Vereinbarung zur Auftragsverarbeitung (AVV)

VERSION 1.0 VOM 17.09.2025   |   Stand: 17.09.2025

Auftraggeber:
Lizenznehmer des Onlinedienstes laut Hauptvertrag

Auftragnehmer / Auftragsverarbeiter:
IS2 Intelligent Solution Services AG
Nymphenburger Straße 120
80636 München

Präambel

Dieser Auftragsverarbeitungs-Vertrag regelt die Verpflichtungen der Vertragsparteien im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag oder Unterauftrag. Dieser AV-Vertrag findet Anwendung auf alle Tätigkeiten, die mit dem Dienstleistungsvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer Beauftragte (Subunternehmer) personenbezogene Daten („Daten“) des Auftraggebers oder von dessen Auftraggeber (Unterbeauftragung) verarbeiten. In diesem AV-Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutzgrundverordnung zu verstehen.

1. Gegenstand und Dauer des Auftrags

  1. Der Auftrag umfasst Folgendes:
    Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Auftraggeber sind konkret beschrieben im Dokument „Allgemeine Geschäftsbedingungen Online-Anwendungen IS2“.
  2. Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.
  3. Diese Vereinbarung beginnt und endet automatisch mit dem Hauptvertrag (Ziffer 1.1), sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Pflichten oder Kündigungsrechte ergeben. Das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen

  1. Der Auftraggeber bzw. die natürlichen Personen, die über den Auftraggeber die Software des Auftragnehmers nutzen (nachfolgend: Nutzer), laden Dokumente auf die Server des Auftragnehmers hoch, auf welchen diese vom Auftragnehmer gespeichert werden. Auch alle weiteren vom Auftraggeber bzw. den Nutzern übermittelten Daten (Formulardaten etc.) werden vom Auftragnehmer gespeichert und den Dokumenten hinzugefügt.
  2. Der Auftragnehmer erbringt mithin folgende Verarbeitungen im Auftrag für den Auftraggeber: Speicherung der vom Auftraggeber bzw. den Nutzern hochgeladenen Dateien und übermittelten Daten sowie Erstellung von Berechnungen auf Grundlage der Daten auf den Systemen des Auftragnehmers. Der Auftraggeber hat folgenden Zweck festgelegt zur Verarbeitung personenbezogener Daten nach Maßgabe dieser Vereinbarung:
    • Speicherung von Nutzer- und Zugangsdaten
    • Erbringung von Supportdienstleistungen, um Fehlerbehebungen und Problemlösungen durchführen zu können
  3. Art der Daten und Kategorien betroffener Personen:
    Der Auftragnehmer verarbeitet personenbezogene Daten aller Kategorien (auch nach Art. 9 DSGVO) des Auftraggebers und der Interessenten und Kunden des Auftraggebers.

3. Technische und organisatorische Maßnahmen

  1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu schützen.
  2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO, die mit dem Stand zum Zeitpunkt des Vertragsschlusses definiert sind in der Anlage zu 3.2.
  3. Der Auftraggeber informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über die technischen und organisatorischen Maßnahmen des Auftragnehmers anhand der vom Auftragnehmer bereitgestellten Informationen gemäß Ziffer 8 dieser Vereinbarung. Der Auftragnehmer trägt die Verantwortung dafür, dass die jeweils aktuell geltenden, vertraglich vereinbarten technischen und organisatorischen Maßnahmen für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten und ist verpflichtet, die von ihm getroffenen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit und Erforderlichkeit gemäß Art. 32 DSGVO hin zu kontrollieren und anzupassen.
  4. Eine Änderung der getroffenen Sicherheitsmaßnahmen nach Vertragsschluss bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  5. Wenn der Auftraggeber nach Abschluss dieser Vereinbarung entscheidet, dass die bislang vorhandenen Maßnahmen zum Schutz bestimmter personenbezogener Daten unter Berücksichtigung der Kriterien des Art. 32 Abs. 1 DSGVO nicht ausreichen, wird er dem Auftragnehmer die zusätzlich erforderlichen Maßnahmen benennen und mit dem Auftragnehmer eine Vereinbarung dazu treffen, wer welche Maßnahmen zu welchen Kosten veranlassen wird.

