lösung
Microsoft Dynamics 365 Business Central SaaS / CSP / ERP-Hosting und Beratung
Adresse: Landsberger Straße 300, 80687 München
Telefon: +49 89 9982966-0
E-Mail: info@companial.com
Website: https://companial.com/de
Support: https://companial.com/de/kontakt/
📋
📂ERP WWS/DMS Archiv
gevis ERP, s.dok ECM; Support über JIRA-Ticket-System
Adresse: Willy-Brandt-Weg 1, 48155 Münster
Telefon: +49 251 7000-02
E-Mail: info@gws.ms
Website: https://gws.ms
Support: https://gws-group.atlassian.net/jira
📋
📂ERP WWS/DMS Archiv
Platzhalter für eigenen Anbieter
📋
📂ERP/DMS Auswertungen
Bi1; Support über JIRA-Ticket-System
Adresse: Jathostraße 7, 30916 Isernhagen
Telefon: +49 251 7000-02
Website: https://gws.ms
Support: https://gws-group.atlassian.net/jira
📋
📂Fernwartung Remote Support
Remote Support und Fernwartung
Adresse: Türlenstraße 2, 70191 Stuttgart
Telefon: +49 711 18427000
E-Mail: info@anydesk.com
Website: https://anydesk.com/de
Support: https://anydesk.com/de/contact
📋
📂Fernwartung Remote Support
Gemanagt über die GWS
Adresse: Lindleystraße 8A, 60314 Frankfurt am Main
Telefon: +49 69 5060 189060
Website: https://www.beyondtrust.com/de
Ansprechpartner: GWS
Support: https://www.beyondtrust.com/de
📋
📂Fernwartung Remote Support
Remote Support
Adresse: Manfred-von-Ardenne-Ring 20, 01099 Dresden
Telefon: +49 351 89698330
E-Mail: kontakt@pcvisit.de
Website: https://www.pcvisit.de/
Support: https://www.pcvisit.de/
📋
📂Fernwartung Remote Support
Remote Support durch Syskos inhouse oder Dienstleister
Adresse: Bahnhofsplatz 2, 73033 Göppingen
Telefon: +49 7161 60692 50
Störungshotline: +49 7161 60692 50
📋
📂Festnetz-/Mobiltelefonie
Webseiten, Zertifikat, Kundenlogin
Adresse: Elgendorfer Straße 57, 56410 Montabaur
Telefon: +49 721 1705522
E-Mail: info@ionos.de
Website: https://ionos.de
Support: https://login.ionos.de/?redirect_url=https%3A%2F%2Fmein.ionos.de%2Fproduct-overview
📋
📂Festnetz-/Mobiltelefonie
24x7 Servicehotline
Adresse: Weinsbergstraße 70, 50823 Köln
Telefon: 0221 79 700 700
E-Mail: impressum@congstar.de
Störungshotline: 0221 79 700 700
📋
📂Festnetz-/Mobiltelefonie
24x7 Servicehotline
Adresse: Friedrich-Ebert-Allee 140, 53113 Bonn
E-Mail: geschaeftskundenservice@telekom.de
Störungshotline: 0800 33 02202
📋
📂Festnetz-/Mobiltelefonie
24x7 Servicehotline
Adresse: Hollerstraße 126, 24782 Büdelsdorf
Telefon: 040 348 584 455
E-Mail: info@freenet-mobilfunk.de
Störungshotline: 040 348 584 455
📋
📂Festnetz-/Mobiltelefonie
24x7 Servicehotline
Adresse: Georg-Brauchle-Ring 23-25, 80992 München
E-Mail: business-service@o2.com
Störungshotline: 0800 33 03000
📋
📂Festnetz-/Mobiltelefonie
24x7 Servicehotline
Adresse: Ferdinand-Braun-Platz 1, 40549 Düsseldorf
E-Mail: business-service@vodafone.com
Störungshotline: 0800 172 1234
📋
📂Firewalls
FortiGate Firewalls, VPN und Security Services
Adresse: Platz der Einheit 2, 60327 Frankfurt am Main
Telefon: +49 69 509566-0
E-Mail: emeasupport@fortinet.com
Website: https://www.fortinet.com/de
Support: https://support.fortinet.com
📋
📂Firewalls
Standortvernetzung, Zugriff VPN, Managed und Reporting
Adresse: Weseler Straße 9, 46325 Borken
Telefon: +49 2861 80847 300
E-Mail: service@netgo.de
Website: https://netgo.de
Störungshotline: +49 2861 80847 300
Support: https://netgo.de
📋
📂Firewalls
Firewall, VPN und Netzwerk-Sicherheitslösungen
Adresse: Rosental 7, 80331 München
Telefon: +49 89 9546752-0
E-Mail: sales@sonicwall.com
Website: https://www.sonicwall.com/de-de
Support: https://www.sonicwall.com/de-de/support
📋
📂Firewalls
Firewall, VPN, Endpoint Security und Netzwerk-Sicherheit
Adresse: Aidenbachstraße 54, 81379 München
Telefon: +49 89 638930-0
E-Mail: info@watchguard.com
Website: https://www.watchguard.com/de
Support: https://www.watchguard.com/de/wgrd-support/overview
📋
📂Firewalls
Standortvernetzung, Zugriff VPN, Managed und Reporting
📋
📂Firewalls/vpn
GWS-Blackbox Managed VPN Access nur bei Fremdfirewalls
Adresse: Weseler Straße 9, 46325 Borken
Telefon: +49 800 0060 110
E-Mail: service@netgo.de
Website: https://netgo.de
Störungshotline: +49 2861 80847 300
Support: https://netgo.de
📋
📂Internet-/Backup-Leitungen
Adresse: Friedrich-Ebert-Allee 140, 53113 Bonn
E-Mail: geschaeftskundenservice@telekom.de
Störungshotline: 0800 33 02202
📋
📂Internet-/Backup-Leitungen
Adresse: Prinzenallee 11, 40549 Düsseldorf
Telefon: +49 211 550070
E-Mail: info@ecotel.de
Website: https://www.ecotel.de
Support: https://www.ecotel.de/service-hilfe/kontakt/
📋
📂Internet-/Backup-Leitungen
Adresse: Tirpitzstraße 39, 26122 Oldenburg
Telefon: +49 800 8879000
E-Mail: technischerservice@ewe.de
Website: https://www.ewe.de
Störungshotline: +49 800 8879000
Support: https://www.ewe.de
📋
📂Internet-/Backup-Leitungen
Satelliten-Internet / Backup-Leitung
Adresse: 1 Rocket Road, Hawthorne, CA 90250 USA
Telefon: +1 888 358-8588
Website: https://www.starlink.com/business
Support: https://www.starlink.com/support/tickets
📋
📂Internet-/Backup-Leitungen
Adresse: Ferdinand-Braun-Platz 1, 40549 Düsseldorf
E-Mail: business-service@vodafone.com
Störungshotline: 0800 172 1234
📋
📂Internet-/Backup-Leitungen
Platzhalter für eigenen Anbieter
📋
📂Internet-Agentur
und Webseitengestaltung nicht SaaS - Platzhalter für Agentur
📋
📂Internet-Provider
Webhosting, Domains, SSL-Zertifikate und Mailserver
Adresse: Hauptstraße 68, 02742 Friedersdorf
Telefon: +49 35872 353-10
E-Mail: support@all-inkl.com
Website: https://all-inkl.com
Support: https://all-inkl.com/kontakt/
📋
📂Internet-Provider
Webhosting, Domains, Mailhosting und SSL-Zertifikate
Adresse: c/o WeWork Wallarkaden, Pilgrimstraße 6, 50674 Köln
Telefon: +49 221 99999-301
E-Mail: support@hosteurope.de
Website: https://www.hosteurope.de
Support: https://www.hosteurope.de/kontakt/
📋
📂Internet-Provider
Webseiten, Zertifikat, Kundenlogin
Adresse: Elgendorfer Straße 57, 56410 Montabaur
Telefon: +49 721 1705522
E-Mail: info@ionos.de
Website: https://ionos.de
Support: https://login.ionos.de/?redirect_url=https%3A%2F%2Fmein.ionos.de%2Fproduct-overview
📋
📂Internet-Provider
Webseiten, Zertifikat ehem. Raiffeisen.com, land24.de, Ackerprofi/Acker24, Energiethemen
Adresse: Fürstendiek 6, 48291 Telgte
Telefon: 02504 88865 0
E-Mail: info@r-nw.de
Website: https://www.raiffeisen-networld.de/
Support: https://www.raiffeisen-networld.de/
📋
📂Internet-Provider
Webhosting, Domains, SSL-Zertifikate und Kundenlogin
Adresse: Otto-Ostrowski-Straße 7, 10249 Berlin
Telefon: +49 30 3001460-0
E-Mail: support@strato.de
Website: https://www.strato.de
Support: https://www.strato.de/apps/CustomerService#/skl
📋
📂Internet-Provider
Webseiten, Zertifikat
Adresse: Gautinger Straße 10, 82319 Starnberg
Telefon: +49 8151 368670
E-Mail: support@united-domains.de
Website: https://united-domains.de
Support: https://united-domains.de
📋
📂Internet-Zertifikat
Webseiten, Zertifikat für gevis und s.dok - per Powershell Script
Website: https://www.win-acme.com/
Support: https://www.win-acme.com/
📋
📂Internet-Zertifikat
Zertifikat für gevis und s.dok - Kontaktdaten der GWS siehe oben
Adresse: Willy-Brandt-Weg 1, 48155 Münster
Telefon: +49 251 7000-02
E-Mail: info@gws.ms
Website: https://gws.ms
Ansprechpartner: GWS
Support: https://gws.ms
📋
📂Kassensysteme
Cloudbasiertes Kassensystem korona POS
Adresse: Benzstraße 11, 14482 Potsdam
Telefon: +49 331 231890-0
E-Mail: info@koronapos.com
Website: https://koronapos.com/de
Support: https://koronapos.com/de/kontakt/
📋
📂Kassensysteme/Fiskaltrust
TSE-, Fiskalisierungs- und Kassen-Compliance-Dienste
Adresse: Mariahilfer Straße 36, 1070 Wien, Österreich
Telefon: +43 1 9972810
E-Mail: support@fiskaltrust.de
Website: https://fiskaltrust.de
Support: https://fiskaltrust.de/kontakt/
📋
📂Kuvertierung (E-Postbox/Docuguide)
Adresse: Fritz-Erler-Straße 4, 53113 Bonn
Telefon: +49 228 4333 112
Website: https://www.deutschepost.de/de/e/epost/geschaeftskunden/epost-business-box.html
Störungshotline: +49 228 4333 112
Support: https://www.deutschepost.de/de/e/epost/geschaeftskunden/epost-business-box.html
📋
📂Lagerlogistik
Hotline Mo-Fr 08:30-16:30 Uhr
Adresse: Fallgatter 1, 44369 Dortmund
Telefon: +49 231 5194-0
E-Mail: support@prologistik.de
Website: https://prologistik.de
Störungshotline: +49 231 5194-6850
Support: https://prologistik.de
📋
📂LKW-Fahrerkarten/Tachoarchiv
On-Board Unit auf LKW überträgt Daten
Adresse: Brüsseler Str. 22, 07747 Jena
Telefon: +49 3641 22778 0
E-Mail: info@dako.de
Website: https://www.dako.de/
Support: https://www.dako.de/
📋
📂LKW-Fahrerkarten/Tachoarchiv
Transics; Hauptverwaltung / ZF Forum
Adresse: Löwentaler Straße 20, 88046 Friedrichshafen
Telefon: +49 7541 77-0
E-Mail: postoffice@zf.com
Website: https://www.zf.com/products/de/cv/fleet/fms_for_cargo/fms_for_cargo_transics.html
Support: https://www.zf.com/products/de/cv/fleet/fms_for_cargo/fms_for_cargo_transics.html
📋
📂LKW-Telematik
Prologistik-Tochter
Adresse: Söflinger Straße 100, 89077 Ulm
Telefon: +49 731 9340960
Website: https://www.ais-alfaplan.de/de
Störungshotline: +49 731 9340960
Support: https://www.ais-alfaplan.de/de
📋
📂LKW-Telematik
LIS Winsped
Adresse: Hansaring 27, 48268 Greven
Telefon: +49 2571 92901
E-Mail: info@lis.eu
Website: https://www.lis.eu/speditionssoftware/winsped/
Support: https://www.lis.eu/speditionssoftware/winsped/
📋
📂LKW-Telematik
Adresse: Am Wüsteberg 3, 01723 Wilsdruff OT Kesselsdorf
Telefon: +49 (0) 35204 753-100
E-Mail: info@yellowfox.de
Website: https://www.yellowfox.de
Ansprechpartner: Dr. Dominic Schmiedl
Support: https://www.yellowfox.de
📋
📂Lohn/Steuern
Sage HR
Adresse: Schmalbachstr. 16, 38112 Braunschweig
Telefon: +49 531 313990
E-Mail: info@cerro-edv.de
Website: https://cerro-edv.de
Support: https://cerro-edv.de
📋
📂Lohn/Steuern
DATEV Rechenzentrum und Softwarelösungen für Steuerberater, Wirtschaftsprüfer und Unternehmen
Adresse: Paumgartnerstraße 6-14, 90429 Nürnberg
Telefon: +49 911 319-0
E-Mail: service@datev.de
Website: https://www.datev.de
Support: https://www.datev.de/web/de/service-und-support/
📋
📂Lohn/Steuern
selbst gehostet
Adresse: Pilsener Straße 9, 86199 Augsburg
Telefon: +49 821 242953-00
E-Mail: info@dynamics4u.eu
📋
📂Lohn/Steuern
Personaldienstleister der Atruvia
Adresse: Dieselstraße 5, 76227 Karlsruhe
Telefon: +49 721 627378-0
E-Mail: support@peras.de
Website: https://peras.de
Support: https://peras.de
📋
📂Lohn/Steuern Steuerberater
hier den Steuerberater eintragen, DATEV wird nur mittelbar genutzt
📋
📂Managed IT-Betrieb
Managed Care Packages, Antivirus oder Managed Services; Support über JIRA-Ticket-System
Adresse: Willy-Brandt-Weg 1, 48155 Münster
Telefon: +49 251 7000-02
E-Mail: info@gws.ms
Website: https://gws.ms
Support: https://gws-group.atlassian.net/jira
📋
📂Managed IT-Betrieb
Platzhalter für eigenen Anbieter, der Antivirus, Windows Updates, Monitoring macht
📋
📂Mobile Device Management
Apple Business Manager - Zuständig: Apple Sales Hannover
Adresse: Hollyhill Industrial Estate, Hollyhill, Cork, Republic of Ireland
E-Mail: contactus.de@euro.apple.com
Ansprechpartner: Apple Sales Hannover
📋
📂Mobile Device Management
Platzhalter für eigenen Anbieter
📋
📂Monitoring
Operative Dienstleistungen mit PRTG oder Microsoft Onlinediensten
Adresse: Willy-Brandt-Weg 1, 48155 Münster
Telefon: +49 251 7000-02
E-Mail: info@gws.ms
Website: https://gws.ms
Support: https://gws.ms
📋
📂Monitoring
PRTG Monitoring
Adresse: Thurn-und-Taxis-Str. 14, 90411 Nürnberg
Telefon: +49 911 93775-0
E-Mail: info@paessler.com
📋
📂Netzwerk / WLAN / Security
Cloud-Managed Netzwerk, WLAN, Switches, Firewalls und MDM
Adresse: 500 Terry A Francois Blvd, San Francisco, CA 94158 USA
Website: https://meraki.cisco.com
Support: https://meraki.cisco.com/support/
📋
📂Netzwerk / WLAN / Security
UniFi Netzwerk-, WLAN-, Kamera- und Security-Lösungen
Adresse: 685 Third Avenue, 27th Floor, New York, NY 10017 USA
Telefon: +1 646 780 7958
E-Mail: support@ui.com
Website: https://ui.com
Support: https://help.ui.com
📋
📂NFP Brandmeldeanlage
Wartungsanbieter - Platzhalter für Notfallplan
📋
📂NFP BSI Meldepflicht
NIS-2 Meldeportal / KRITIS-Meldestelle
Adresse: Godesberger Allee 185-189, 53175 Bonn, Deutschland
Website: https://mip2.bsi.bund.de/
Support: https://www.bsi.bund.de
📋
📂NFP Bundesbehörde Cybercrime
Zentrale Ansprechstelle Cybercrime
Adresse: Thaerstraße 11, 65193 Wiesbaden, Deutschland
Website: https://www.bka.de
Support: https://www.bka.de/DE/KontaktAufnehmen/kontaktaufnehmen_node.html
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Bayern
Adresse: Wagmüllerstraße 18, 80538 München, Deutschland
Telefon: +49 89 212672-0
Website: https://www.datenschutz-bayern.de
Support: mailto:poststelle@datenschutz-bayern.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Berlin
Adresse: Friedrichstraße 219, 10969 Berlin, Deutschland
Telefon: +49 30 13889-0
Website: https://www.datenschutz-berlin.de
Support: mailto:mailbox@datenschutz-berlin.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Hamburg
Adresse: Ludwig-Erhard-Straße 22, 20459 Hamburg, Deutschland
Telefon: +49 40 42854-4040
Website: https://www.datenschutz-hamburg.de
Support: mailto:mailbox@datenschutz-hamburg.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Hessen
Adresse: Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Deutschland
Telefon: +49 611 1408-0
Website: https://www.datenschutz.hessen.de
Support: mailto:poststelle@datenschutz.hessen.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Mecklenburg-Vorpommern
Adresse: Schloss Schwerin, Lennéstraße 1, 19053 Schwerin, Deutschland
Telefon: +49 385 59494-0
Website: https://www.datenschutz-mv.de
Support: mailto:info@datenschutz-mv.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Rheinland-Pfalz
Adresse: Hintere Bleiche 34, 55116 Mainz, Deutschland
Telefon: +49 6131 208-2449
Website: https://www.datenschutz.rlp.de
Support: mailto:poststelle@datenschutz.rlp.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Bremen
Adresse: Arndtstraße 1, 27570 Bremerhaven, Deutschland
Telefon: +49 421 361-2010
Website: https://www.datenschutz.bremen.de
Support: mailto:office@datenschutz.bremen.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Niedersachsen
Adresse: Prinzenstraße 5, 30159 Hannover, Deutschland
Telefon: +49 511 120-4500
Website: https://www.datenschutz.niedersachsen.de
Support: mailto:poststelle@lfd.niedersachsen.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Nordrhein-Westfalen
Adresse: Kavalleriestraße 2-4, 40213 Düsseldorf, Deutschland
Telefon: +49 211 38424-0
Website: https://www.ldi.nrw.de
Support: mailto:poststelle@ldi.nrw.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Baden-Württemberg
Adresse: Königstraße 10a, 70173 Stuttgart, Deutschland
Telefon: +49 711 615541-0
Website: https://www.baden-wuerttemberg.datenschutz.de
Support: mailto:poststelle@lfdi.baden-wuerttemberg.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Brandenburg
Adresse: Stahnsdorfer Damm 77, 14532 Kleinmachnow, Deutschland
Telefon: +49 33203 356-0
Website: https://www.datenschutz.brandenburg.de
Support: mailto:poststelle@lda.brandenburg.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Sachsen-Anhalt
Adresse: Leiterstraße 9, 39104 Magdeburg, Deutschland
Telefon: +49 391 81803-0
Website: https://www.datenschutz.sachsen-anhalt.de
Support: mailto:poststelle@lfd.sachsen-anhalt.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Sachsen
Adresse: Devrientstraße 1, 01067 Dresden, Deutschland
Telefon: +49 351 85471-0
Website: https://www.datenschutz.sachsen.de
Support: mailto:saechsdsb@datenschutz.sachsen.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Thüringen
Adresse: Häßlerstraße 8, 99096 Erfurt, Deutschland
Telefon: +49 361 573112900
Website: https://www.datenschutz.thueringen.de
Support: mailto:poststelle@datenschutz.thueringen.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Saarland
Adresse: Fritz-Dobisch-Straße 12, 66111 Saarbrücken, Deutschland
Telefon: +49 681 94781-0
Website: https://www.datenschutz.saarland.de
Support: mailto:poststelle@datenschutz.saarland.de
📋
📂NFP Datenschutzbehörde
Datenschutzbehörde Schleswig-Holstein
Adresse: Holstenstraße 98, 24103 Kiel, Deutschland
Telefon: +49 431 988-1200
Website: https://www.datenschutzzentrum.de
Support: mailto:mail@datenschutzzentrum.de
📋
📂NFP Einbruchmelde-Anlage Wartung
Platzhalter für Notfallplan
📋
📂NFP Elektriker
Haustechnik und Netzwerk-Verkabelung für Notfallplan
📋
📂NFP Facility Management
Hausmeister Name, Firma, Webseite, E-Mail, Telefon ergänzen
📋
📂NFP Facility Management
Hausmeister Name und E-Mail ergänzen
📋
📂NFP Feuerwehr
Berufsfeuerwehr XXX
Telefon: 112
Website: https://www.duesseldorf.de/feuerwehr
Support: https://www.duesseldorf.de/feuerwehr/kontakt
📋
📂NFP Notstrom-Generator
Wartung oder Bereitstellung z.B. Feuerwehr - Platzhalter für Notfallplan
📋
📂NFP Photovoltaik-Anlagen
Platzhalter für Notfallplan
📋
📂NFP Polizei
Polizeibehörde XXX
Telefon: 110
Website: https://polizei.de
Support: https://polizei.de/kontakt
📋
📂NFP Pressemeldung TV
Bayerischer Rundfunk Lokalredaktion
Adresse: Rundfunkplatz 1, 80335 München, Deutschland
Telefon: +49 89 5900-01
Website: https://www.br.de
Support: https://www.br.de/kontakt/
📋
📂NFP Pressemeldung TV
Hessischer Rundfunk Lokalredaktion
Adresse: Bertramstraße 8, 60320 Frankfurt am Main, Deutschland
Telefon: +49 69 155-0
Website: https://www.hr.de
Support: https://www.hr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
Mitteldeutscher Rundfunk Sachsen
Adresse: Wettiner Platz 1, 01067 Dresden, Deutschland
Telefon: +49 351 846-0
Website: https://www.mdr.de
Support: https://www.mdr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
Mitteldeutscher Rundfunk Sachsen-Anhalt
Adresse: Gerberstraße 2, 06108 Halle (Saale), Deutschland
Telefon: +49 345 300-0
Website: https://www.mdr.de
Support: https://www.mdr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
Mitteldeutscher Rundfunk Thüringen
Adresse: Gothaer Straße 36, 99094 Erfurt, Deutschland
Telefon: +49 361 218-0
Website: https://www.mdr.de
Support: https://www.mdr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
NDR Hamburg Lokalredaktion
