Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen

IT-Direkt GmbH

Aroser Allee 66, 13407 Berlin

(nachfolgend „Auftragsverarbeiter")

und

dem Kunden gemäß Nutzungsvertrag

(nachfolgend „Verantwortlicher")

§ 1 Gegenstand und Dauer der Verarbeitung

  1. 1.1 Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der vom Auftragsverarbeiter bereitgestellten digitalen Dienste und des Portals.
  2. 1.2 Gegenstand der Verarbeitung ist die Speicherung, Verarbeitung und automatisierte Verwendung von personenbezogenen Daten des Verantwortlichen und der von ihm benannten Personen, die der Auftragsverarbeiter im Auftrag und auf Weisung des Verantwortlichen zur Erbringung der vereinbarten Dienste verarbeitet. Dies umfasst insbesondere Zugangsdaten für externe Schnittstellen, die Übermittlung von Nachrichten sowie die Protokollierung von Zugriffen und Systemereignissen.
  3. 1.3 Die Laufzeit dieses AVV entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, soweit keine gesonderten Löschpflichten fortbestehen.

§ 2 Art, Zweck und Umfang der Verarbeitung

  1. 2.1 Art der Verarbeitung: Erhebung, Speicherung, verschlüsselte Aufbewahrung, automatisierter Abruf, Übermittlung, Nachrichtenversand sowie Protokollierung.
  2. 2.2 Zweck der Verarbeitung:
    1. 2.2.1 Serverhosting und Betrieb der vom Auftragsverarbeiter bereitgestellten digitalen Dienste;
    2. 2.2.2 Datenspeicherung, insbesondere verschlüsselte Speicherung von Zugangsdaten (Credentials);
    3. 2.2.3 Nachrichtenübermittlung an Nutzer und Kontakte des Verantwortlichen (E-Mail, WhatsApp);
    4. 2.2.4 Erstellung und Speicherung von Zugriffsprotokollen (Logs) zum Betrieb und zur Sicherheit der Dienste;
    5. 2.2.5 Datensicherung (Backups) zur Gewährleistung der Verfügbarkeit der Dienste.
  3. 2.3 Konkrete Verarbeitungsschritte (exemplarisch):
    1. 2.3.1 Entgegennahme und verschlüsselte Speicherung von Zugangsdaten (Benutzername, Kennwort, Token) für externe Schnittstellen;
    2. 2.3.2 Automatisierter Abruf und Nutzung von Zugangsdaten zur Authentifizierung gegenüber Drittdiensten;
    3. 2.3.3 Versand von E-Mails und WhatsApp-Nachrichten im Auftrag des Verantwortlichen über die bereitgestellte Infrastruktur;
    4. 2.3.4 Automatisierte Protokollierung von Zugriffen, Systemereignissen und Fehlern zu Betriebs- und Sicherheitszwecken;
    5. 2.3.5 Regelmäßige Datensicherung der gespeicherten Daten auf der Hosting-Infrastruktur.
  4. 2.4 Die Verarbeitung erfolgt ausschließlich im Rahmen und auf Weisung des Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken durch den Auftragsverarbeiter findet nicht statt.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

  1. 3.1 Folgende Kategorien personenbezogener Daten werden verarbeitet:
    1. 3.1.1 Zugangsdaten (Benutzername, Kennwort) für Drittanbieter-Schnittstellen (verschlüsselt gespeichert);
    2. 3.1.2 Daraus generierte Authentifizierungstoken;
    3. 3.1.3 Zugriffsprotokolle (IP-Adressen, Zeitstempel, Systemereignisse);
    4. 3.1.4 Kommunikationsdaten im Rahmen des Nachrichtenversands per E-Mail und WhatsApp (z. B. E-Mail-Adressen, Telefonnummern, Nachrichteninhalte).
  2. 3.2 Betroffene Personen sind Mitarbeiter, Bevollmächtigte oder sonstige benannte Personen des Verantwortlichen sowie dessen Kunden und Kontakte, sofern deren Daten im Rahmen der Dienste verarbeitet werden.
  3. 3.3 Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nicht verarbeitet, sofern der Verantwortliche den Auftragsverarbeiter nicht ausdrücklich und schriftlich dazu anweist. In diesem Fall sind gesonderte Schutzmaßnahmen zu vereinbaren.

§ 4 Pflichten des Auftragsverarbeiters

  1. 4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  2. 4.2 Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  3. 4.3 Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7 dieses AVV).
  4. 4.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung von Anfragen betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO).
  5. 4.5 Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, durch den Verantwortlichen oder einen von diesem beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO). Für Audits ist eine Vorankündigungsfrist von mindestens 14 Werktagen einzuhalten.
  6. 4.6 Im Falle einer Datenschutzverletzung informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 DSGVO).

§ 5 Pflichten des Verantwortlichen

  1. 5.1 Der Verantwortliche ist allein für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.
  2. 5.2 Der Verantwortliche stellt sicher, dass für den Versand von Nachrichten (E-Mail, WhatsApp) an Empfänger eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt (z. B. Einwilligung, Vertragserfüllung).
  3. 5.3 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn übermittelte Zugangsdaten geändert oder deaktiviert werden, damit veraltete Credentials gelöscht werden können.
  4. 5.4 Der Verantwortliche ist für die Rechtmäßigkeit des Zugriffs auf externe Drittanbieter-Schnittstellen eigenverantwortlich; insbesondere ist sicherzustellen, dass die Nutzungsbedingungen der jeweiligen Drittanbieter die Nutzung durch den Auftragsverarbeiter gestatten.