4. Ort der Verarbeitung

Der Auftragnehmer verarbeitet die vereinbarungsgegenständlichen Daten in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Der Auftragnehmer ist nur dann befugt, die Daten in ein Drittland zu verlagern, sofern hierfür das in der DSGVO festgelegte Schutzniveau gemäß den Art. 44 ff. DSGVO gewährleistet wird.

5. Weisungsbefugnis – Berichtigung, Einschränkung und Löschung von Daten; Anfragen betroffener Personen

  1. Der Auftragnehmer darf die personenbezogenen Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern ausschließlich im Rahmen der getroffenen Vereinbarungen bzw. nur nach dokumentierter Weisung des Auftraggebers verarbeiten, berichtigen, löschen oder deren Verarbeitung einschränken. Die Weisungen des Auftraggebers müssen sich im Rahmen der geltenden Datenschutzgesetze, dieser Vereinbarung und des Hauptvertrags halten.
  2. Soweit Weisungen nicht bereits im Hauptvertrag enthalten sind, erteilt sie ausschließlich der weisungsberechtigte Lizenznehmer an die beim Auftragnehmer benannten Weisungsempfänger.
  3. Falls der Auftragnehmer durch eine gesetzliche Vorschrift zu einer bestimmten Verarbeitung verpflichtet ist, zu welcher es keine Weisung des Auftraggebers gibt, teilt er dies dem Auftraggeber mit, sofern das Gesetz die Mitteilung nicht verbietet.
  4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Meinung ist, eine Weisung könnte gegen Datenschutzvorschriften verstoßen.
  5. Weisungsberechtigte Person für den Auftraggeber ist der Lizenznehmer. Weisungsempfänger beim Auftragnehmer ist: Herr Christopher Scheck.
  6. Wenn sich ein Betroffener an den Auftragnehmer wendet (Auskunft, Berichtigung, Löschung etc.), wird der Auftragnehmer dieses Ersuchen nicht selbst erfüllen, sondern unverzüglich an den Auftraggeber weiterleiten und dessen Weisungen abwarten. Kommt der Auftraggeber seinen Pflichten nicht nach, stellt er den Auftragnehmer von Ansprüchen Dritter frei, soweit die Pflichtverletzung nicht auf unterlassener oder verspäteter Information durch den Auftragnehmer beruht.

6. Verantwortungsbereich des Auftraggebers

  1. Datenschutz-Compliance: Der Auftraggeber ist allein dafür verantwortlich, die Zulässigkeit der Verarbeitung nach Maßgabe dieser Vereinbarung herzustellen und nachzuweisen. Er ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO und stellt die Rechtmäßigkeit seiner Weisungen sicher. Festgestellte Fehler/Unregelmäßigkeiten teilt er dem Auftragnehmer unverzüglich mit.
  2. Weisungen, die nicht vom Leistungsumfang des Hauptvertrags umfasst sind, gelten als Änderungsanfrage; der Auftragnehmer teilt binnen angemessener Frist Machbarkeit und Kosten mit.

7. Verantwortungsbereich des Auftragnehmers

  1. Der Auftragnehmer setzt u.a. folgende Maßnahmen um:
    • (a) Bei Unterauftragnehmern außerhalb der EU: Benennung eines Vertreters gem. Art. 27 Abs. 1 DSGVO.
    • (b) Wahrung der Vertraulichkeit (Art. 28 Abs. 3 S.2 lit. b, 29, 32 Abs. 4 DSGVO); Einsatz nur verpflichteter und geschulter Beschäftigter.
    • (c–i) Unterstützung/Auskunft ggü. Aufsichtsbehörden, Information über Kontrollen, Unterstützung des Auftraggebers, regelmäßige Kontrolle interner Prozesse, Nachweis TOMs, Informationsbereitstellung nach Art. 28 DSGVO, Unterstützung beim Verzeichnis von Verarbeitungstätigkeiten.
  2. Der Auftragnehmer unterstützt den Auftraggeber bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldungen, DSFA, Konsultationen), u.a. durch:
    • (a) Unterstützung bei TOMs
    • (b) unverzügliche Meldung von Verletzungen personenbezogener Daten
    • (c) Unterstützung bei Informationspflichten gegenüber Betroffenen
    • (d) Unterstützung bei DSFA
    • (e) Unterstützung bei vorherigen Konsultationen
    Nach der Meldung entscheidet der Auftraggeber eigenverantwortlich über Behörden-/Betroffenenmeldungen.
  3. Datenschutzbeauftragter:
    Martin Vogt, Luisenstr. 7, 67655 Kaiserslautern
    E-Mail: dsb@teckpro.de | Telefon: +49 631 414 17-0
    Ein Wechsel wird unverzüglich mitgeteilt; aktueller Fachkundenachweis auf Anfrage.

8. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung gesetzlicher und vertraglicher Datenschutzregelungen sowie Weisungen zu kontrollieren. Der Auftragnehmer erteilt erforderliche Auskünfte, ermöglicht Vor-Ort-Kontrollen (angemessene Frist, Geschäftszeiten, Vertraulichkeit) und trägt im Rahmen von Aufsichtsbehördenmaßnahmen Mitwirkungspflichten. Der Auftragnehmer kann Auskünfte/Kontrollen verweigern, wenn dadurch Sicherheitsrisiken entstehen.

9. Unterauftragsverhältnisse

  1. Allgemeine Genehmigung zur Einschaltung von Unterauftragnehmern; Pflichten:
    • (a) Sorgfältige Auswahl bzgl. TOMs
    • (b) Abschluss AVV gem. Art. 28 Abs. 4 DSGVO; keine Unterschreitung des Schutzniveaus
    • (c) Bei Drittlandbezug: geeignete Garantien (Art. 44 ff., insbes. EU-SCC), Vertreter in der EU
    Reine Nebenleistungen (Post, Transport, Reinigung, TK ohne konkreten Bezug, Bewachung) sind keine Unteraufträge; Wartung/Prüfung an IT-Systemen ist zustimmungspflichtig.
  2. Bereits bestehende Unteraufträge erfüllen die Voraussetzungen.
  3. Änderungen werden vorab mitgeteilt; Einspruch binnen 4 Wochen möglich.

10. Nachweismöglichkeiten; Inspektionen und behördliche Kontrollen

  1. Nachweise mittels geeigneter Mittel (z. B. TOM-Darstellung, Selbstauskunft, Audit-Nachweise, Codes of Conduct, Zertifikate inkl. Art. 42 DSGVO).
  2. Inspektionen nach Abstimmung/Vorlaufzeit; Vertraulichkeitserklärung für Prüfer möglich; Auftraggeber trägt Aufwendungen des Auftragnehmers.
  3. Der Auftragnehmer kann Informationen verweigern, wenn dadurch die Sicherheit von Anlagen/Daten gefährdet wäre.

11. Löschung und Rückgabe von personenbezogenen Daten; Vertraulichkeit nach Vertragsende

  1. Datenschutzgerechte Löschung nach Stand der Technik.
  2. Keine Kopien ohne Wissen des Auftraggebers ausgenommen Sicherheitskopien und gesetzliche Aufbewahrung.
  3. Nach Vertragsende: Herausgabe oder Löschung sämtlicher Unterlagen/Ergebnisse/Datenbestände; Gleiches gilt für Test-/Ausschussmaterial.
  4. Dokumentationen zum Nachweis der ordnungsgemäßen Verarbeitung werden fristgerecht aufbewahrt.
  5. Vertraulichkeit während und nach Vertragsende.

12. Vergütung

Sofern Maßnahmen des Auftragnehmers nicht vom Hauptvertrag umfasst sind, werden diese zu den aktuell geltenden Preisen gesondert vergütet.

13. Haftung

Es gelten die Bedingungen des Hauptvertrags.

14. Schlussbestimmungen

  1. Deutsches Recht; Abschluss auf Grundlage des GDD-Musters.
  2. Salvatorische Klausel.
  3. Änderungen/Ergänzungen in Schrift- oder Textform (bei Textform: qualifizierte elektronische Signatur gem. Art. 26 eIDAS-VO). Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
  4. Gerichtsstand München (bei Kaufleuten etc.); Auftragnehmer kann auch an anderem gesetzlichen Gerichtsstand klagen.