Adresse: Rothenbaumchaussee 132, 20149 Hamburg, Deutschland
Telefon: +49 40 4156-0
Website: https://www.ndr.de
Support: https://www.ndr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
NDR Mecklenburg-Vorpommern Lokalredaktion
Adresse: Richard-Wagner-Straße 8, 18055 Rostock, Deutschland
Telefon: +49 381 860-0
Website: https://www.ndr.de
Support: https://www.ndr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
NDR Niedersachsen Lokalredaktion
Adresse: Rudolf-von-Bennigsen-Ufer 22, 30169 Hannover, Deutschland
Telefon: +49 511 988-0
Website: https://www.ndr.de
Support: https://www.ndr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
NDR Schleswig-Holstein Lokalredaktion
Adresse: Schlossgarten 3, 24103 Kiel, Deutschland
Telefon: +49 431 988-0
Website: https://www.ndr.de
Support: https://www.ndr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
Radio Bremen Regionalfernsehen
Adresse: Diepenau 10, 28195 Bremen, Deutschland
Telefon: +49 421 246-0
Website: https://www.radiobremen.de
Support: https://www.radiobremen.de/kontakt/
📋
📂NFP Pressemeldung TV
Rundfunk Berlin-Brandenburg Lokalredaktion
Adresse: Masurenallee 8-14, 14057 Berlin, Deutschland
Telefon: +49 30 97993-0
Website: https://www.rbb-online.de
Support: https://www.rbb-online.de/kontakt/
📋
📂NFP Pressemeldung TV
Rundfunk Berlin-Brandenburg Lokalredaktion
Adresse: Marlene-Dietrich-Allee 20, 14482 Potsdam, Deutschland
Telefon: +49 331 97993-0
Website: https://www.rbb-online.de
Support: https://www.rbb-online.de/kontakt/
📋
📂NFP Pressemeldung TV
Saarländischer Rundfunk Lokalredaktion
Adresse: Funkhaus Halberg, 66100 Saarbrücken, Deutschland
Telefon: +49 681 602-0
Website: https://www.sr.de
Support: https://www.sr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
SWR Baden-Württemberg Lokalredaktion
Adresse: Neckarstraße 230, 70190 Stuttgart, Deutschland
Telefon: +49 711 929-0
Website: https://www.swr.de
Support: https://www.swr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
SWR Rheinland-Pfalz Lokalredaktion
Adresse: Am Fort Gonsenheim 139, 55122 Mainz, Deutschland
Telefon: +49 6131 929-0
Website: https://www.swr.de
Support: https://www.swr.de/service/kontakt/
📋
📂NFP Pressemeldung TV
Westdeutscher Rundfunk Lokalredaktion
Adresse: Appellhofplatz 1, 50667 Köln, Deutschland
Telefon: +49 221 220-0
Website: https://www1.wdr.de
Support: https://www1.wdr.de/kontakt/index.html
📋
📂NFP Pressemeldung Zeitung
Neus Presse Lokalredaktion XXX
Telefon: 112
📋
📂NFP Rathaus / Ordnungsamt
Rathaus und Ordnungsamt XXX
Website: https://www.xxx.de
Support: https://www.xxx.de/kontakt
📋
📂NFP Rechtsanwalt
generell oder Fachanwalt für IT/Datenschutzthemen - Intern oder extern ergänzen
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Bayern
Adresse: Rosenkavalierplatz 2, 81925 München, Deutschland
Telefon: +49 89 9214-0
Website: https://www.stmuv.bayern.de
Support: mailto:poststelle@stmuv.bayern.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Hamburg
Adresse: Neuenfelder Straße 19, 21109 Hamburg, Deutschland
Telefon: +49 40 42840-0
Website: https://www.hamburg.de/bukea
Support: mailto:poststelle@bukea.hamburg.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Bremen
Adresse: Contrescarpe 72, 28195 Bremen, Deutschland
Telefon: +49 421 361-0
Website: https://www.umwelt.bremen.de
Support: mailto:office@umwelt.bremen.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Hessen
Adresse: Mainzer Straße 80, 65189 Wiesbaden, Deutschland
Telefon: +49 611 815-0
Website: https://umwelt.hessen.de
Support: mailto:poststelle@umwelt.hessen.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Schleswig-Holstein
Adresse: Mercatorstraße 3, 24106 Kiel, Deutschland
Telefon: +49 431 988-0
Website: https://www.schleswig-holstein.de/umweltministerium
Support: mailto:poststelle@mekun.landsh.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Mecklenburg-Vorpommern
Adresse: Paulshöher Weg 1, 19061 Schwerin, Deutschland
Telefon: +49 385 588-0
Website: https://www.regierung-mv.de/Landesregierung/lm
Support: mailto:poststelle@lm.mv-regierung.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Rheinland-Pfalz
Adresse: Kaiser-Friedrich-Straße 1, 55116 Mainz, Deutschland
Telefon: +49 6131 16-0
Website: https://mkuem.rlp.de
Support: mailto:poststelle@mkuem.rlp.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Brandenburg
Adresse: Heinrich-Mann-Allee 103, 14473 Potsdam, Deutschland
Telefon: +49 331 866-0
Website: https://mluk.brandenburg.de
Support: mailto:poststelle@mluk.brandenburg.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Baden-Württemberg
Adresse: Kernerplatz 9, 70182 Stuttgart, Deutschland
Telefon: +49 711 126-0
Website: https://um.baden-wuerttemberg.de
Support: mailto:poststelle@um.baden-wuerttemberg.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Saarland
Adresse: Keplerstraße 18, 66117 Saarbrücken, Deutschland
Telefon: +49 681 501-0
Website: https://www.saarland.de/mukmav
Support: mailto:poststelle@umwelt.saarland.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Nordrhein-Westfalen
Adresse: Schwannstraße 3, 40476 Düsseldorf, Deutschland
Telefon: +49 211 4566-0
Website: https://www.umwelt.nrw.de
Support: mailto:poststelle@munv.nrw.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Sachsen-Anhalt
Adresse: Turmschanzenstraße 25, 39114 Magdeburg, Deutschland
Telefon: +49 391 567-0
Website: https://mwu.sachsen-anhalt.de
Support: mailto:poststelle@mwu.sachsen-anhalt.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Niedersachsen
Adresse: Archivstraße 2, 30169 Hannover, Deutschland
Telefon: +49 511 120-0
Website: https://www.umwelt.niedersachsen.de
Support: mailto:poststelle@mu.niedersachsen.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Sachsen
Adresse: Wilhelm-Buck-Straße 2, 01097 Dresden, Deutschland
Telefon: +49 351 564-0
Website: https://www.smekul.sachsen.de
Support: mailto:poststelle@smekul.sachsen.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Berlin
Adresse: Brückenstraße 6, 10179 Berlin, Deutschland
Telefon: +49 30 9025-0
Website: https://www.berlin.de/sen/uvk
Support: mailto:poststelle@senuvk.berlin.de
📋
📂NFP Umweltschutzbehörde
Umweltschutzbehörde Thüringen
Adresse: Beethovenstraße 3, 99096 Erfurt, Deutschland
Telefon: +49 361 57-0
Website: https://umwelt.thueringen.de
Support: mailto:poststelle@tmuen.thueringen.de
📋
📂On-Prem: Backup/Disaster Recovery
Backup und Disaster Recovery
Adresse: Landsberger Straße 110, 80339 München
Telefon: +49 89 558918-0
E-Mail: germany@veeam.com
Website: https://www.veeam.com/de
Support: https://www.veeam.com/de/company/contacts.html
📋
📂On-Prem: IT-Dienstleister
Hardware, Server, PCs oder Perppherie
Adresse: Gustav-Stresemann-Weg 29, 48155 Münster
Telefon: +49 251 20830-0
E-Mail: info@ratiodata.de
Website: https://www.ratiodata.de
Support: https://www.ratiodata.de
📋
📂On-Prem: IT-Dienstleister
Hardware, Server, PCs oder Perppherie - Platzhalter für eigenen Anbieter
📋
📂Online-Banking
Produkt proficash - VR-Bank XXX; Hotline nur über die VR-Bank
Adresse: GAD-Straße 2-6, 48163 Münster
Telefon: +49 251 7133-01
E-Mail: postfach@atruvia.de
Website: https://atruvia.de/serviceline
Support: https://atruvia.de/serviceline
📋
📂Online-Banking
Produkt: s.firm - Sparkasse XXX
📋
📂Online-Banking
Platzhalter für Banking-Anbieter
📋
📂Paketversand
Paketversand, Geschäftskundenportal und Versandservices
Adresse: Charles-de-Gaulle-Straße 20, 53113 Bonn
Telefon: +49 228 4333112
E-Mail: geschaeftskunden@dhl.de
Website: https://www.dhl.de
Support: https://www.dhl.de/de/geschaeftskunden.html
📋
📂Paketversand
Paketversand und Geschäftskundenservices
Adresse: Wailandtstraße 1, 63741 Aschaffenburg
Telefon: +49 6021 843-0
E-Mail: info@dpd.de
Website: https://www.dpd.com/de/de/
Support: https://www.dpd.com/de/de/support/
📋
📂Paketversand
Paketversand und Geschäftskundenservices
Adresse: Essener Straße 89, 22419 Hamburg
Telefon: +49 40 537550
E-Mail: service@hermesworld.com
Website: https://www.myhermes.de
Support: https://www.myhermes.de/service/
📋
📂Paketversand
Paketversand und Logistikservices
Adresse: Görlitzer Straße 1, 41460 Neuss
Telefon: +49 180 6882663
Website: https://www.ups.com/de/de
Support: https://www.ups.com/de/de/support/contact-us.page
📋
📂Passwortmanager
Passwortmanager und Secrets-Verwaltung
Adresse: 4711 Yonge Street, 10th Floor, Toronto, ON M2N 6K8 Kanada
E-Mail: support@1password.com
Website: https://1password.com
Support: https://support.1password.com/contact/
📋
📂Passwortmanager
Passwortmanager und Vault-Lösung
Adresse: 2443 Fillmore St #380-8702, San Francisco, CA 94115 USA
E-Mail: support@bitwarden.com
Website: https://bitwarden.com
Support: https://bitwarden.com/contact/
📋
📂Raiffeisen agravis
Stammdaten, Schnittstelle Zentralgenossenschaft für Raiffeisen
Adresse: Industrieweg 110, 48155 Münster
Telefon: +49 251 682-0
E-Mail: info@agravis.de
Website: https://agravis.de
Support: https://agravis.de
📋
📂Raiffeisen AKORO Portal
AKORO-Portal
Adresse: Altenberger Str. 1A, 50668 Köln
E-Mail: info@r-nw.de
Website: https://rnw.de
Support: https://rnw.de
📋
📂Raiffeisen Hansmeier
Werkssteuerung
Adresse: Pilgerpatt 6, 33378 Rheda-Wiedenbrück
Telefon: +49 5242 9041-0
E-Mail: mail@hansmeier.net
Website: https://hansmeier.net
Support: https://hansmeier.net
📋
📂Raiffeisen Hybrimin
Mischfutter Winfumi
Adresse: Adolf-Kolping-Str. 25, 31840 Hessisch Oldendorf
Telefon: +49 5152 97361-00
E-Mail: info@HYBRIMIN.de
Website: https://HYBRIMIN.de
Support: https://HYBRIMIN.de
📋
📂Raiffeisen RV4
Werkssteuerung
Adresse: Donnerschweer Str. 89/91, 26123 Oldenburg
Telefon: +49 441 950794-0
E-Mail: info@vbf-technik.de
Website: https://vbf-technik.de
Support: https://vbf-technik.de
📋
📂Raiffeisen Saatgut/Agrarhandel
Saatgut, Agrarhandel und Warenwirtschaftsprozesse
Adresse: Everswinkeler Straße 80, 48291 Telgte
Telefon: +49 2504 8888-0
E-Mail: info@geno-saaten.de
Website: https://www.geno-saaten.de
Support: https://www.geno-saaten.de/kontakt/
📋
📂Scan / Dokumentenverarbeitung
Dokumentenmanagement und Workflow
Adresse: Planegger Straße 1, 82110 Germering
Telefon: +49 89 894433-0
E-Mail: info@docuware.com
Website: https://start.docuware.com/de
Support: https://start.docuware.com/de/kontakt
📋
📂Schließanlage
Schließanlagen und Zutrittskontrollsysteme
Adresse: August-Winkhaus-Straße 31, 48291 Telgte
Telefon: +49 2504 921-0
E-Mail: info@winkhaus.de
Website: https://winkhaus.de
Support: https://winkhaus.de/de/kontakt
📋
📂Schließanlage
Schließanlagen und Zutrittskontrollsysteme
Adresse: DORMA Platz 1, 58256 Ennepetal
Telefon: +49 2333 793-0
E-Mail: info.de@dormakaba.com
Website: https://www.dormakaba.com/de-de
Support: https://www.dormakaba.com/de-de/kontakte-support
📋
📂Shop-Lösung
Chefslist Shop-Lösung
Adresse: Fürstenbergstraße 156, 60322 Frankfurt am Main
Telefon: 0151 70696542
E-Mail: patrick@chefslist.de
Website: https://chefslist.de
Support: https://chefslist.de
📋
📂Shop-Lösung
Shopware E-Commerce-Plattform / Betreuung über die GWS
Adresse: Ebbinghoff 10, 48624 Schöppingen
Telefon: +49 2555 92885-0
E-Mail: info@shopware.com
Website: https://www.shopware.com/de/
Ansprechpartner: GWS Münster
Support: https://www.shopware.com/de/support/
📋
📂Shop-Lösung/Außendienst
Software- und Servicedienstleistungen für Bäckereien
Adresse: Hauptstraße 17, 51588 Nümbrecht
Telefon: +49 2293 9070-0
E-Mail: info@backbuero.de
Website: https://www.backbuero.de
Support: https://www.backbuero.de/kontakt/
📋
📂SIEM-SOC bzw. MDR aktive und präventive Gefahrenerkennung
überwacht und alearmiert präventiv
Adresse: Friedrich-Ebert-Anlage 49, 60308 Frankfurt am Main
Telefon: +49 30 16637144
E-Mail: legal@arcticwolf.com
Website: https://arcticwolf.com/de
Support: https://arcticwolf.com/de/company/contact-us/
📋
📂SMTP-Relay aus gevis und Exchange online über MSGRAPH API
ITB Connector
Adresse: Balgheimer Straße 44, 78549 Spaichingen
Telefon: +49 7424 9810420
E-Mail: info@itatbusiness.de
📋
📂Tankstellen
online oder offline SB-Tankstellen - Novotec Landwirt-Tankstellen offline; Notdienst hinterlegt
Adresse: Dieselstraße 5, 30916 Isernhagen
Telefon: +49 511 972480
Störungshotline: +49 151 14664851
📋
📂Tankstellen
HECTRONIC SB-Tankstellen
Adresse: Allmendstrasse 15, 79848 Bonndorf
Telefon: +49 7703 9388-0
E-Mail: mail@hectronic.com
Website: https://hectronic.com
Support: https://hectronic.com
📋
📂Tankstellen
Tankstellenmanagement
Adresse: Nobelstraße 9-13, 76275 Ettlingen
Telefon: +49 7243 381 0
E-Mail: kontakt@tasksystems.de
Website: https://tasksystems.de/produkte/tankstellenmanagement/
Support: https://tasksystems.de/produkte/tankstellenmanagement/
📋
📂Telefonanlagen Wartung
Adresse: Prinzenallee 11, 40549 Düsseldorf
Telefon: 0800 0326835
E-Mail: info@ecotel.de
Website: https://www.ecotel.de/service-hilfe/kontakt/
Störungshotline: 0800 0326835
Support: https://www.ecotel.de/service-hilfe/kontakt/
📋
📂Telefonanlagen Wartung
Störungsstelle Geschäftskunden 24x7
Adresse: Friedrich-Ebert-Allee 140, 53113 Bonn
Telefon: +49 800 330 1000
Website: https://geschaeftskunden.telekom.de/hilfe-und-service/kundencenter
Störungshotline: +49 800 330 1000
Support: https://geschaeftskunden.telekom.de/hilfe-und-service/kundencenter
📋
📂Telefonanlagen Wartung
Platzhalter für Anbieter
📋
📂Telefonie CTI/ACD
CATS
Adresse: An der Kleimannbrücke 52, 48157 Münster
Telefon: +49 251 322311 400
Website: https://cats.ms
Support: https://cats.ms/kontakt
📋
📂Telefonie CTI/ACD
Platzhalter für Anbieter
📋
📂Telefonie VoIP/UCC
VoIP-Telefonanlage und Unified Communications
Adresse: Unit 6, Deepdale Enterprise Park, Ashford Road, TN26 3GJ Tenterden, Vereinigtes Königreich
E-Mail: sales@3cx.com
Website: https://www.3cx.de
Support: https://www.3cx.de/support/
📋
📂Telefonie VoIP/UCC
Cloud-Telefonanlage und Business-Kommunikation
Adresse: Machtlfinger Straße 7, 81379 München
Telefon: +49 89 45300-0
E-Mail: info@nfon.com
Website: https://www.nfon.com/de/
Support: https://www.nfon.com/de/service-support/
📋
📂Ticketsystem / Helpdesk
Jira Service Management und Confluence
Adresse: Level 6, 341 George Street, Sydney NSW 2000 Australien
Website: https://www.atlassian.com
Support: https://support.atlassian.com
📋
📂Videokonferenz
Videokonferenzen und Online-Meetings
Adresse: 55 Almaden Boulevard, San Jose, CA 95113 USA
Website: https://zoom.us
Support: https://support.zoom.us
📋
📂Zeiterfassung, Fehlzeiten
Sage HR
Adresse: Schmalbachstr. 16, 38112 Braunschweig
Telefon: +49 531 313990
E-Mail: info@cerro-edv.de
Website: https://cerro-edv.de
Support: https://cerro-edv.de
📋
📂Zeiterfassung, Fehlzeiten
ZEUS
Adresse: Oberdorfstr. 18-22, 78054 Villingen-Schwenningen
Telefon: 07720 393-0
Website: https://www.isgus.de/kontakt/service-support/supportanfrage/
Support: https://www.isgus.de/kontakt/service-support/supportanfrage/
📋
📂Zeiterfassung, Fehlzeiten
Personaldienstleister der Atruvia
Adresse: Dieselstraße 5, 76227 Karlsruhe
Telefon: +49 721 627378-0
E-Mail: support@peras.de
Website: https://peras.de
Support: https://peras.de
📋
📂Zeiterfassung, Fehlzeiten
TEMPVISION Zeiterfassung
Adresse: Dierdorfer Landstraße 10, 56242 Selters
Telefon: +49 2626 47999-0
E-Mail: info@tempras.de
Website: https://tempras.de
Support: https://tempras.de
📋
📂Zeiterfassung: Reisekosten
Lexware Produkte; Haufe Service Center GmbH; technische Beratung PRO/PREM 0761 - 216 999 66
Adresse: Munzinger Str. 9, 79111 Freiburg
Telefon: 0800 539 80 11
Störungshotline: 0761 216 999 66
📋
📂Zentralregulierer
Zentralregulierer/Rechnungsstellung, Einkauf für Bäcker- und Konditorengenossenschaften
Adresse: Am Kiekenbusch 4, 47269 Duisburg
Telefon: +49 203 7684-0
E-Mail: info@baeko.de
Website: https://baeko.de
Support: https://baeko.de/support-und-kontakt/
📋
📂Zentralregulierer
Zentralregulierer/Rechnungsstellung, Zentraleinkauf
Adresse: Auf dem Hohenstein 2, 61231 Bad Nauheim
Telefon: +49 6032 805-0
E-Mail: kontakt@eurobaustoff.de
Website: https://www.eurobaustoff.com
Support: https://www.eurobaustoff.com/de/das-unternehmen/kontakt/
📋
AVV-Mustervorlage für ConnectWise, LLC anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ConnectWise, LLC
400 N Tampa St, Suite 130, Tampa, FL 33602, USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste Backup
  • Leistungs-/Kachelbeschreibung: ConnectWise SaaS Backup für Microsoft 365 (Exchange Online, SharePoint, Teams, OneDrive for Business)
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.connectwise.com/platform/backup-and-recovery/saas-backup
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://docs.connectwise.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft Ireland Operations Limited anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste Backup
  • Leistungs-/Kachelbeschreibung: Microsoft Azure Cloud Backup und Storage
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://azure.microsoft.com/de-de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://learn.microsoft.com/de-de/azure/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Veeam Software Group GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Veeam Software Group GmbH
Lindwurmstrasse 114, 80337 München, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste Backup
  • Leistungs-/Kachelbeschreibung: Veeam Backup for Microsoft 365 (Exchange Online, SharePoint, Teams, OneDrive for Business)
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.veeam.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://helpcenter.veeam.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft Azure anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft Azure
Walter-Gropius-Straße 5, 80807 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste IaaS
  • Leistungs-/Kachelbeschreibung: Server-Rechenzentrum Support/Betrieb und Azure Backup - Rückruf-Support bei Business-Plänen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 3176-0
  • E-Mail: [ergänzen]
  • Website: https://azure.microsoft.com/de-de/support/create-ticket
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://azure.microsoft.com/de-de/support/create-ticket