§ 6 Unterauftragsverarbeitung

  1. 6.1 Der Auftragsverarbeiter darf Unterauftragsverarbeiter (Sub-AV) einsetzen. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.
  2. 6.2 Aktuell eingesetzte Unterauftragsverarbeiter sind in der jeweils aktuellen Liste unter https://desk.it-direkt.de/subavv abrufbar. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) mit einer Vorankündigungsfrist von mindestens 14 Tagen per E-Mail. Der Verantwortliche hat das Recht, Änderungen zu widersprechen.
  3. 6.3 Alle Unterauftragsverarbeiter werden vertraglich zu denselben Datenschutzpflichten verpflichtet, die dieser AVV vorsieht.
  4. 6.4 Externe Drittanbieter, deren Schnittstellen (APIs) der Verantwortliche dem Auftragsverarbeiter zur Nutzung im Rahmen der Dienste bereitstellt oder freigibt (z. B. Maschinenschnittstellen, ERP-Systeme, branchenspezifische Plattformen), sind keine Unterauftragsverarbeiter im Sinne dieses AVV. Sie handeln als eigenständige Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. Der Verantwortliche ist für die Rechtmäßigkeit der Datenübermittlung an diese Anbieter sowie für die Einhaltung von deren Nutzungsbedingungen eigenverantwortlich.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

7.1 Vertraulichkeit

  1. 7.1.1 Verschlüsselte Speicherung aller Zugangsdaten (mindestens AES-256); kein Klartext-Zugriff durch Mitarbeiter;
  2. 7.1.2 Einsatz eines dedizierten Secret Managements (z. B. Azure Key Vault oder gleichwertiges System);
  3. 7.1.3 Rollenbasiertes Zugriffskonzept (Need-to-know-Prinzip);
  4. 7.1.4 Zugriff auf Credentials ausschließlich durch automatisierte Dienste (Service Accounts), nicht durch individuelle Benutzer.

7.2 Integrität

  1. 7.2.1 Ausschließliche Übertragung per TLS 1.2 oder höher (HTTPS);
  2. 7.2.2 Keine Speicherung von Credentials oder Nachrichteninhalten in Logdateien, Fehlerberichten oder Monitoring-Systemen;
  3. 7.2.3 Automatisierter Abgleich auf unautorisierten Zugriff.

7.3 Verfügbarkeit

  1. 7.3.1 Regelmäßige Datensicherung der Konfigurations- und Nutzerdaten;
  2. 7.3.2 Dokumentiertes Wiederherstellungsverfahren.

7.4 Belastbarkeit

  1. 7.4.1 Token-Lebensdauer wird minimiert; kein dauerhaftes Caching;
  2. 7.4.2 Credentials und Kommunikationsdaten werden pro Kunde isoliert gespeichert.

7.5 Überprüfbarkeit

  1. 7.5.1 Zugriffe auf Credentials und Versandvorgänge werden auditiert und protokolliert (Zugriffslog);
  2. 7.5.2 Regelmäßige interne Überprüfung der TOMs (mindestens jährlich).

§ 8 Löschung und Rückgabe

  1. 8.1 Nach Beendigung des Hauptvertrags oder auf Weisung des Verantwortlichen löscht der Auftragsverarbeiter alle gespeicherten personenbezogenen Daten (Credentials, Token, Kommunikationsdaten, Protokolldaten) unwiderruflich und nachweisbar.
  2. 8.2 Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter eine schriftliche Bestätigung der Löschung aus.
  3. 8.3 Gesetzliche Aufbewahrungspflichten (z. B. nach HGB, AO) bleiben unberührt. Soweit Protokolldaten solchen Pflichten unterliegen, werden diese gesichert aufbewahrt und nach Ablauf der Frist gelöscht.

§ 9 Haftung

  1. 9.1 Auftragsverarbeiter und Verantwortlicher haften gegenüber betroffenen Personen nach den Maßgaben des Art. 82 DSGVO.
  2. 9.2 Im Innenverhältnis gilt: Soweit ein Schaden durch eine Weisung des Verantwortlichen verursacht wurde, trägt dieser die Haftung. Soweit der Schaden durch eine Pflichtverletzung des Auftragsverarbeiters entstanden ist, haftet dieser.
  3. 9.3 Die Haftung des Auftragsverarbeiters ist auf vorhersehbare, vertragstypische Schäden begrenzt, soweit gesetzlich zulässig.

§ 10 Schlussbestimmungen

  1. 10.1 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.
  2. 10.2 Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter ist berechtigt, den AVV mit einer Ankündigungsfrist von 30 Tagen anzupassen. Widerspricht der Verantwortliche nicht innerhalb dieser Frist, gilt die neue Fassung als akzeptiert.
  3. 10.3 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
  4. 10.4 Dieser AVV ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien.

Stand: April 2026 | IT-Direkt GmbH, Aroser Allee 66, 13407 Berlin | datenschutz@it-direkt.de