Unterauftragnehmer

Service-ProviderZweckArt der verarbeiteten Daten
1&1 IONOS SE
Elgendorfer Str. 57
56410 Montabaur		 Cloud-Rechenzentrumsdienstleistungen (Netzwerk, Computing, Storage, Backup) Hostname und IP-Adresse von Kundenservern. Keine originäre Nutzung/Verarbeitung von Kundendaten durch den Subunternehmer.
gridscale GmbH
Oskar-Jäger-Straße 173
50825 Köln		 Cloud-Rechenzentrumsdienstleistungen (Netzwerk, Computing, Storage, Backup) Hostname und IP-Adresse von Kundenservern. Keine originäre Nutzung/Verarbeitung von Kundendaten durch den Subunternehmer.
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen		 Cloud-Rechenzentrumsdienstleistungen (Netzwerk, Computing, Storage, Backup) Hostname und IP-Adresse von Kundenservern. Keine originäre Nutzung/Verarbeitung von Kundendaten durch den Subunternehmer.

Anlage zu 3.2 der Vereinbarung zur Auftragsverarbeitung – Technische und organisatorische Maßnahmen (TOMs)

Einleitung

Die DSGVO (Art. 32 Abs. 1) verlangt angemessene technische und organisatorische Maßnahmen. Kontrollbereiche: (1) Vertraulichkeit, (2) Integrität, (3) Verfügbarkeit/Belastbarkeit, (4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, (5) Pseudonymisierung und Verschlüsselung.

Organisatorisches: Mitarbeitende sind auf Vertraulichkeit verpflichtet; Admins zusätzlich nach §203 StGB. Teile der Maßnahmen dürfen aus Sicherheitsgründen nicht detailliert veröffentlicht werden.

VERTRAULICHKEIT

1. Zutrittskontrolle

  • Elektronische Zutrittskontrolle Gebäude/Serverraum, Protokollierung, zentrale Vergabe/Sperre, Zugang nur für autorisiertes Personal, 24/7-Wachschutz, Besucher nur unter Aufsicht, Auswahl Reinigungspersonal, Aktive Komponenten in Sicherheitsschränken.

2. Zugangskontrolle

  • Benutzerkennung+Passwort, Änderung Standardkennwörter, Passwort-Policy & Abgleich gegen kompromittierte Kennwörter, Sperrmechanismen, verschlüsselte Speicherung, Auto-Sperre bei Inaktivität, MFA für sensible Admin-Konten, Netzwerksegmentierung/DMZ, IP-Beschränkungen, VPN/TLS, Updates, Vulnerability-Scans, Protokollierung, Rechte-Reviews, Gast-WLAN, Spam/Antimalware, restriktive Rechtevergabe, Monitoring/Alarmierung, Deaktivierung unnötiger Dienste/Ports, USB-Schutz, Secure Boot.

3. Zugriffskontrolle

  • Rollenbasierte Rechte, Trennung Admin/App-Zugänge, nur Ausnahme-Remote-Admin unter Aufsicht, Updates/Scans/Protokolle/Doku, Verschlüsselung at rest, Admin-Only Backup-Zugriff, verschlüsselte Backups, Löschung/Vernichtung nach BSI.

4. Trennungsgebot

  • Trennung der Zwecke, Test/Prod, Management/Prod-Netz, mandantengetrennte Systeme.

INTEGRITÄT

1. Weitergabekontrolle

  • TLS ≥ 1.2 / AES-256, Geräteverschlüsselung, BSI-konforme Datenträgervernichtung, USB-Kontrollen.

2. Eingabekontrolle

  • Protokollierung (Logins, Firewalls, Admin-Tätigkeiten), definierte Backup-Aufbewahrung.

VERFÜGBARKEIT & BELASTBARKEIT

  • RAID, redundante Stromversorgung/USV, kontrolliertes Shutdown, Klimatisierung, Monitoring/Alarmierung, Brand/Wasser/Klima-Meldeanlagen, externer 24/7-Werkschutz-Notfallplan, Handfeuerlöscher, tägliche Backups auf separates System, Funktionsüberwachung, Restore-Tests, aktuelle Antimalware.

VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG

  • DSMS, Datensparsamkeit/Privacy by Default, Auftragskontrolle (Belehrungen, Unterauftragnehmer-Kontrolle nach Art. 28/32, EU-Verarbeitung, DSB, ISO 27001 wenn möglich, Audits, restriktive Zugriffsbewilligung, AV-Vorlagen mit Kontrollklauseln).

PSEUDONYMISIERUNG & VERSCHLÜSSELUNG

  • Encryption in transit & at rest gem. Kryptokonzept.

Hinweis: Diese AVV ist Bestandteil der AGB iS2 Beraterplatz.

zurück zur Lizenzbestellung zurück zur Testversion