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste IaaS
  • Leistungs-/Kachelbeschreibung: Housing, Hosting, Rechenzentrum Support/Betrieb/Backup Platzhalter für IaaS-Drittanbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft 365 anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft 365
Walter-Gropius-Straße 5, 80807 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Dienste Microsoft online
  • Leistungs-/Kachelbeschreibung: Azure, Exchange Online, Microsoft 365, Teams, Onedrive, Sharepoint, Defender, Rückruf-Support bei Business-Plänen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 3176-0
  • E-Mail: [ergänzen]
  • Website: https://admin.microsoft.com/Adminportal/Home?culture=de-de#/support
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://admin.microsoft.com/Adminportal/Home?culture=de-de#/support

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Google Ireland Limited anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Künstliche Intelligenz
  • Leistungs-/Kachelbeschreibung: AI Orga-Regelung erforderlich - KI-Assistent Google Gemini
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://gemini.google.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.google.com/gemini

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft Ireland Operations Limited anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Künstliche Intelligenz
  • Leistungs-/Kachelbeschreibung: AI Orga-Regelung erforderlich - KI-Assistent Microsoft Copilot
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://copilot.microsoft.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.microsoft.com/copilot

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für OpenAI Ireland Ltd. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
OpenAI Ireland Ltd.
1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Künstliche Intelligenz
  • Leistungs-/Kachelbeschreibung: AI Orga-Regelung erforderlich - KI-Assistent ChatGPT
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://chatgpt.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://help.openai.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für GWS Münster anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
GWS Münster
Willy-Brandt-Weg 1, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Microsoft Unterstützung
  • Leistungs-/Kachelbeschreibung: M365, Exchange Online, Azure - Lizenzen, Vertrag, Managed Service; gevis ERP, s.dok ECM; Support über JIRA-Ticket-System
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7000-02
  • E-Mail: info@gws.ms
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws-group.atlassian.net/jira

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloud Microsoft Unterstützung
  • Leistungs-/Kachelbeschreibung: M365, Exchange Online, Azure - Platzhalter für eigenen Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Dropbox International Unlimited Company anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Dropbox International Unlimited Company
One Park Place, Floor 5, Hatch Street Upper, Dublin 2, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloudspeicher, Filesharing
  • Leistungs-/Kachelbeschreibung: Cloudspeicher und Filesharing
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.dropbox.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://help.dropbox.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Amazon Web Services EMEA SARL anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxemburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloudspeicher, Hosting
  • Leistungs-/Kachelbeschreibung: AWS Cloud- und Hosting-Dienste
  • Ansprechpartner: [ergänzen]
  • Telefon: +352 2789-0057
  • E-Mail: [ergänzen]
  • Website: https://aws.amazon.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://aws.amazon.com/de/contact-us/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Google Ireland Limited anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cloudspeicher, Onlinedienste
  • Leistungs-/Kachelbeschreibung: Google Workspace, Gmail, Google Cloud und SaaS-Dienste
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.google.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.google.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für CAS Software AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
CAS Software AG
CAS-Weg 1-5, 76131 Karlsruhe

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Customer Relationship Management
  • Leistungs-/Kachelbeschreibung: CAS Genesis World; betreut durch XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 721 9638-0
  • E-Mail: [ergänzen]
  • Website: https://www.cas.de/loesungen/crm-xrm/cas-genesisworld/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.cas.de/loesungen/crm-xrm/cas-genesisworld/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft Dynamics CRM Online anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft Dynamics CRM Online
Walter-Gropius-Straße 5, 80807 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Customer Relationship Management
  • Leistungs-/Kachelbeschreibung: SaaS Dienst
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 3176-0
  • E-Mail: [ergänzen]
  • Website: https://www.microsoft.com/de-de/dynamics-365/contact-us
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.microsoft.com/de-de/dynamics-365/contact-us

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für AXA Cyberversicherung anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
AXA Cyberversicherung
Colonia-Allee 10-20, 51067 Köln

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cyber-Versicherung
  • Leistungs-/Kachelbeschreibung: Meldestelle
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 2920333
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: +49 800 2920333
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für R+V Cyberversicherung anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
R+V Cyberversicherung
Raiffeisenplatz 1, 65189 Wiesbaden

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cyber-Versicherung
  • Leistungs-/Kachelbeschreibung: Schadenservice Firmenkunden
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 533-1205
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: +49 800 533-1205
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Cyber-Versicherung
  • Leistungs-/Kachelbeschreibung: Platzhalter für Cyberversicherung
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Extern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Extern
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Datenschutzbeauftragter
  • Leistungs-/Kachelbeschreibung: Name, Firma, Webseite, E-Mail, Telefon ergänzen
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Intern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Intern
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Datenschutzbeauftragter
  • Leistungs-/Kachelbeschreibung: Name und E-Mail ergänzen
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für PrintNode Ltd. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
PrintNode Ltd.
2 Manor Farm Court, Old Wolverton Road, Old Wolverton, MK12 5NN Milton Keynes, Buckinghamshire, England

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckdienstleister (nur SaaS)
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: support@printnode.com
  • Website: https://printnode.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.printnode.com/en/contact

