Allgemeine Vertragsbedingungen zur Auftragsverarbeitung (AVB)

1 Allgemeine Bestimmungen und Vertragsgegenstand

(1) Die auftragnehmende Person stellt ihren Kundeninnen und Kunden (nachfolgend "auftraggebende Person") die hier aufgeführten Werk- und Dienstleistungen zur Verfügung, bei denen personenbezogene Daten im Auftrag verarbeitet werden:

• Nutzung der "Software-As-A-Service-Lösung",
• Schulungen, Workshops und Webinare,
• Erbringung von Werk- und Dienstleistungen.

Hierbei verarbeitet die auftragnehmende Person u. a. personenbezogene Daten von Dritten (sog. Drittdaten) folgender Personenkategorien im Auftrag der auftraggebenden Person. Für die Verarbeitung dieser Drittdaten gelten die vorliegenden Allgemeinen Vertragsbedingungen zur Auftragsverarbeitung (nachfolgend "AVB").

• Kunden
• Mitarbeitende des Kunden
• Kunden des Kunden
• Subunternehmer des Kunden

Bei der Auftragsverarbeitung dieser personenbezogenen Daten von Dritten durch die auftragnehmende Person werden i. d. R. folgende Informationen erhoben, gespeichert, aufbereitet und ggf. analysiert:

• Personenbezogene Daten (z. B. Name, Adresse, Telefonnummer, E-Mail),
• Standortdaten (z. B. GPS-Koordinaten),
• Bilddateien mit personenbezogenem Bezug (z. B. Hausnummern, Kennzeichen, Gesichter),
• Nutzerbezogene Metadaten (z. B. Nutzernamen, Rollen, IP-Adressen, Login-Zeiten),
• Projektspezifische Eingabedaten, sofern diese Rückschlüsse auf natürliche Personen zulassen (z. B. Namen, berufliche Positionen),
• Kommunikations- und Supportdaten, die im Rahmen von Anfragen verarbeitet werden,
• Gerätekennungen (z. B. Device-ID, IMEI, MAC-Adresse, IP-Adresse des zugreifenden Endgeräts),
• Typ und Version des verwendeten Betriebssystems und Webbrowsers,
• Referrer-URL und sonstige Header-Informationen,
• Zeitpunkt und Dauer des Zugriffs.

(2) Die Verarbeitung dieser Daten durch die auftragnehmende Person findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung der auftraggebenden Person.

2 Laufzeit und Kündigung

Die Laufzeit der Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrags. Soweit und solange nach Beendigung des Hauptvertrags personenbezogene Daten der auftraggebenden Person im Auftrag weiterverarbeitet werden, gilt diese Vereinbarung bis zu dem Zeitpunkt, zu dem die Verarbeitung dieser Daten durch die auftragnehmende Person endet. Das Recht auf außerordentliche fristlose Kündigung aus wichtigem Grund bleibt hiervon unberührt.

3 Weisungen der auftraggebenden Person

(1) Der auftraggebenden Person steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung gegenüber der auftragnehmenden Person zu. Die auftragnehmende Person informiert die auftraggebende Person unverzüglich, falls die auftragnehmende Person der Auffassung ist, dass eine Weisung der auftraggebenden Person gegen gesetzliche Vorschriften verstößt.

(2) Wird eine Weisung erteilt, deren Rechtmäßigkeit die auftragnehmende Person substantiiert anzweifelt, ist die auftragnehmende Person berechtigt, deren Ausführung vorübergehend auszusetzen, bis die auftraggebende Person diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass die auftragnehmende Person durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis ausgesetzt werden.

(3) Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z. B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden von der auftraggebenden Person unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine Weisung in Textform erfolgen konnte. Die auftragnehmende Person hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.

4 Kontrollbefugnisse auftraggebende Person

(1) Die auftraggebende Person ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig, im erforderlichen Umfang, zu kontrollieren. Die auftragnehmende Person hat diese Überprüfungen – einschließlich Inspektionen – die von der auftraggebenden Person oder von einem anderen von ihr beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.

(2) Die auftraggebende Person hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und nicht zu einer übermäßigen Beeinträchtigung des Geschäftsbetriebs führen. In der Regel soll eine Prüfung nur nach vorheriger Anmeldung erfolgen, es sei denn, die vorherige Anmeldung würde den Kontrollzweck gefährden.

(3) Wenn die auftraggebende Person einen Prüfer bestellt, darf dieser nicht im unmittelbaren Wettbewerbsverhältnis zur auftragnehmenden Person stehen.

(4) Die Ergebnisse der Kontrollen sind von der auftraggebenden Person in geeigneter Weise zu protokollieren.

(5) Die auftragnehmende Person verpflichtet sich, der auftraggebenden Person alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Verpflichtungen zur Verfügung zu stellen.

5 Pflichten der auftragnehmenden Person

(1) Die Verarbeitung der vertragsgegenständlichen Daten durch die auftragnehmende Person erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen der auftraggebenden Person. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z. B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden).

(2) Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt die auftragnehmende Person dies der auftraggebenden Person vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(3) Die auftragnehmende Person hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den von der auftraggebenden Person überlassenen personenbezogenen Daten erhalten.

6 Technische und organisatorische Maßnahmen (TOM)

(1) Die auftragnehmende Person hat unter Beachtung der Vorgaben nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und umgesetzt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Maßnahmen sind diesen AVB abschließend in Anlage 1 beigefügt.

(2) Die auftragnehmende Person wird die technischen und organisatorischen Maßnahmen bei Bedarf und/oder anlassbezogen überprüfen und anpassen.