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Konica Minolta Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Konica Minolta Deutschland GmbH
Europaallee 17, 30855 Langenhagen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckerleasing/Druckerwartung
  • Leistungs-/Kachelbeschreibung: Support für bizhub & Accurio Multifunktions- & Produktions-Systeme
  • Ansprechpartner: [ergänzen]
  • Telefon: 0800 2494-820
  • E-Mail: service@konicaminolta.de
  • Website: https://www.konicaminolta.de
  • Störungshotline: 0800 2494-820
  • Support-Weblink: https://www.konicaminolta.de/de-de/support

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für KYOCERA Document Solutions Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
KYOCERA Document Solutions Deutschland GmbH
Otto-Hahn-Straße 12, 40670 Meerbusch

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckerleasing/Druckerwartung
  • Leistungs-/Kachelbeschreibung: Druckerleasing, Multifunktionssysteme und Wartung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2159 918-0
  • E-Mail: info@kyocera.de
  • Website: https://www.kyoceradocumentsolutions.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.kyoceradocumentsolutions.de/de/support-services/contact.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ricoh Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ricoh Deutschland GmbH
Vahrenwalder Straße 315, 30179 Hannover

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckerleasing/Druckerwartung
  • Leistungs-/Kachelbeschreibung: Druckerleasing, Multifunktionssysteme und Managed Print Services
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 6742-0
  • E-Mail: info@ricoh.de
  • Website: https://www.ricoh.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ricoh.de/support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Triumph-Adler anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Triumph-Adler
Südwestpark 23, 90449 Nürnberg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckerleasing/Druckerwartung
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 911 6898-0
  • E-Mail: info@triumph-adler.net
  • Website: https://www.triumph-adler.com/ta-de-de/kundendienst
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.triumph-adler.com/ta-de-de/kundendienst

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Druckerleasing/Druckerwartung
  • Leistungs-/Kachelbeschreibung: Platzhalter für Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für MailStore Software GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
MailStore Software GmbH
Cloerather Straße 1-3, 41748 Viersen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: E-Mail Archivierung
  • Leistungs-/Kachelbeschreibung: E-Mail-Archivierung und Compliance
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2162 50299-0
  • E-Mail: info@mailstore.com
  • Website: https://www.mailstore.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.mailstore.com/de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Hornetsecurity GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Hornetsecurity GmbH
Am Listholze 78, 30177 Hannover

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: E-Mail Security
  • Leistungs-/Kachelbeschreibung: Spamfilter, Mailsecurity und Backup
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 515464-0
  • E-Mail: info@hornetsecurity.com
  • Website: https://www.hornetsecurity.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.hornetsecurity.com/de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DocuSign Germany GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DocuSign Germany GmbH
Neue Mainzer Straße 75, 60311 Frankfurt am Main

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: E-Signatur
  • Leistungs-/Kachelbeschreibung: Digitale Signaturen und Vertragsmanagement
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 69 945159-0
  • E-Mail: support@docusign.com
  • Website: https://www.docusign.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.docusign.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für ESET Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ESET Deutschland GmbH
Spitzweidenweg 32, 07743 Jena

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Endpoint Security / Antivirus
  • Leistungs-/Kachelbeschreibung: Endpoint Security und Antivirus
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 3641 3114-200
  • E-Mail: info@eset.de
  • Website: https://www.eset.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.eset.com/de/about/contact/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Sophos Technology GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Sophos Technology GmbH
Gustav-Stresemann-Ring 1, 65189 Wiesbaden

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Endpoint Security / Antivirus
  • Leistungs-/Kachelbeschreibung: Endpoint Security, Firewall und MDR
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 611 5858-0
  • E-Mail: sales@sophos.de
  • Website: https://www.sophos.com/de-de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.sophos.com/de-de/company/contact

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Sophos Technology GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Sophos Technology GmbH
Gustav-Stresemann-Ring 1, 65189 Wiesbaden

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Endpoint Security / Antivirus
  • Leistungs-/Kachelbeschreibung: Endpoint Security, Firewall, MDR und Antivirus
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 611 5858-0
  • E-Mail: sales@sophos.de
  • Website: https://www.sophos.com/de-de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.sophos.com/de-de/company/contact

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Brandt und Singleton GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Brandt und Singleton GmbH
Dohrener Weg 7, 21555 Tostedt

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP Auswertungen
  • Leistungs-/Kachelbeschreibung: Support für Jetreports
  • Ansprechpartner: Herr Brandt
  • Telefon: +49 4182 2389920
  • E-Mail: js@brandt-singleton.de
  • Website: https://brandt-singleton.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://brandt-singleton.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für cp/Corporate Planning AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
cp/Corporate Planning AG
Große Elbstraße 27, 22767 Hamburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP Auswertungen
  • Leistungs-/Kachelbeschreibung: Corporate Planner
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 40 431333-0
  • E-Mail: info@corporate-planning.com
  • Website: https://corporate-planning.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://corporate-planning.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für GENO digital anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
GENO digital
Schützenstraße 19, 48143 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP Auswertungen
  • Leistungs-/Kachelbeschreibung: GenoBI; Lorenz Schmidt
  • Ansprechpartner: Lorenz Schmidt
  • Telefon: 0160 91014470
  • E-Mail: support@geno-digital.de
  • Website: https://geno-bi.de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://geno-bi.de/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Insightsoftware / BDO anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Insightsoftware / BDO
Havneholmen 29, DK-1561 Kopenhavn V

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP Auswertungen
  • Leistungs-/Kachelbeschreibung: Jetreports; Support über Herrn Brandt, Brandt und Singleton GmbH
  • Ansprechpartner: Herr Brandt
  • Telefon: [ergänzen]
  • E-Mail: arremit@insightsoftware.com
  • Website: https://insightsoftware.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://insightsoftware.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Microsoft Power BI anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Microsoft Power BI
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP Auswertungen
  • Leistungs-/Kachelbeschreibung: Business Intelligence / Reporting / Dashboards
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 8088014
  • E-Mail: [ergänzen]
  • Website: https://www.microsoft.com/de-de/power-platform/products/power-bi
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.microsoft.com/de-de/power-platform/products/power-bi

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Companial anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Companial
Landsberger Straße 300, 80687 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP SaaS-Lösung
  • Leistungs-/Kachelbeschreibung: Microsoft Dynamics 365 Business Central SaaS / CSP / ERP-Hosting und Beratung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 9982966-0
  • E-Mail: info@companial.com
  • Website: https://companial.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://companial.com/de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für GWS Münster anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
GWS Münster
Willy-Brandt-Weg 1, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP WWS/DMS Archiv
  • Leistungs-/Kachelbeschreibung: gevis ERP, s.dok ECM; Support über JIRA-Ticket-System
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7000-02
  • E-Mail: info@gws.ms
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws-group.atlassian.net/jira

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP WWS/DMS Archiv
  • Leistungs-/Kachelbeschreibung: Platzhalter für eigenen Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Diacom Isernhagen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Diacom Isernhagen
Jathostraße 7, 30916 Isernhagen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: ERP/DMS Auswertungen
  • Leistungs-/Kachelbeschreibung: Bi1; Support über JIRA-Ticket-System
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7000-02
  • E-Mail: [ergänzen]
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws-group.atlassian.net/jira

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für AnyDesk Software GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
AnyDesk Software GmbH
Türlenstraße 2, 70191 Stuttgart

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Fernwartung Remote Support
  • Leistungs-/Kachelbeschreibung: Remote Support und Fernwartung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 711 18427000
  • E-Mail: info@anydesk.com
  • Website: https://anydesk.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://anydesk.com/de/contact

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für BeyondTrust anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
BeyondTrust
Lindleystraße 8A, 60314 Frankfurt am Main

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Fernwartung Remote Support
  • Leistungs-/Kachelbeschreibung: Gemanagt über die GWS
  • Ansprechpartner: GWS
  • Telefon: +49 69 5060 189060
  • E-Mail: [ergänzen]
  • Website: https://www.beyondtrust.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.beyondtrust.com/de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für pcvisit Software AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
pcvisit Software AG
Manfred-von-Ardenne-Ring 20, 01099 Dresden

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Fernwartung Remote Support
  • Leistungs-/Kachelbeschreibung: Remote Support
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 351 89698330
  • E-Mail: kontakt@pcvisit.de
  • Website: https://www.pcvisit.de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.pcvisit.de/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für TeamViewer Germany GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
TeamViewer Germany GmbH
Bahnhofsplatz 2, 73033 Göppingen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Fernwartung Remote Support
  • Leistungs-/Kachelbeschreibung: Remote Support durch Syskos inhouse oder Dienstleister
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 7161 60692 50
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: +49 7161 60692 50
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für 1&1 IONOS SE anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
1&1 IONOS SE
Elgendorfer Straße 57, 56410 Montabaur

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: Webseiten, Zertifikat, Kundenlogin
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 721 1705522
  • E-Mail: info@ionos.de
  • Website: https://ionos.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://login.ionos.de/?redirect_url=https%3A%2F%2Fmein.ionos.de%2Fproduct-overview

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Congstar anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Congstar
Weinsbergstraße 70, 50823 Köln

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: 24x7 Servicehotline
  • Ansprechpartner: [ergänzen]
  • Telefon: 0221 79 700 700
  • E-Mail: impressum@congstar.de
  • Website: [ergänzen]
  • Störungshotline: 0221 79 700 700
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Deutsche Telekom anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Deutsche Telekom
Friedrich-Ebert-Allee 140, 53113 Bonn

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: 24x7 Servicehotline
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: geschaeftskundenservice@telekom.de
  • Website: [ergänzen]
  • Störungshotline: 0800 33 02202
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Freenet anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Freenet
Hollerstraße 126, 24782 Büdelsdorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: 24x7 Servicehotline
  • Ansprechpartner: [ergänzen]
  • Telefon: 040 348 584 455
  • E-Mail: info@freenet-mobilfunk.de
  • Website: [ergänzen]
  • Störungshotline: 040 348 584 455
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für O2 Telefónica Germany anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
O2 Telefónica Germany
Georg-Brauchle-Ring 23-25, 80992 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: 24x7 Servicehotline
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: business-service@o2.com
  • Website: [ergänzen]
  • Störungshotline: 0800 33 03000
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Vodafone anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Vodafone
Ferdinand-Braun-Platz 1, 40549 Düsseldorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Festnetz-/Mobiltelefonie
  • Leistungs-/Kachelbeschreibung: 24x7 Servicehotline
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: business-service@vodafone.com
  • Website: [ergänzen]
  • Störungshotline: 0800 172 1234
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Fortinet GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Fortinet GmbH
Platz der Einheit 2, 60327 Frankfurt am Main

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls
  • Leistungs-/Kachelbeschreibung: FortiGate Firewalls, VPN und Security Services
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 69 509566-0
  • E-Mail: emeasupport@fortinet.com
  • Website: https://www.fortinet.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.fortinet.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NetGo GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NetGo GmbH
Weseler Straße 9, 46325 Borken

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls
  • Leistungs-/Kachelbeschreibung: Standortvernetzung, Zugriff VPN, Managed und Reporting
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2861 80847 300
  • E-Mail: service@netgo.de
  • Website: https://netgo.de
  • Störungshotline: +49 2861 80847 300
  • Support-Weblink: https://netgo.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für SonicWall GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
SonicWall GmbH
Rosental 7, 80331 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls
  • Leistungs-/Kachelbeschreibung: Firewall, VPN und Netzwerk-Sicherheitslösungen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 9546752-0
  • E-Mail: sales@sonicwall.com
  • Website: https://www.sonicwall.com/de-de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.sonicwall.com/de-de/support

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für WatchGuard Technologies GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
WatchGuard Technologies GmbH
Aidenbachstraße 54, 81379 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls
  • Leistungs-/Kachelbeschreibung: Firewall, VPN, Endpoint Security und Netzwerk-Sicherheit
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 638930-0
  • E-Mail: info@watchguard.com
  • Website: https://www.watchguard.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.watchguard.com/de/wgrd-support/overview

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls
  • Leistungs-/Kachelbeschreibung: Standortvernetzung, Zugriff VPN, Managed und Reporting
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NetGo GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NetGo GmbH
Weseler Straße 9, 46325 Borken

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Firewalls/vpn
  • Leistungs-/Kachelbeschreibung: GWS-Blackbox Managed VPN Access nur bei Fremdfirewalls
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 0060 110
  • E-Mail: service@netgo.de
  • Website: https://netgo.de
  • Störungshotline: +49 2861 80847 300
  • Support-Weblink: https://netgo.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Deutsche Telekom anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Deutsche Telekom
Friedrich-Ebert-Allee 140, 53113 Bonn

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: geschaeftskundenservice@telekom.de
  • Website: [ergänzen]
  • Störungshotline: 0800 33 02202
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ecotel Communications AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ecotel Communications AG
Prinzenallee 11, 40549 Düsseldorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 211 550070
  • E-Mail: info@ecotel.de
  • Website: https://www.ecotel.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ecotel.de/service-hilfe/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für EWE Aktiengesellschaft anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
EWE Aktiengesellschaft
Tirpitzstraße 39, 26122 Oldenburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 8879000
  • E-Mail: technischerservice@ewe.de
  • Website: https://www.ewe.de
  • Störungshotline: +49 800 8879000
  • Support-Weblink: https://www.ewe.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Starlink Business anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Starlink Business
1 Rocket Road, Hawthorne, CA 90250 USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: Satelliten-Internet / Backup-Leitung
  • Ansprechpartner: [ergänzen]
  • Telefon: +1 888 358-8588
  • E-Mail: [ergänzen]
  • Website: https://www.starlink.com/business
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.starlink.com/support/tickets

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Vodafone anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Vodafone
Ferdinand-Braun-Platz 1, 40549 Düsseldorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: business-service@vodafone.com
  • Website: [ergänzen]
  • Störungshotline: 0800 172 1234
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-/Backup-Leitungen
  • Leistungs-/Kachelbeschreibung: Platzhalter für eigenen Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Agentur
  • Leistungs-/Kachelbeschreibung: und Webseitengestaltung nicht SaaS - Platzhalter für Agentur
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für ALL-INKL.COM - Neue Medien Münnich anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ALL-INKL.COM - Neue Medien Münnich
Hauptstraße 68, 02742 Friedersdorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webhosting, Domains, SSL-Zertifikate und Mailserver
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 35872 353-10
  • E-Mail: support@all-inkl.com
  • Website: https://all-inkl.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://all-inkl.com/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Host Europe GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Host Europe GmbH
c/o WeWork Wallarkaden, Pilgrimstraße 6, 50674 Köln

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webhosting, Domains, Mailhosting und SSL-Zertifikate
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 221 99999-301
  • E-Mail: support@hosteurope.de
  • Website: https://www.hosteurope.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.hosteurope.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für IONOS SE anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
IONOS SE
Elgendorfer Straße 57, 56410 Montabaur

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webseiten, Zertifikat, Kundenlogin
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 721 1705522
  • E-Mail: info@ionos.de
  • Website: https://ionos.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://login.ionos.de/?redirect_url=https%3A%2F%2Fmein.ionos.de%2Fproduct-overview

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Raiffeisen-NetWorld GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Raiffeisen-NetWorld GmbH
Fürstendiek 6, 48291 Telgte

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webseiten, Zertifikat ehem. Raiffeisen.com, land24.de, Ackerprofi/Acker24, Energiethemen
  • Ansprechpartner: [ergänzen]
  • Telefon: 02504 88865 0
  • E-Mail: info@r-nw.de
  • Website: https://www.raiffeisen-networld.de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.raiffeisen-networld.de/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für STRATO AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
STRATO AG
Otto-Ostrowski-Straße 7, 10249 Berlin

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webhosting, Domains, SSL-Zertifikate und Kundenlogin
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 30 3001460-0
  • E-Mail: support@strato.de
  • Website: https://www.strato.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.strato.de/apps/CustomerService#/skl

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für united-domains AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
united-domains AG
Gautinger Straße 10, 82319 Starnberg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Provider
  • Leistungs-/Kachelbeschreibung: Webseiten, Zertifikat
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 8151 368670
  • E-Mail: support@united-domains.de
  • Website: https://united-domains.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://united-domains.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für LetsEncrypt Win-ACME anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
LetsEncrypt Win-ACME
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Zertifikat
  • Leistungs-/Kachelbeschreibung: Webseiten, Zertifikat für gevis und s.dok - per Powershell Script
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.win-acme.com/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.win-acme.com/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Managed SSL Zertifikat der GWS anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Managed SSL Zertifikat der GWS
Willy-Brandt-Weg 1, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Internet-Zertifikat
  • Leistungs-/Kachelbeschreibung: Zertifikat für gevis und s.dok - Kontaktdaten der GWS siehe oben
  • Ansprechpartner: GWS
  • Telefon: +49 251 7000-02
  • E-Mail: info@gws.ms
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws.ms

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für COMBASE AG / korona POS anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
COMBASE AG / korona POS
Benzstraße 11, 14482 Potsdam

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Kassensysteme
  • Leistungs-/Kachelbeschreibung: Cloudbasiertes Kassensystem korona POS
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 331 231890-0
  • E-Mail: info@koronapos.com
  • Website: https://koronapos.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://koronapos.com/de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Kassen-, Transaktions-, Zahlungs-, Bestell- und Fiskalisierungsdaten zur Verkaufsabwicklung, Nachweisführung, Abrechnung und Systembetreuung.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Kassen-, Transaktions-, Zahlungs-, Bon-, Kundenkonto-, Bestell- und Fiskalisierungsdaten konkret benennen.
  • TSE-/Fiskalprozesse, Export, Aufbewahrung, Storno-/Korrekturprozesse und Supportzugriffe dokumentieren.
  • Schnittstellen zu Warenwirtschaft, Payment, Buchhaltung und Kundenbindungsprogrammen prüfen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für fiskaly GmbH / fiskaltrust consulting gmbh anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
fiskaly GmbH / fiskaltrust consulting gmbh
Mariahilfer Straße 36, 1070 Wien, Österreich

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Kassensysteme/Fiskaltrust
  • Leistungs-/Kachelbeschreibung: TSE-, Fiskalisierungs- und Kassen-Compliance-Dienste
  • Ansprechpartner: [ergänzen]
  • Telefon: +43 1 9972810
  • E-Mail: support@fiskaltrust.de
  • Website: https://fiskaltrust.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://fiskaltrust.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Kassen-, Transaktions-, Zahlungs-, Bestell- und Fiskalisierungsdaten zur Verkaufsabwicklung, Nachweisführung, Abrechnung und Systembetreuung.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Kassen-, Transaktions-, Zahlungs-, Bon-, Kundenkonto-, Bestell- und Fiskalisierungsdaten konkret benennen.
  • TSE-/Fiskalprozesse, Export, Aufbewahrung, Storno-/Korrekturprozesse und Supportzugriffe dokumentieren.
  • Schnittstellen zu Warenwirtschaft, Payment, Buchhaltung und Kundenbindungsprogrammen prüfen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Deutsche Post E-Postbox anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Deutsche Post E-Postbox
Fritz-Erler-Straße 4, 53113 Bonn

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Kuvertierung (E-Postbox/Docuguide)
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 228 4333 112
  • E-Mail: [ergänzen]
  • Website: https://www.deutschepost.de/de/e/epost/geschaeftskunden/epost-business-box.html
  • Störungshotline: +49 228 4333 112
  • Support-Weblink: https://www.deutschepost.de/de/e/epost/geschaeftskunden/epost-business-box.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für proLogistik GmbH + Co KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
proLogistik GmbH + Co KG
Fallgatter 1, 44369 Dortmund

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lagerlogistik
  • Leistungs-/Kachelbeschreibung: Hotline Mo-Fr 08:30-16:30 Uhr
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 231 5194-0
  • E-Mail: support@prologistik.de
  • Website: https://prologistik.de
  • Störungshotline: +49 231 5194-6850
  • Support-Weblink: https://prologistik.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DAKO GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DAKO GmbH
Brüsseler Str. 22, 07747 Jena

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: LKW-Fahrerkarten/Tachoarchiv
  • Leistungs-/Kachelbeschreibung: On-Board Unit auf LKW überträgt Daten
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 3641 22778 0
  • E-Mail: info@dako.de
  • Website: https://www.dako.de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.dako.de/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für ZF Friedrichshafen AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ZF Friedrichshafen AG
Löwentaler Straße 20, 88046 Friedrichshafen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: LKW-Fahrerkarten/Tachoarchiv
  • Leistungs-/Kachelbeschreibung: Transics; Hauptverwaltung / ZF Forum
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 7541 77-0
  • E-Mail: postoffice@zf.com
  • Website: https://www.zf.com/products/de/cv/fleet/fms_for_cargo/fms_for_cargo_transics.html
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.zf.com/products/de/cv/fleet/fms_for_cargo/fms_for_cargo_transics.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für ais alfaplan GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ais alfaplan GmbH
Söflinger Straße 100, 89077 Ulm

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: LKW-Telematik
  • Leistungs-/Kachelbeschreibung: Prologistik-Tochter
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 731 9340960
  • E-Mail: [ergänzen]
  • Website: https://www.ais-alfaplan.de/de
  • Störungshotline: +49 731 9340960
  • Support-Weblink: https://www.ais-alfaplan.de/de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für LIS Logistische Informationssysteme GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
LIS Logistische Informationssysteme GmbH
Hansaring 27, 48268 Greven

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: LKW-Telematik
  • Leistungs-/Kachelbeschreibung: LIS Winsped
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2571 92901
  • E-Mail: info@lis.eu
  • Website: https://www.lis.eu/speditionssoftware/winsped/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.lis.eu/speditionssoftware/winsped/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für YellowFox GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
YellowFox GmbH
Am Wüsteberg 3, 01723 Wilsdruff OT Kesselsdorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: LKW-Telematik
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: Dr. Dominic Schmiedl
  • Telefon: +49 (0) 35204 753-100
  • E-Mail: info@yellowfox.de
  • Website: https://www.yellowfox.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.yellowfox.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Cerro EDV-Systemhaus GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Cerro EDV-Systemhaus GmbH
Schmalbachstr. 16, 38112 Braunschweig

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lohn/Steuern
  • Leistungs-/Kachelbeschreibung: Sage HR
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 531 313990
  • E-Mail: info@cerro-edv.de
  • Website: https://cerro-edv.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://cerro-edv.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DATEV eG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DATEV eG
Paumgartnerstraße 6-14, 90429 Nürnberg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lohn/Steuern
  • Leistungs-/Kachelbeschreibung: DATEV Rechenzentrum und Softwarelösungen für Steuerberater, Wirtschaftsprüfer und Unternehmen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 911 319-0
  • E-Mail: service@datev.de
  • Website: https://www.datev.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.datev.de/web/de/service-und-support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Dynamics 4U anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Dynamics 4U
Pilsener Straße 9, 86199 Augsburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lohn/Steuern
  • Leistungs-/Kachelbeschreibung: selbst gehostet
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 821 242953-00
  • E-Mail: info@dynamics4u.eu
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für PERAS GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
PERAS GmbH
Dieselstraße 5, 76227 Karlsruhe

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lohn/Steuern
  • Leistungs-/Kachelbeschreibung: Personaldienstleister der Atruvia
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 721 627378-0
  • E-Mail: support@peras.de
  • Website: https://peras.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://peras.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Steuerberater XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Steuerberater XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Lohn/Steuern Steuerberater
  • Leistungs-/Kachelbeschreibung: hier den Steuerberater eintragen, DATEV wird nur mittelbar genutzt
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für GWS Münster anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
GWS Münster
Willy-Brandt-Weg 1, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Managed IT-Betrieb
  • Leistungs-/Kachelbeschreibung: Managed Care Packages, Antivirus oder Managed Services; Support über JIRA-Ticket-System
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7000-02
  • E-Mail: info@gws.ms
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws-group.atlassian.net/jira

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Managed IT-Betrieb
  • Leistungs-/Kachelbeschreibung: Platzhalter für eigenen Anbieter, der Antivirus, Windows Updates, Monitoring macht
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Apple Distribution International Ltd. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Apple Distribution International Ltd.
Hollyhill Industrial Estate, Hollyhill, Cork, Republic of Ireland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Mobile Device Management
  • Leistungs-/Kachelbeschreibung: Apple Business Manager - Zuständig: Apple Sales Hannover
  • Ansprechpartner: Apple Sales Hannover
  • Telefon: [ergänzen]
  • E-Mail: contactus.de@euro.apple.com
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Mobile Device Management
  • Leistungs-/Kachelbeschreibung: Platzhalter für eigenen Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für GWS anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
GWS
Willy-Brandt-Weg 1, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Monitoring
  • Leistungs-/Kachelbeschreibung: Operative Dienstleistungen mit PRTG oder Microsoft Onlinediensten
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7000-02
  • E-Mail: info@gws.ms
  • Website: https://gws.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://gws.ms

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Paessler GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Paessler GmbH
Thurn-und-Taxis-Str. 14, 90411 Nürnberg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Monitoring
  • Leistungs-/Kachelbeschreibung: PRTG Monitoring
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 911 93775-0
  • E-Mail: info@paessler.com
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Cisco Meraki anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Cisco Meraki
500 Terry A Francois Blvd, San Francisco, CA 94158 USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Netzwerk / WLAN / Security
  • Leistungs-/Kachelbeschreibung: Cloud-Managed Netzwerk, WLAN, Switches, Firewalls und MDM
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://meraki.cisco.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://meraki.cisco.com/support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ubiquiti Inc. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ubiquiti Inc.
685 Third Avenue, 27th Floor, New York, NY 10017 USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Netzwerk / WLAN / Security
  • Leistungs-/Kachelbeschreibung: UniFi Netzwerk-, WLAN-, Kamera- und Security-Lösungen
  • Ansprechpartner: [ergänzen]
  • Telefon: +1 646 780 7958
  • E-Mail: support@ui.com
  • Website: https://ui.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://help.ui.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Technische Schutz-, Überwachungs-, Fernwartungs-, Administrations- und Sicherheitsleistungen zur Erkennung, Abwehr, Analyse und Dokumentation von IT-Sicherheitsereignissen.

Typische Verarbeitungsschritte:

  • Erfassung und Analyse von Log-, Geräte-, Netzwerk- und Sicherheitsdaten
  • Erkennung, Bewertung und Meldung von Sicherheitsereignissen
  • Fernzugriff, Konfigurationsänderung oder Störungsbehebung nach Weisung
  • Protokollierung privilegierter Zugriffe und Maßnahmen

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Logquellen, IP-Adressen, Gerätekennungen, Benutzerkennungen, Alarmdaten und Sicherheitsereignisse konkret aufführen.
  • Privilegierte Zugriffe, Fernwartung, Session-Aufzeichnung, MFA, Freigabeprozess und Notfallzugriffe regeln.
  • Alarmierungs-, Eskalations-, Incident-Response- und Meldewege mit Fristen und Ansprechpartnern dokumentieren.
  • Aufbewahrung, Auswertung und Weitergabe von Logs sowie Zugriff durch SOC/MDR-Analysten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • IP-Adressen, Gerätekennungen und Logdaten
  • Sicherheitsereignisse und Alarmdaten
  • Benutzer-, Rollen- und Zugriffsdaten