(3) Benötigt die auftraggebende Person den Einsatz weiterer technischer und organisatorischer Maßnahmen zum Schutz ihrer vertragsgegenständlichen personenbezogenen Daten, wird die auftraggebende Person dies der auftragnehmenden Person rechtzeitig – spätestens jedoch zwei Wochen – vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen und mit der auftragnehmenden Person abstimmen und zu protokollieren.

(4) Der spezifische Leistungsumfang sowie ggf. die Vergütung dieser zusätzlichen technischen und organisatorischen Maßnahmen und Regelungen ist Gegenstand von individualvertraglichen Vereinbarungen zwischen den Parteien.

7 Mitwirkungspflichten auftragnehmende Person

(1) Die auftragnehmende Person wird der auftraggebenden Person gem. Art. 28 Abs. 3 lit. e DSGVO bei deren Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 bis 22 DSGVO, unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten.

(2) Die auftragnehmende Person wird der auftraggebenden Person ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei deren Pflichten nach Art. 32 bis 36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die der auftragnehmenden Person zur Verfügung stehen.

8 Einsatz von Unterauftragsverarbeitern

(1) Die auftragnehmende Person ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse der auftragnehmenden Person sind diesen AVB anschließend in Anlage 2 beigefügt. Für die in Anlage 2 aufgezählten Subunternehmer gilt die Zustimmung mit Vereinbarung dieser AVB als erteilt.

(2) Beabsichtigt die auftragnehmende Person den Einsatz weiterer Subunternehmer, wird die auftragnehmende Person dies der auftraggebenden Person rechtzeitig – spätestens jedoch zwei Wochen – vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Die auftraggebende Person hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des / der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des / der Sub­unter­nehmer(s) als genehmigt. In dringenden Fällen (z. B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen) kann die auftragnehmende Person die Anzeige- und Widerspruchsfrist für Subunternehmer angemessen verkürzen.

(3) Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn die auftraggebende Person begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragnehmers die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und / oder sonstige berechtigte Interessen der auftraggebenden Person entgegenstehen. Die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.

(4) Subunternehmer werden von der auftragnehmenden Person unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen Auftragsverarbeiter (auftragnehmende Person) und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen. Dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers.

(5) Nebenleistungen, welche die auftragnehmende Person zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen sowie sonstige Maßnahmen, welche die Vertraulichkeit und / oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Die auftragnehmende Person wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen.

(6) Sämtliche Verträge zwischen der auftragnehmenden Person und dem Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieser AVB und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.

(7) Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und die auftraggebende Person zugestimmt hat.

9 Mitteilungspflichten der auftragnehmenden Person

(1) Verstöße gegen diese AVB, gegen Weisungen der auftraggebenden Person oder gegen sonstige datenschutzrechtliche Bestimmungen sind der auftraggebenden Person unverzüglich mitzuteilen; dasselbe gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß von der auftragnehmenden Person selbst, einer bei der auftragnehmenden Person angestellten Person, einem Unterauftragsverarbeiter oder einer sonstigen Person, welche die auftragnehmende Person zur Erfüllung vertraglicher Pflichten eingesetzt hat, begangen wurde.

(2) Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter die auftragnehmende Person um Auskunft, Berichtigung oder Löschung von Daten, welche die auftragnehmende Person als Auftragsverarbeiter verarbeitet, wird die auftragnehmende Person die Anfrage unverzüglich an die auftraggebende Person weiterleiten und das weitere Vorgehen mit ihr abstimmen.

(3) Die auftragnehmende Person wird die auftraggebende Person unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Verarbeitung, Nutzung oder Erhebung der durch die auftraggebende Person zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat die auftragnehmende Person die auftraggebende Person unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.

10 Vertragsbeendigung, Löschung und Rückgabe der Daten

(1) Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung des Hauptvertrags hat die auftragnehmende Person alle personenbezogenen Daten nach Wahl der auftraggebenden Person zu löschen oder zurückzugeben, sofern keine rechtliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z. B. gesetzliche Aufbewahrungsfristen).

11 Datengeheimnis und Vertraulichkeit

(1) Die auftragnehmende Person ist unbefristet und über das Ende des Hauptvertrags hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. Die auftragnehmende Person verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit bei der auftragnehmenden Person aufnehmen.

12 Schlussbestimmungen

(1) Sind die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist der Sitz der auftragnehmenden Person Gerichtsstand für alle Streitigkeiten aus diesen AVB, sofern insoweit hierfür ein ausschließlicher Gerichtsstand nicht begründet wird.

(2) Soweit personenbezogene Daten im Auftrag betroffen sind, gehen die Regelungen dieser AVB gegenüber den Regelungen der Hauptvereinbarung vor.

(3) Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.

(4) Die auftragnehmende Person ist berechtigt, die vorliegenden AVB aus sachlich gerechtfertigten Gründen (z. B. Änderungen in der Rechtsprechung, Gesetzeslage, Marktgegebenheiten oder der Geschäfts- oder Unternehmensstrategie) und unter Einhaltung einer angemessenen Frist zu ändern. Bestandskunden werden hierüber spätestens zwei Wochen vor Inkrafttreten der Änderung per E-Mail benachrichtigt.

(5) Sofern der Bestandskunde nicht innerhalb der in der Änderungsmitteilung gesetzten Frist widerspricht, gilt seine Zustimmung zur Änderung als erteilt. Im Falle des Widerspruchs ist die auftragnehmende Person berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Änderung außerordentlich zu kündigen. Die Benachrichtigung über die beabsichtigte Änderung dieser Nutzungsbedingungen wird auf die Frist und die Folgen des Widerspruchs oder seines Ausbleibens hinweisen.

(6) Die hier verwendeten Begriffe sind nicht geschlechts­spezifisch.

Stand: September 2025

DSGVO konform

Anlagen