Mögliche betroffene Personen: Nutzer, Administratoren, Beschäftigte, externe Supportpersonen, Systemverantwortliche und Kommunikationspartner, soweit in Logs oder Ereignissen enthalten.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für IT-Sicherheits-, Monitoring- und Fernwartungsdienste sind Protokolldaten, IP-Adressen, Gerätekennungen, Sicherheitsereignisse, privilegierte Zugriffe, Fernzugriffe, Alarmwege und Aufbewahrungsfristen zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Brandmeldeanlage
  • Leistungs-/Kachelbeschreibung: Wartungsanbieter - Platzhalter für Notfallplan
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Godesberger Allee 185-189, 53175 Bonn, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP BSI Meldepflicht
  • Leistungs-/Kachelbeschreibung: NIS-2 Meldeportal / KRITIS-Meldestelle
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://mip2.bsi.bund.de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.bsi.bund.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Bundeskriminalamt anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Bundeskriminalamt
Thaerstraße 11, 65193 Wiesbaden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Bundesbehörde Cybercrime
  • Leistungs-/Kachelbeschreibung: Zentrale Ansprechstelle Cybercrime
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.bka.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.bka.de/DE/KontaktAufnehmen/kontaktaufnehmen_node.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Bayerisches Landesamt für Datenschutzaufsicht anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Bayerisches Landesamt für Datenschutzaufsicht
Wagmüllerstraße 18, 80538 München, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Bayern
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 212672-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz-bayern.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@datenschutz-bayern.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Berliner Beauftragte für Datenschutz und Informationsfreiheit anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Berlin
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 30 13889-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz-berlin.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:mailbox@datenschutz-berlin.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 20459 Hamburg, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Hamburg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 40 42854-4040
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz-hamburg.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:mailbox@datenschutz-hamburg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Der Hessische Beauftragte für Datenschutz und Informationsfreiheit anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Hessen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 611 1408-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.hessen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@datenschutz.hessen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Schloss Schwerin, Lennéstraße 1, 19053 Schwerin, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Mecklenburg-Vorpommern
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 385 59494-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz-mv.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:info@datenschutz-mv.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Rheinland-Pfalz
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 6131 208-2449
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.rlp.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@datenschutz.rlp.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen
Arndtstraße 1, 27570 Bremerhaven, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Bremen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 421 361-2010
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.bremen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:office@datenschutz.bremen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Die Landesbeauftragte für den Datenschutz Niedersachsen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Niedersachsen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 120-4500
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.niedersachsen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@lfd.niedersachsen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Nordrhein-Westfalen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 211 38424-0
  • E-Mail: [ergänzen]
  • Website: https://www.ldi.nrw.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@ldi.nrw.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Baden-Württemberg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 711 615541-0
  • E-Mail: [ergänzen]
  • Website: https://www.baden-wuerttemberg.datenschutz.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@lfdi.baden-wuerttemberg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77, 14532 Kleinmachnow, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Brandenburg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 33203 356-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.brandenburg.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@lda.brandenburg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Landesbeauftragter für den Datenschutz Sachsen-Anhalt anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Leiterstraße 9, 39104 Magdeburg, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Sachsen-Anhalt
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 391 81803-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.sachsen-anhalt.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@lfd.sachsen-anhalt.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Sächsischer Datenschutz- und Transparenzbeauftragter anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 1, 01067 Dresden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Sachsen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 351 85471-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.sachsen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:saechsdsb@datenschutz.sachsen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Häßlerstraße 8, 99096 Erfurt, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Thüringen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 361 573112900
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.thueringen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@datenschutz.thueringen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Unabhängiges Datenschutzzentrum Saarland anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12, 66111 Saarbrücken, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Saarland
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 681 94781-0
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutz.saarland.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@datenschutz.saarland.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Datenschutzbehörde
  • Leistungs-/Kachelbeschreibung: Datenschutzbehörde Schleswig-Holstein
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 431 988-1200
  • E-Mail: [ergänzen]
  • Website: https://www.datenschutzzentrum.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:mail@datenschutzzentrum.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Einbruchmelde-Anlage Wartung
  • Leistungs-/Kachelbeschreibung: Platzhalter für Notfallplan
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Elektriker
  • Leistungs-/Kachelbeschreibung: Haustechnik und Netzwerk-Verkabelung für Notfallplan
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Extern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Extern
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Facility Management
  • Leistungs-/Kachelbeschreibung: Hausmeister Name, Firma, Webseite, E-Mail, Telefon ergänzen
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Intern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Intern
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Facility Management
  • Leistungs-/Kachelbeschreibung: Hausmeister Name und E-Mail ergänzen
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Feuerwehr XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Feuerwehr XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Feuerwehr
  • Leistungs-/Kachelbeschreibung: Berufsfeuerwehr XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: 112
  • E-Mail: [ergänzen]
  • Website: https://www.duesseldorf.de/feuerwehr
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.duesseldorf.de/feuerwehr/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Notstrom-Generator
  • Leistungs-/Kachelbeschreibung: Wartung oder Bereitstellung z.B. Feuerwehr - Platzhalter für Notfallplan
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Photovoltaik-Anlagen
  • Leistungs-/Kachelbeschreibung: Platzhalter für Notfallplan
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Polizei XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Polizei XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Polizei
  • Leistungs-/Kachelbeschreibung: Polizeibehörde XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: 110
  • E-Mail: [ergänzen]
  • Website: https://polizei.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://polizei.de/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für BR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
BR
Rundfunkplatz 1, 80335 München, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Bayerischer Rundfunk Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 5900-01
  • E-Mail: [ergänzen]
  • Website: https://www.br.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.br.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für hr anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
hr
Bertramstraße 8, 60320 Frankfurt am Main, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Hessischer Rundfunk Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 69 155-0
  • E-Mail: [ergänzen]
  • Website: https://www.hr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.hr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für MDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
MDR
Wettiner Platz 1, 01067 Dresden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Mitteldeutscher Rundfunk Sachsen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 351 846-0
  • E-Mail: [ergänzen]
  • Website: https://www.mdr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.mdr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für MDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
MDR
Gerberstraße 2, 06108 Halle (Saale), Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Mitteldeutscher Rundfunk Sachsen-Anhalt
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 345 300-0
  • E-Mail: [ergänzen]
  • Website: https://www.mdr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.mdr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für MDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
MDR
Gothaer Straße 36, 99094 Erfurt, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Mitteldeutscher Rundfunk Thüringen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 361 218-0
  • E-Mail: [ergänzen]
  • Website: https://www.mdr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.mdr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NDR
Rothenbaumchaussee 132, 20149 Hamburg, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: NDR Hamburg Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 40 4156-0
  • E-Mail: [ergänzen]
  • Website: https://www.ndr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ndr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NDR
Richard-Wagner-Straße 8, 18055 Rostock, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: NDR Mecklenburg-Vorpommern Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 381 860-0
  • E-Mail: [ergänzen]
  • Website: https://www.ndr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ndr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NDR
Rudolf-von-Bennigsen-Ufer 22, 30169 Hannover, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: NDR Niedersachsen Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 988-0
  • E-Mail: [ergänzen]
  • Website: https://www.ndr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ndr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für NDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
NDR
Schlossgarten 3, 24103 Kiel, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: NDR Schleswig-Holstein Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 431 988-0
  • E-Mail: [ergänzen]
  • Website: https://www.ndr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ndr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Radio Bremen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Radio Bremen
Diepenau 10, 28195 Bremen, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Radio Bremen Regionalfernsehen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 421 246-0
  • E-Mail: [ergänzen]
  • Website: https://www.radiobremen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.radiobremen.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für rbb anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
rbb
Masurenallee 8-14, 14057 Berlin, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Rundfunk Berlin-Brandenburg Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 30 97993-0
  • E-Mail: [ergänzen]
  • Website: https://www.rbb-online.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.rbb-online.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für rbb anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
rbb
Marlene-Dietrich-Allee 20, 14482 Potsdam, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Rundfunk Berlin-Brandenburg Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 331 97993-0
  • E-Mail: [ergänzen]
  • Website: https://www.rbb-online.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.rbb-online.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für SR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
SR
Funkhaus Halberg, 66100 Saarbrücken, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Saarländischer Rundfunk Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 681 602-0
  • E-Mail: [ergänzen]
  • Website: https://www.sr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.sr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für SWR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
SWR
Neckarstraße 230, 70190 Stuttgart, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: SWR Baden-Württemberg Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 711 929-0
  • E-Mail: [ergänzen]
  • Website: https://www.swr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.swr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für SWR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
SWR
Am Fort Gonsenheim 139, 55122 Mainz, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: SWR Rheinland-Pfalz Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 6131 929-0
  • E-Mail: [ergänzen]
  • Website: https://www.swr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.swr.de/service/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für WDR anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
WDR
Appellhofplatz 1, 50667 Köln, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung TV
  • Leistungs-/Kachelbeschreibung: Westdeutscher Rundfunk Lokalredaktion
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 221 220-0
  • E-Mail: [ergänzen]
  • Website: https://www1.wdr.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www1.wdr.de/kontakt/index.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Zeitung XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Zeitung XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Pressemeldung Zeitung
  • Leistungs-/Kachelbeschreibung: Neus Presse Lokalredaktion XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: 112
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Stadtverwaltung XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Stadtverwaltung XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Rathaus / Ordnungsamt
  • Leistungs-/Kachelbeschreibung: Rathaus und Ordnungsamt XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.xxx.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.xxx.de/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Rechtsanwalt
  • Leistungs-/Kachelbeschreibung: generell oder Fachanwalt für IT/Datenschutzthemen - Intern oder extern ergänzen
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Bayerisches Staatsministerium für Umwelt und Verbraucherschutz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Bayerisches Staatsministerium für Umwelt und Verbraucherschutz
Rosenkavalierplatz 2, 81925 München, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Bayern
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 9214-0
  • E-Mail: [ergänzen]
  • Website: https://www.stmuv.bayern.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@stmuv.bayern.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Behörde für Umwelt, Klima, Energie und Agrarwirtschaft Hamburg anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Behörde für Umwelt, Klima, Energie und Agrarwirtschaft Hamburg
Neuenfelder Straße 19, 21109 Hamburg, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Hamburg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 40 42840-0
  • E-Mail: [ergänzen]
  • Website: https://www.hamburg.de/bukea
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@bukea.hamburg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Die Senatorin für Klimaschutz, Umwelt, Mobilität, Stadtentwicklung und Wohnungsbau Bremen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Die Senatorin für Klimaschutz, Umwelt, Mobilität, Stadtentwicklung und Wohnungsbau Bremen
Contrescarpe 72, 28195 Bremen, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Bremen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 421 361-0
  • E-Mail: [ergänzen]
  • Website: https://www.umwelt.bremen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:office@umwelt.bremen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Hessisches Ministerium für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Hessisches Ministerium für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz
Mainzer Straße 80, 65189 Wiesbaden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Hessen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 611 815-0
  • E-Mail: [ergänzen]
  • Website: https://umwelt.hessen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@umwelt.hessen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Energiewende, Klimaschutz, Umwelt und Natur Schleswig-Holstein anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Energiewende, Klimaschutz, Umwelt und Natur Schleswig-Holstein
Mercatorstraße 3, 24106 Kiel, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Schleswig-Holstein
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 431 988-0
  • E-Mail: [ergänzen]
  • Website: https://www.schleswig-holstein.de/umweltministerium
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@mekun.landsh.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Klimaschutz, Landwirtschaft, ländliche Räume und Umwelt Mecklenburg-Vorpommern anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Klimaschutz, Landwirtschaft, ländliche Räume und Umwelt Mecklenburg-Vorpommern
Paulshöher Weg 1, 19061 Schwerin, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Mecklenburg-Vorpommern
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 385 588-0
  • E-Mail: [ergänzen]
  • Website: https://www.regierung-mv.de/Landesregierung/lm
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@lm.mv-regierung.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Klimaschutz, Umwelt, Energie und Mobilität Rheinland-Pfalz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Klimaschutz, Umwelt, Energie und Mobilität Rheinland-Pfalz
Kaiser-Friedrich-Straße 1, 55116 Mainz, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Rheinland-Pfalz
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 6131 16-0
  • E-Mail: [ergänzen]
  • Website: https://mkuem.rlp.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@mkuem.rlp.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Landwirtschaft, Umwelt und Klimaschutz Brandenburg anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Landwirtschaft, Umwelt und Klimaschutz Brandenburg
Heinrich-Mann-Allee 103, 14473 Potsdam, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Brandenburg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 331 866-0
  • E-Mail: [ergänzen]
  • Website: https://mluk.brandenburg.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@mluk.brandenburg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Umwelt, Klima und Energiewirtschaft Baden-Württemberg anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Umwelt, Klima und Energiewirtschaft Baden-Württemberg
Kernerplatz 9, 70182 Stuttgart, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Baden-Württemberg
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 711 126-0
  • E-Mail: [ergänzen]
  • Website: https://um.baden-wuerttemberg.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@um.baden-wuerttemberg.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Umwelt, Klima, Mobilität, Agrar und Verbraucherschutz Saarland anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Umwelt, Klima, Mobilität, Agrar und Verbraucherschutz Saarland
Keplerstraße 18, 66117 Saarbrücken, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Saarland
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 681 501-0
  • E-Mail: [ergänzen]
  • Website: https://www.saarland.de/mukmav
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@umwelt.saarland.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Umwelt, Naturschutz und Verkehr des Landes Nordrhein-Westfalen anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Umwelt, Naturschutz und Verkehr des Landes Nordrhein-Westfalen
Schwannstraße 3, 40476 Düsseldorf, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Nordrhein-Westfalen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 211 4566-0
  • E-Mail: [ergänzen]
  • Website: https://www.umwelt.nrw.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@munv.nrw.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ministerium für Wissenschaft, Energie, Klimaschutz und Umwelt Sachsen-Anhalt anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ministerium für Wissenschaft, Energie, Klimaschutz und Umwelt Sachsen-Anhalt
Turmschanzenstraße 25, 39114 Magdeburg, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Sachsen-Anhalt
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 391 567-0
  • E-Mail: [ergänzen]
  • Website: https://mwu.sachsen-anhalt.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@mwu.sachsen-anhalt.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Niedersächsisches Ministerium für Umwelt, Energie und Klimaschutz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Niedersächsisches Ministerium für Umwelt, Energie und Klimaschutz
Archivstraße 2, 30169 Hannover, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Niedersachsen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 120-0
  • E-Mail: [ergänzen]
  • Website: https://www.umwelt.niedersachsen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@mu.niedersachsen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Sächsisches Staatsministerium für Energie, Klimaschutz, Umwelt und Landwirtschaft anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Sächsisches Staatsministerium für Energie, Klimaschutz, Umwelt und Landwirtschaft
Wilhelm-Buck-Straße 2, 01097 Dresden, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Sachsen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 351 564-0
  • E-Mail: [ergänzen]
  • Website: https://www.smekul.sachsen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@smekul.sachsen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Senatsverwaltung für Umwelt, Verkehr und Klimaschutz Berlin anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Senatsverwaltung für Umwelt, Verkehr und Klimaschutz Berlin
Brückenstraße 6, 10179 Berlin, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Berlin
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 30 9025-0
  • E-Mail: [ergänzen]
  • Website: https://www.berlin.de/sen/uvk
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@senuvk.berlin.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Thüringer Ministerium für Umwelt, Energie und Naturschutz anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Thüringer Ministerium für Umwelt, Energie und Naturschutz
Beethovenstraße 3, 99096 Erfurt, Deutschland

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: NFP Umweltschutzbehörde
  • Leistungs-/Kachelbeschreibung: Umweltschutzbehörde Thüringen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 361 57-0
  • E-Mail: [ergänzen]
  • Website: https://umwelt.thueringen.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: mailto:poststelle@tmuen.thueringen.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Veeam Software GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Veeam Software GmbH
Landsberger Straße 110, 80339 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: On-Prem: Backup/Disaster Recovery
  • Leistungs-/Kachelbeschreibung: Backup und Disaster Recovery
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 558918-0
  • E-Mail: germany@veeam.com
  • Website: https://www.veeam.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.veeam.com/de/company/contacts.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Sicherung, Wiederherstellung, Archivierung, technische Verwaltung und Aufbewahrung von Datenbeständen zur Verfügbarkeit, Nachvollziehbarkeit und Wiederanlaufplanung.

Typische Verarbeitungsschritte:

  • Kopieren und Speichern von Sicherungs- oder Archivdaten
  • Wiederherstellung, Export und Löschung nach Weisung
  • Überwachung von Backup-Jobs und Fehlerprotokollen
  • Verschlüsselung, Aufbewahrung und Zugriffsbeschränkung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Sicherungsumfang, Backup-Typen, Frequenz, Aufbewahrung, Restore-Ziele und Wiederherstellungszeiten festlegen.
  • Verschlüsselung, Schlüsselverwaltung, getrennte Speicherorte und Schutz vor unbefugter Wiederherstellung beschreiben.
  • Regelmäßige Restore-Tests, Protokollierung und Freigabeprozesse für Rücksicherungen dokumentieren.
  • Löschung aus Backups und Archiven einschließlich technischer Grenzen und Fristen festhalten.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Sicherungs- und Archivdaten
  • System-, Datei- und Datenbankinhalte
  • Wiederherstellungs- und Löschprotokolle

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Verschlüsselung, getrennte Speicherorte, Wiederherstellungstests, Löschfristen, Zugriff auf Sicherungen und Protokollierung der Wiederherstellung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Backup- und Archivdienste sind Umfang der Sicherungen, Speicherorte, Verschlüsselung, Wiederherstellungsprozesse, Aufbewahrungsfristen, Löschkonzept und Zugriffsbeschränkungen besonders zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ratiodata SE anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ratiodata SE
Gustav-Stresemann-Weg 29, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: On-Prem: IT-Dienstleister
  • Leistungs-/Kachelbeschreibung: Hardware, Server, PCs oder Perppherie
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 20830-0
  • E-Mail: info@ratiodata.de
  • Website: https://www.ratiodata.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ratiodata.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: On-Prem: IT-Dienstleister
  • Leistungs-/Kachelbeschreibung: Hardware, Server, PCs oder Perppherie - Platzhalter für eigenen Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Atruvia AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Atruvia AG
GAD-Straße 2-6, 48163 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Online-Banking
  • Leistungs-/Kachelbeschreibung: Produkt proficash - VR-Bank XXX; Hotline nur über die VR-Bank
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 7133-01
  • E-Mail: postfach@atruvia.de
  • Website: https://atruvia.de/serviceline
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://atruvia.de/serviceline

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für s.firm Sparkasse anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
s.firm Sparkasse
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Online-Banking
  • Leistungs-/Kachelbeschreibung: Produkt: s.firm - Sparkasse XXX
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Online-Banking
  • Leistungs-/Kachelbeschreibung: Platzhalter für Banking-Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DHL Geschäftskunden anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DHL Geschäftskunden
Charles-de-Gaulle-Straße 20, 53113 Bonn

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Paketversand
  • Leistungs-/Kachelbeschreibung: Paketversand, Geschäftskundenportal und Versandservices
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 228 4333112
  • E-Mail: geschaeftskunden@dhl.de
  • Website: https://www.dhl.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.dhl.de/de/geschaeftskunden.html

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DPD Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DPD Deutschland GmbH
Wailandtstraße 1, 63741 Aschaffenburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Paketversand
  • Leistungs-/Kachelbeschreibung: Paketversand und Geschäftskundenservices
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 6021 843-0
  • E-Mail: info@dpd.de
  • Website: https://www.dpd.com/de/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.dpd.com/de/de/support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Hermes Germany GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Hermes Germany GmbH
Essener Straße 89, 22419 Hamburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Paketversand
  • Leistungs-/Kachelbeschreibung: Paketversand und Geschäftskundenservices
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 40 537550
  • E-Mail: service@hermesworld.com
  • Website: https://www.myhermes.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.myhermes.de/service/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für UPS Deutschland S.à r.l. & Co. OHG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
UPS Deutschland S.à r.l. & Co. OHG
Görlitzer Straße 1, 41460 Neuss

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Paketversand
  • Leistungs-/Kachelbeschreibung: Paketversand und Logistikservices
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 180 6882663
  • E-Mail: [ergänzen]
  • Website: https://www.ups.com/de/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.ups.com/de/de/support/contact-us.page

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für 1Password anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
1Password
4711 Yonge Street, 10th Floor, Toronto, ON M2N 6K8 Kanada

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Passwortmanager
  • Leistungs-/Kachelbeschreibung: Passwortmanager und Secrets-Verwaltung
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: support@1password.com
  • Website: https://1password.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.1password.com/contact/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Verwaltung von Passwort-, Vault- oder Secret-Management-Funktionen einschließlich Nutzer-, Berechtigungs-, Audit- und Zugriffsdaten.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Vaults, Benutzer, Gruppen, Rollen, Freigaben, Notfallzugriffe und Auditprotokolle beschreiben.
  • Verschlüsselung, Schlüsselverwaltung, Recovery-Prozesse, MFA, Gerätebindung und Session-Sicherheit dokumentieren.
  • Umgang mit Secrets, Adminrechten, Exporten und Löschung ausgeschiedener Benutzer festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Benutzer-, Rollen- und Berechtigungsdaten
  • Audit-, Zugriffs- und Änderungsprotokolle
  • verschlüsselte Zugangsdaten oder Secrets, soweit im System gespeichert

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Bitwarden Inc. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Bitwarden Inc.
2443 Fillmore St #380-8702, San Francisco, CA 94115 USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Passwortmanager
  • Leistungs-/Kachelbeschreibung: Passwortmanager und Vault-Lösung
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: support@bitwarden.com
  • Website: https://bitwarden.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://bitwarden.com/contact/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Verwaltung von Passwort-, Vault- oder Secret-Management-Funktionen einschließlich Nutzer-, Berechtigungs-, Audit- und Zugriffsdaten.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Vaults, Benutzer, Gruppen, Rollen, Freigaben, Notfallzugriffe und Auditprotokolle beschreiben.
  • Verschlüsselung, Schlüsselverwaltung, Recovery-Prozesse, MFA, Gerätebindung und Session-Sicherheit dokumentieren.
  • Umgang mit Secrets, Adminrechten, Exporten und Löschung ausgeschiedener Benutzer festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Benutzer-, Rollen- und Berechtigungsdaten
  • Audit-, Zugriffs- und Änderungsprotokolle
  • verschlüsselte Zugangsdaten oder Secrets, soweit im System gespeichert

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für AGRAVIS Raiffeisen AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
AGRAVIS Raiffeisen AG
Industrieweg 110, 48155 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen agravis
  • Leistungs-/Kachelbeschreibung: Stammdaten, Schnittstelle Zentralgenossenschaft für Raiffeisen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 682-0
  • E-Mail: info@agravis.de
  • Website: https://agravis.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://agravis.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Raiffeisen-NetWorld GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Raiffeisen-NetWorld GmbH
Altenberger Str. 1A, 50668 Köln

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen AKORO Portal
  • Leistungs-/Kachelbeschreibung: AKORO-Portal
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: info@r-nw.de
  • Website: https://rnw.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://rnw.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für HANSMEIER STEUERUNGSTECHNIK GMBH & CO. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
HANSMEIER STEUERUNGSTECHNIK GMBH & CO. KG
Pilgerpatt 6, 33378 Rheda-Wiedenbrück

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen Hansmeier
  • Leistungs-/Kachelbeschreibung: Werkssteuerung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 5242 9041-0
  • E-Mail: mail@hansmeier.net
  • Website: https://hansmeier.net
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://hansmeier.net

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für HYBRIMIN Computer + Programme GmbH & Co. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
HYBRIMIN Computer + Programme GmbH & Co. KG
Adolf-Kolping-Str. 25, 31840 Hessisch Oldendorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen Hybrimin
  • Leistungs-/Kachelbeschreibung: Mischfutter Winfumi
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 5152 97361-00
  • E-Mail: info@HYBRIMIN.de
  • Website: https://HYBRIMIN.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://HYBRIMIN.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für VBF - Technik GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
VBF - Technik GmbH
Donnerschweer Str. 89/91, 26123 Oldenburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen RV4
  • Leistungs-/Kachelbeschreibung: Werkssteuerung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 441 950794-0
  • E-Mail: info@vbf-technik.de
  • Website: https://vbf-technik.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://vbf-technik.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Geno-Saaten GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Geno-Saaten GmbH
Everswinkeler Straße 80, 48291 Telgte

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Raiffeisen Saatgut/Agrarhandel
  • Leistungs-/Kachelbeschreibung: Saatgut, Agrarhandel und Warenwirtschaftsprozesse
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2504 8888-0
  • E-Mail: info@geno-saaten.de
  • Website: https://www.geno-saaten.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.geno-saaten.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Nutzung von KI-gestützten Assistenz-, Analyse-, Textgenerierungs- oder Automatisierungsfunktionen einschließlich Eingabe, Verarbeitung, Kontextbildung, Ausgabe und Protokollierung von Nutzerinhalten.

Typische Verarbeitungsschritte:

  • Entgegennahme von Prompts, Anhängen und Kontextdaten
  • Analyse, Generierung und Ausgabe von Antwortinhalten
  • Protokollierung von Nutzung, Fehlern und Sicherheitsereignissen
  • Mandanten-, Rollen- und Berechtigungsverwaltung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Festlegen, welche Eingaben, Anhänge, Prompts, Metadaten und Ausgaben verarbeitet werden dürfen.
  • Trainingsnutzung, Modellverbesserung, Logging, Aufbewahrung von Prompts und Opt-out-Konfiguration prüfen.
  • Regeln für vertrauliche Daten, besondere Kategorien personenbezogener Daten und Geschäftsgeheimnisse dokumentieren.
  • Mandantentrennung, Inhaltsfilter, Missbrauchserkennung, Human Review und Berechtigungskonzept beschreiben.
  • Prüfen, ob automatisierte Entscheidungen ausgeschlossen sind oder zusätzliche Freigabeprozesse erforderlich werden.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Eingabedaten, Prompts und Anhänge
  • Ausgabedaten und generierte Inhalte
  • Kontext-, Nutzungs- und Protokolldaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Trainingsnutzung/Opt-out, Prompt- und Ausgabenprotokolle, Inhaltsfilter, Zugriffskontrolle, Löschkonzept und Drittlandtransferprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für KI-Dienste sind insbesondere Eingaben, Anhänge, Prompts, Ausgaben, Protokolle, Modellnutzungsdaten, Mandantentrennung, Trainingsnutzung, Opt-out-Einstellungen, Löschkonzepte und Drittlandtransfers zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für DocuWare GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
DocuWare GmbH
Planegger Straße 1, 82110 Germering

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Scan / Dokumentenverarbeitung
  • Leistungs-/Kachelbeschreibung: Dokumentenmanagement und Workflow
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 894433-0
  • E-Mail: info@docuware.com
  • Website: https://start.docuware.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://start.docuware.com/de/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Druck-, Scan-, Kuvertier- oder Dokumentenverarbeitungsleistungen einschließlich Entgegennahme, Umwandlung, Ausgabe, Versand oder Bereitstellung von Dokumenten und Metadaten.

Typische Verarbeitungsschritte:

  • Entgegennahme, Aufbereitung und Ausgabe von Dokumenten
  • Scan, Konvertierung, Zuordnung und Weiterleitung von Dateien
  • Verarbeitung von Druck-, Versand- und Auftragsmetadaten
  • Support, Fehleranalyse und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Dokumentenarten, Inhaltsdaten, Empfänger, Absender, Versandkanäle und Zwischenspeicher konkret benennen.
  • Fehldrucke, Nachverarbeitung, Kuvertierung, Rückläufer, Löschung temporärer Dateien und Zugriff auf Druckjobs regeln.
  • Transport-, Versand-, Zustell- und Protokolldaten einschließlich Dienstleisterketten dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Dokumenten- und Inhaltsdaten
  • Druck-, Scan-, Versand- und Auftragsmetadaten
  • Empfänger-, Absender- und Zustelldaten soweit einschlägig

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Druck-, Scan- und Dokumentenverarbeitungsdienste sind Dokumenteninhalte, Empfänger, Versandwege, Zwischenspeicherung, Löschfristen, Zugriffsschutz und Fehler-/Nachverarbeitungsprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Aug. Winkhaus SE & Co. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Aug. Winkhaus SE & Co. KG
August-Winkhaus-Straße 31, 48291 Telgte

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Schließanlage
  • Leistungs-/Kachelbeschreibung: Schließanlagen und Zutrittskontrollsysteme
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2504 921-0
  • E-Mail: info@winkhaus.de
  • Website: https://winkhaus.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://winkhaus.de/de/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für dormakaba Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
dormakaba Deutschland GmbH
DORMA Platz 1, 58256 Ennepetal

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Schließanlage
  • Leistungs-/Kachelbeschreibung: Schließanlagen und Zutrittskontrollsysteme
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2333 793-0
  • E-Mail: info.de@dormakaba.com
  • Website: https://www.dormakaba.com/de-de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.dormakaba.com/de-de/kontakte-support

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Chefslist GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Chefslist GmbH
Fürstenbergstraße 156, 60322 Frankfurt am Main

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Shop-Lösung
  • Leistungs-/Kachelbeschreibung: Chefslist Shop-Lösung
  • Ansprechpartner: [ergänzen]
  • Telefon: 0151 70696542
  • E-Mail: patrick@chefslist.de
  • Website: https://chefslist.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://chefslist.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Shopware AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Shopware AG
Ebbinghoff 10, 48624 Schöppingen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Shop-Lösung
  • Leistungs-/Kachelbeschreibung: Shopware E-Commerce-Plattform / Betreuung über die GWS
  • Ansprechpartner: GWS Münster
  • Telefon: +49 2555 92885-0
  • E-Mail: info@shopware.com
  • Website: https://www.shopware.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.shopware.com/de/support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Backbüro Service GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Backbüro Service GmbH
Hauptstraße 17, 51588 Nümbrecht

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Shop-Lösung/Außendienst
  • Leistungs-/Kachelbeschreibung: Software- und Servicedienstleistungen für Bäckereien
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2293 9070-0
  • E-Mail: info@backbuero.de
  • Website: https://www.backbuero.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.backbuero.de/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung, Betrieb, Absicherung und Support von Hosting-, Web-, Zertifikats-, Domain-, Portal- oder Shop-Systemen einschließlich Protokollierung und technischer Administration.

Typische Verarbeitungsschritte:

  • Betrieb von Servern, Anwendungen, Datenbanken, Domains oder Zertifikaten
  • Speicherung, Auslieferung und Sicherung von Web-, Portal- oder Shop-Daten
  • Administration, Patchmanagement, Monitoring und Protokollierung
  • Support, Export, Wiederherstellung und Löschung

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Server, Datenbanken, Weblogs, Adminzugänge, Zertifikate, Domains, Shop- und Portal-Komponenten benennen.
  • Patchmanagement, Schwachstellenbehandlung, Backups, Monitoring, Verfügbarkeiten und technische Protokolle beschreiben.
  • Kundenkonten, Bestell-, Zahlungs-, Kontaktformular- und Trackingdaten soweit einschlägig konkret einordnen.
  • Administrations-, Deployment-, Wartungs- und Supportzugriffe einschließlich Agentur-/Hostingrollen trennen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Kunden, Interessenten, Lieferanten, Geschäftspartner, Ansprechpartner, Beschäftigte sowie gegebenenfalls Fahrer oder Empfänger.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Hosting-, Web- und Shop-Dienste sind Serverstandorte, Weblogs, Datenbanken, Kundenkonten, Bestelldaten, Zertifikatsdaten, Administrationszugriffe, Backups und Löschprozesse zu dokumentieren.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Arctic Wolf anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Arctic Wolf
Friedrich-Ebert-Anlage 49, 60308 Frankfurt am Main

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: SIEM-SOC bzw. MDR aktive und präventive Gefahrenerkennung
  • Leistungs-/Kachelbeschreibung: überwacht und alearmiert präventiv
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 30 16637144
  • E-Mail: legal@arcticwolf.com
  • Website: https://arcticwolf.com/de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://arcticwolf.com/de/company/contact-us/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Schutz der IT-Systeme, Erkennung und Behandlung von Sicherheitsereignissen sowie Nachweis der Betriebs- und Informationssicherheit.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Privilegierte Zugriffe, MFA, Session-Protokollierung, Alarmierung, Eskalationswege, Aufbewahrung von Logs und strikte Rollenmodelle.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für it@business GmbH & Co. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
it@business GmbH & Co. KG
Balgheimer Straße 44, 78549 Spaichingen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: SMTP-Relay aus gevis und Exchange online über MSGRAPH API
  • Leistungs-/Kachelbeschreibung: ITB Connector
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 7424 9810420
  • E-Mail: info@itatbusiness.de
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung von Cloud-, Kommunikations-, Kollaborations-, Dateiablage-, Identitäts-, Administrations- und Supportdiensten.

Typische Verarbeitungsschritte:

  • Bereitstellung von Benutzerkonten, Postfächern, Dateien und Kommunikationsräumen
  • Speicherung, Synchronisation und Übermittlung von Inhalten und Metadaten
  • Administration von Berechtigungen, Gruppen und Freigaben
  • Support, Protokollierung, Suche, Export und Löschung

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Betroffene Dienste wie E-Mail, Kalender, Chat, Dateiablage, Gruppen, Identitäten und Admin-Center einzeln aufführen.
  • Externe Freigaben, Gastzugriffe, eDiscovery, Retention, Journaling und Löschkonzepte konkret regeln.
  • Mandanten-, Rollen-, Gruppen- und Berechtigungskonzept einschließlich Administratorzugriffen beschreiben.
  • Supportzugriffe, Telemetrie, Protokolle, Diagnosepakete und Datenexporte im Incident-Fall festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • E-Mail-, Kalender-, Chat- und Dokumenteninhalte
  • Datei- und Metadaten
  • Benutzer- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Cloud-, E-Mail- und Kollaborationsdienste sind Postfächer, Dateien, Chats, Metadaten, Benutzerkonten, Berechtigungen, externe Freigaben, Aufbewahrung, eDiscovery und Mandanteneinstellungen zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Detlev Jungjohann Ingenieur GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Detlev Jungjohann Ingenieur GmbH
Dieselstraße 5, 30916 Isernhagen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Tankstellen
  • Leistungs-/Kachelbeschreibung: online oder offline SB-Tankstellen - Novotec Landwirt-Tankstellen offline; Notdienst hinterlegt
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 511 972480
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: +49 151 14664851
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für online oder offline SB-Tankstellen - Hectronic GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
online oder offline SB-Tankstellen - Hectronic GmbH
Allmendstrasse 15, 79848 Bonndorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Tankstellen
  • Leistungs-/Kachelbeschreibung: HECTRONIC SB-Tankstellen
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 7703 9388-0
  • E-Mail: mail@hectronic.com
  • Website: https://hectronic.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://hectronic.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für online oder offline SB-Tankstellen - TASK Technology GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
online oder offline SB-Tankstellen - TASK Technology GmbH
Nobelstraße 9-13, 76275 Ettlingen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Tankstellen
  • Leistungs-/Kachelbeschreibung: Tankstellenmanagement
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 7243 381 0
  • E-Mail: kontakt@tasksystems.de
  • Website: https://tasksystems.de/produkte/tankstellenmanagement/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://tasksystems.de/produkte/tankstellenmanagement/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Logistik-, Versand-, Telematik-, Lager- oder Bewegungsdatenverarbeitung einschließlich Auftragsabwicklung, Tracking, Nachweisführung, Abrechnung und Support.

Typische Verarbeitungsschritte:

  • Erfassung und Übermittlung von Auftrags-, Liefer-, Standort- oder Bewegungsdaten
  • Tracking, Nachweisführung, Abrechnung und Reporting
  • Support, Fehleranalyse und Schnittstellenbetrieb
  • Archivierung und Löschung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Auftrags-, Liefer-, Tracking-, Standort-, Fahrer-, Fahrzeug-, Tacho-, Tank- und Lagerdaten soweit einschlägig benennen.
  • Schnittstellen zu ERP/WWS, mobilen Endgeräten, Fahrzeugen und Portalen beschreiben.
  • Aufbewahrung von Nachweisen, Bewegungsdaten, Signaturen, Fotos und Abrechnungsdaten festlegen.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Bestell-, Liefer-, Bewegungs- und Transaktionsdaten
  • Kunden-, Fahrer-, Fahrzeug- oder Standortdaten soweit einschlägig
  • Abrechnungs- und Nachweisdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Logistik-, Telematik- und Versanddienste sind Auftrags-, Standort-, Fahrer-, Fahrzeug-, Liefer- und Nachweisdaten, Schnittstellen, Aufbewahrungsfristen und Supportzugriffe zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Ecotel Communications AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Ecotel Communications AG
Prinzenallee 11, 40549 Düsseldorf

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonanlagen Wartung
  • Leistungs-/Kachelbeschreibung: [Beschreibung aus Anbieter-Kachel ergänzen]
  • Ansprechpartner: [ergänzen]
  • Telefon: 0800 0326835
  • E-Mail: info@ecotel.de
  • Website: https://www.ecotel.de/service-hilfe/kontakt/
  • Störungshotline: 0800 0326835
  • Support-Weblink: https://www.ecotel.de/service-hilfe/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Telekom Deutschland GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Telekom Deutschland GmbH
Friedrich-Ebert-Allee 140, 53113 Bonn

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonanlagen Wartung
  • Leistungs-/Kachelbeschreibung: Störungsstelle Geschäftskunden 24x7
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 800 330 1000
  • E-Mail: [ergänzen]
  • Website: https://geschaeftskunden.telekom.de/hilfe-und-service/kundencenter
  • Störungshotline: +49 800 330 1000
  • Support-Weblink: https://geschaeftskunden.telekom.de/hilfe-und-service/kundencenter

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Sicherstellung von Erreichbarkeit, Notfallkommunikation, Störungsbearbeitung und Wiederanlauf im Krisen- oder Betriebsstörungsfall.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonanlagen Wartung
  • Leistungs-/Kachelbeschreibung: Platzhalter für Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Spuentrup Software anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Spuentrup Software
An der Kleimannbrücke 52, 48157 Münster

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonie CTI/ACD
  • Leistungs-/Kachelbeschreibung: CATS
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 251 322311 400
  • E-Mail: [ergänzen]
  • Website: https://cats.ms
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://cats.ms/kontakt

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für XXX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
XXX
[Anschrift ergänzen]

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonie CTI/ACD
  • Leistungs-/Kachelbeschreibung: Platzhalter für Anbieter
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: [ergänzen]
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Betrieb, Support, Auswertung, Integration und Pflege von Geschäftsprozess-, Warenwirtschafts-, Dokumentenmanagement-, CRM- oder Reporting-Systemen.

Typische Verarbeitungsschritte:

  • Erfassung, Pflege und Auswertung von Stamm-, Beleg- und Vorgangsdaten
  • Bereitstellung von Workflows, Schnittstellen und Reports
  • Support, Fehleranalyse und technische Administration
  • Import, Export, Archivierung und Löschung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Fachmodule, Tabellen-/Datenbereiche, Schnittstellen, Import-/Exportwege und Reporting-Datenquellen benennen.
  • Kunden-, Lieferanten-, Beschäftigten-, Vertrags-, Beleg-, Vorgangs- und Dokumentendaten konkret zuordnen.
  • Rollen, Berechtigungen, Protokollierung, Auswertungsrechte und Zugriff durch Support oder Consultants festlegen.
  • Archivierung, revisionssichere Ablage, Belegaufbewahrung und Lösch-/Sperrprozesse dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Kunden-, Lieferanten- und Geschäftspartnerdaten
  • Beleg-, Vorgangs-, Vertrags- und Bewegungsdaten
  • Auswertungs- und Berichtsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für ERP-, CRM-, DMS- und Reporting-Systeme sind Kunden-, Lieferanten-, Beschäftigten-, Beleg-, Vertrags-, Vorgangs- und Auswertungsdaten sowie Schnittstellen, Rollen und Protokollierung zu berücksichtigen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für 3CX anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
3CX
Unit 6, Deepdale Enterprise Park, Ashford Road, TN26 3GJ Tenterden, Vereinigtes Königreich

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonie VoIP/UCC
  • Leistungs-/Kachelbeschreibung: VoIP-Telefonanlage und Unified Communications
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: sales@3cx.com
  • Website: https://www.3cx.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.3cx.de/support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für nfon AG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
nfon AG
Machtlfinger Straße 7, 81379 München

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Telefonie VoIP/UCC
  • Leistungs-/Kachelbeschreibung: Cloud-Telefonanlage und Business-Kommunikation
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 89 45300-0
  • E-Mail: info@nfon.com
  • Website: https://www.nfon.com/de/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.nfon.com/de/service-support/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Bereitstellung, Sicherung, Verfügbarkeit und Administration digitaler Arbeits-, Kommunikations- und Datenverarbeitungsumgebungen.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Mandantentrennung, Identitäts- und Berechtigungsmanagement, Verschlüsselung, Verfügbarkeitskonzept, Protokollierung, Datenresidenz und externe Freigaben.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Atlassian anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Atlassian
Level 6, 341 George Street, Sydney NSW 2000 Australien

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Ticketsystem / Helpdesk
  • Leistungs-/Kachelbeschreibung: Jira Service Management und Confluence
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://www.atlassian.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.atlassian.com

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Zoom Video Communications Inc. anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Zoom Video Communications Inc.
55 Almaden Boulevard, San Jose, CA 95113 USA

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Videokonferenz
  • Leistungs-/Kachelbeschreibung: Videokonferenzen und Online-Meetings
  • Ansprechpartner: [ergänzen]
  • Telefon: [ergänzen]
  • E-Mail: [ergänzen]
  • Website: https://zoom.us
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://support.zoom.us

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Bereitstellung und Support von Kommunikationsdiensten einschließlich Nutzerverwaltung, Verbindungsdaten, Routing, Konferenzdaten, Störungsbearbeitung und Abrechnung.

Typische Verarbeitungsschritte:

  • Bereitstellung von Nutzerkonten, Rufnummern, Leitungen oder Konferenzräumen
  • Verarbeitung von Verbindungs-, Routing-, Chat- und Metadaten
  • Störungsanalyse, Support und Abrechnung
  • Protokollierung und Aufbewahrung nach vereinbarten Fristen

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Rufnummern, Teilnehmer, Verbindungsdaten, Voicemail, Chat, Konferenzdaten und Aufzeichnungen soweit genutzt benennen.
  • Aufzeichnungsfunktionen, Transkription, Präsenzdaten, Routing, Abrechnung und Löschfristen konkret regeln.
  • Störungsanalyse, Einzelverbindungsnachweise, Supportzugriffe und Provider-Portale dokumentieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Rufnummern, Verbindungs- und Kommunikationsdaten
  • Mailbox-, Gesprächs-, Chat- und Routingdaten soweit genutzt
  • Störungs- und Ticketdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Telefonie- und Kommunikationsdienste sind Rufnummern, Verbindungsdaten, Nutzerkonten, Routing, Voicemail, Gesprächsaufzeichnungen soweit genutzt, Konferenzdaten, Störungsdaten und Aufbewahrungsfristen zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Cerro EDV-Systemhaus GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Cerro EDV-Systemhaus GmbH
Schmalbachstr. 16, 38112 Braunschweig

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zeiterfassung, Fehlzeiten
  • Leistungs-/Kachelbeschreibung: Sage HR
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 531 313990
  • E-Mail: info@cerro-edv.de
  • Website: https://cerro-edv.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://cerro-edv.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für ISGUS GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
ISGUS GmbH
Oberdorfstr. 18-22, 78054 Villingen-Schwenningen

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zeiterfassung, Fehlzeiten
  • Leistungs-/Kachelbeschreibung: ZEUS
  • Ansprechpartner: [ergänzen]
  • Telefon: 07720 393-0
  • E-Mail: [ergänzen]
  • Website: https://www.isgus.de/kontakt/service-support/supportanfrage/
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.isgus.de/kontakt/service-support/supportanfrage/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für PERAS GmbH anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
PERAS GmbH
Dieselstraße 5, 76227 Karlsruhe

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zeiterfassung, Fehlzeiten
  • Leistungs-/Kachelbeschreibung: Personaldienstleister der Atruvia
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 721 627378-0
  • E-Mail: support@peras.de
  • Website: https://peras.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://peras.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für TEMPVISION / Tempras GmbH & Co. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
TEMPVISION / Tempras GmbH & Co. KG
Dierdorfer Landstraße 10, 56242 Selters

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zeiterfassung, Fehlzeiten
  • Leistungs-/Kachelbeschreibung: TEMPVISION Zeiterfassung
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 2626 47999-0
  • E-Mail: info@tempras.de
  • Website: https://tempras.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://tempras.de

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für Haufe-Lexware GmbH & Co. KG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
Haufe-Lexware GmbH & Co. KG
Munzinger Str. 9, 79111 Freiburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zeiterfassung: Reisekosten
  • Leistungs-/Kachelbeschreibung: Lexware Produkte; Haufe Service Center GmbH; technische Beratung PRO/PREM 0761 - 216 999 66
  • Ansprechpartner: [ergänzen]
  • Telefon: 0800 539 80 11
  • E-Mail: [ergänzen]
  • Website: [ergänzen]
  • Störungshotline: 0761 216 999 66
  • Support-Weblink: [ergänzen]

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Verarbeitung von Personal-, Lohn-, Steuer-, Zeitwirtschafts-, Fehlzeiten- oder Reisekostendaten im Rahmen der jeweiligen Fachanwendung, Abrechnung oder Dienstleistung.

Typische Verarbeitungsschritte:

  • Erfassung, Verarbeitung und Auswertung von Beschäftigten- und Abrechnungsdaten
  • Bereitstellung von Workflows, Melde- und Nachweisfunktionen
  • Support, Korrektur und Export nach Weisung
  • Aufbewahrung und Löschung nach gesetzlichen und vertraglichen Vorgaben

Typischer Zweck: Unterstützung und Abwicklung betrieblicher Geschäfts-, Verwaltungs-, Abrechnungs- und Nachweisprozesse.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.
  • Beschäftigten-, Abrechnungs-, Steuer-, Zeit-, Fehlzeiten-, Reise- und Organisationsdaten detailliert benennen.
  • Besondere Vertraulichkeit, Need-to-know-Berechtigungen, Vier-Augen-Prinzip und Protokollauswertung festlegen.
  • Gesetzliche Aufbewahrung, Meldungen, Exporte an Behörden/Sozialversicherung und Korrekturprozesse dokumentieren.
  • Supportzugriffe auf produktive Personaldaten besonders beschränken und nachvollziehbar protokollieren.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten
  • Beschäftigtendaten
  • Abrechnungs-, Steuer-, Zeit- und Fehlzeitendaten
  • Organisations- und Berechtigungsdaten

Mögliche betroffene Personen: Beschäftigte, Bewerber, ehemalige Beschäftigte, Führungskräfte, externe Dienstleister und interne Ansprechpartner.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Strenge Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Aufbewahrungsfristen, Vier-Augen-Prinzip und Export-/Löschkonzept.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für Personal-, Lohn-, Steuer-, Zeitwirtschafts- und Reisekostendienste sind besonders schutzwürdige Beschäftigtendaten, Abrechnungsdaten, Rollen, Zugriffe, Aufbewahrungsfristen und gesetzliche Pflichten zu prüfen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für BÄKO ZENTRALE eG anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
BÄKO ZENTRALE eG
Am Kiekenbusch 4, 47269 Duisburg

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zentralregulierer
  • Leistungs-/Kachelbeschreibung: Zentralregulierer/Rechnungsstellung, Einkauf für Bäcker- und Konditorengenossenschaften
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 203 7684-0
  • E-Mail: info@baeko.de
  • Website: https://baeko.de
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://baeko.de/support-und-kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.
AVV-Mustervorlage für EUROBAUSTOFF anzeigen

Muster-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Hinweis: Diese Vorlage ist ein technisches Muster zur internen Vorbereitung und ersetzt keine rechtliche Prüfung. Inhalte, Rollen, TOMs, Unterauftragsverarbeiter und internationale Datentransfers müssen vor Nutzung geprüft und ergänzt werden.

1. Vertragspartner

Auftraggeber: [Name und Anschrift des Auftraggebers ergänzen]

Auftragnehmer / Auftragsverarbeiter:
EUROBAUSTOFF
Auf dem Hohenstein 2, 61231 Bad Nauheim

2. Leistungsbeschreibung und Kontaktdaten des Auftragsverarbeiters

Die folgenden Angaben werden aus der Anbieter-Kachel übernommen. Sie werden in dieser AVV-Vorlage nur an dieser Stelle gesammelt aufgeführt, damit nichts fehlt und keine Kacheldaten mehrfach erscheinen.

  • Thema / Kategorie: Zentralregulierer
  • Leistungs-/Kachelbeschreibung: Zentralregulierer/Rechnungsstellung, Zentraleinkauf
  • Ansprechpartner: [ergänzen]
  • Telefon: +49 6032 805-0
  • E-Mail: kontakt@eurobaustoff.de
  • Website: https://www.eurobaustoff.com
  • Störungshotline: [ergänzen]
  • Support-Weblink: https://www.eurobaustoff.com/de/das-unternehmen/kontakt/

3. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der oben beschriebenen Leistungen. Die Verarbeitung beginnt mit Leistungsbeginn und endet mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

4. Art, Zweck und konkrete Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Auslesen, Übermitteln, Bereitstellen, Abgleichen, Sichern, Löschen und sonstige Verarbeiten personenbezogener Daten, soweit dies für die vereinbarte Leistung erforderlich ist.

Kategoriespezifische Beschreibung: Unterstützende technische oder organisatorische Dienstleistung, bei der personenbezogene Daten im Rahmen von Betrieb, Support, Wartung, Bereitstellung, Verwaltung oder Störungsbearbeitung verarbeitet werden können.

Typische Verarbeitungsschritte:

  • Bereitstellung und Betrieb der vereinbarten Leistung
  • Support, Wartung, Fehleranalyse und Störungsbearbeitung
  • Nutzer-, Rollen- und Berechtigungsverwaltung soweit erforderlich
  • Protokollierung, Export, Löschung und Nachweisführung nach Weisung

Typischer Zweck: Erbringung der vereinbarten Dienstleistung, technischer Betrieb, Support, Wartung, Dokumentation und Nachweisführung.

4a. Aus der Kategorie abgeleitete erforderliche Angaben

Die folgenden Punkte sollten für diese Kategorie vor Unterzeichnung konkret ergänzt oder gegen Anbieterunterlagen geprüft werden.

  • Konkrete Systeme, Module, Mandanten, Schnittstellen und Administrationszugriffe benennen.
  • Speicherorte, Datenresidenz, Supportstandorte und etwaige Drittlandtransfers dokumentieren.
  • Unterauftragsverarbeiter einschließlich Hosting-, Support-, Wartungs- und Analyse-Dienstleistern ergänzen.
  • Lösch-, Rückgabe-, Export-, Sperr- und Aufbewahrungsfristen je Datenart festlegen.
  • Nachweise des Anbieters hinterlegen, z.B. TOM-Anlage, Zertifizierungen, Auditberichte, Sicherheitskonzept und Incident-Prozess.

5. Arten personenbezogener Daten und Kategorien betroffener Personen

Mögliche Datenarten:

  • Stamm- und Kontaktdaten
  • Kommunikations- und Supportdaten
  • Nutzungs-, Protokoll- und Administrationsdaten

Mögliche betroffene Personen: Beschäftigte, Kunden, Lieferanten, Ansprechpartner, Nutzer, Geschäftspartner sowie sonstige Personen, deren Daten im Rahmen der Dienstleistung verarbeitet werden.

6. Weisungsbindung

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in einem vereinbarten Ticketsystem erfolgen. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen ein. Dazu gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Berechtigungskonzepte, Protokollierung, Backup- und Wiederherstellungsverfahren, Verschlüsselung soweit angemessen, Verfügbarkeitsmaßnahmen sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

Zusätzlich kategoriespezifisch zu prüfen: Zugriffs- und Berechtigungskonzept, Protokollierung, Verfügbarkeit, Verschlüsselung, Backup, Löschkonzept, Nachweise und regelmäßige Wirksamkeitsprüfung.

9. Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist nur zulässig, wenn der Auftraggeber hierzu eine vorherige Genehmigung erteilt hat oder ein dokumentiertes Genehmigungsverfahren vereinbart wurde. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens gleichwertige Datenschutzpflichten übernehmen.

10. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Nachweispflichten, Sicherheitsvorfällen und Anfragen von Aufsichtsbehörden, soweit dies die Verarbeitung im Auftrag betrifft.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten. Die Meldung soll Art und Umfang des Vorfalls, betroffene Daten, mögliche Folgen und bereits ergriffene Maßnahmen enthalten.

12. Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Leistung gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück oder löscht sie datenschutzgerecht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber geeignete Nachweise zur Einhaltung der Pflichten bereit. Audits oder Kontrollen erfolgen nach vorheriger Abstimmung und unter Wahrung von Sicherheits- und Geheimhaltungsinteressen.

14. Drittlandtransfers

Eine Verarbeitung außerhalb der EU/des EWR ist nur zulässig, wenn die Voraussetzungen der DSGVO eingehalten werden, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder andere geeignete Garantien.

Anhang 1: Kategoriebezogene Verarbeitung

Für diese Kategorie sind die konkrete Leistung, betroffene Systeme, Datenarten, Zugriffsrechte, Speicherorte, Unterauftragsverarbeiter, Löschfristen und Nachweise des Anbieters individuell zu ergänzen.

Hinweis: Die konkreten Verarbeitungsschritte sind bereits in Abschnitt 3 aufgeführt und werden hier nicht nochmals wiederholt.

Anhang 2: Offene Prüfpunkte

  • Rolle prüfen: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsame Verantwortlichkeit.
  • Konkrete Verarbeitungstätigkeit und betroffene Systeme ergänzen.
  • Unterauftragsverarbeiter, Speicherorte und Drittlandtransfers prüfen.
  • TOMs, Zertifizierungen und Nachweise des Anbieters dokumentieren.
  • Löschfristen, Exportmöglichkeiten und Supportprozesse festlegen.
  • Kontaktdaten, Hotline und Supportweg gegen aktuelle Vertrags-/Anbieterdokumente prüfen.