Auftragsverarbeitungsvertrag (AVV)

neoautark · Tran Consulting UG (haftungsbeschränkt) · Ericusspitze 4 · 20457 Hamburg

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO. Er ergänzt den zwischen den Parteien geschlossenen Hauptvertrag (Angebot nebst AGB) über die Bereitstellung und den Betrieb von Software als Managed Service.

(2) Auftraggeber (Verantwortlicher im Sinne der DSGVO) ist der im Angebot bezeichnete Kunde. Auftragnehmer(Auftragsverarbeiter) ist die Tran Consulting UG (haftungsbeschränkt).

(3) Die Laufzeit dieser AVV entspricht der Laufzeit des Hauptvertrags. Sie endet automatisch mit dessen Beendigung, unbeschadet etwaiger Aufbewahrungspflichten.

(4) Abschluss. Diese AVV wird dem Auftraggeber nach Annahme des Angebots per E-Mail übermittelt. Sie kommt durch schriftliche Bestätigung des Auftraggebers per E-Mail zustande. Die Bestätigung gilt als erteilt, wenn der Auftraggeber den Inhalt dieser AVV einschließlich der Anlagen ausdrücklich per E-Mail annimmt. Der Auftragnehmer beginnt mit der Verarbeitung personenbezogener Daten erst nach Zugang der Bestätigung.

§ 2 Gegenstand und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zur Erbringung der im Hauptvertrag vereinbarten Leistungen. Art und Zweck der Verarbeitung ergeben sich aus dem jeweiligen Angebot. Die Verarbeitung umfasst insbesondere:

• Speicherung und Verwaltung von Kundenstammdaten (z. B. aus Shopsystemen, CRM-Anbindungen)
• Verarbeitung von Nutzungsdaten der Software (Logs, Sitzungsdaten)
• Verarbeitung von Kommunikationsdaten (z. B. Chat-Verläufe über integrierte Kanäle)
• Automatisierte Datenverarbeitung durch KI-Modelle im Rahmen der Softwarefunktionen

(2) Die Kategorien betroffener Personen und die Arten personenbezogener Daten ergeben sich aus Anlage 1 zu dieser AVV.

§ 3 Weisungsrecht

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die im Hauptvertrag und dieser AVV festgelegten Leistungen gelten als Erstweisungen. Weitergehende Weisungen bedürfen der Textform.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung bis zu einer Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(2) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit bei der Erfüllung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO) und bei der Erfüllung von Meldepflichten (Art. 33, 34 DSGVO).

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten. Die konkreten Maßnahmen sind in Anlage 2zu dieser AVV dokumentiert.

(2) Die TOM umfassen insbesondere:

• Verschlüsselung von Daten bei Übertragung (TLS 1.2+) und im Ruhezustand
• Zugangskontrolle durch rollenbasierte Berechtigungssysteme
• Mandantentrennung: Jeder Auftraggeber erhält eine dedizierte Serverinstanz mit isolierter Datenbank
• Regelmäßige Datensicherungen (mindestens täglich)
• Protokollierung sicherheitsrelevanter Zugriffe
• Regelmäßige Überprüfung und Aktualisierung der Maßnahmen

(3) Der Auftragnehmer stellt sicher, dass die TOM dem Stand der Technik entsprechen und passt sie bei Bedarf an. Eine Anpassung darf das Schutzniveau nicht unterschreiten.

§ 6 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen (Art. 28 Abs. 2 DSGVO). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vor der geplanten Änderung in Textform. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus berechtigtem datenschutzrechtlichem Grund widersprechen.

(3) Widerspricht der Auftraggeber fristgerecht, bemühen sich die Parteien um eine einvernehmliche Lösung. Ist eine solche nicht möglich, hat der Auftraggeber ein Sonderkündigungsrecht für den betroffenen Leistungsteil.

(4) Der Auftragnehmer legt Unterauftragsverarbeitern mindestens die gleichen Datenschutzpflichten auf wie in dieser AVV vereinbart (Art. 28 Abs. 4 DSGVO).

§ 7 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieser AVV und der datenschutzrechtlichen Vorgaben zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung.

(2) Inspektionen und Audits sind nach rechtzeitiger Ankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten zulässig. Der Auftraggeber trägt die Kosten der Überprüfung. Der Umfang der Prüfung ist auf das zur Überprüfung der Einhaltung erforderliche Maß beschränkt.

(3) Alternativ kann der Auftragnehmer aktuelle Zertifizierungen, Auditberichte oder vergleichbare Nachweise unabhängiger Dritter vorlegen, um die Einhaltung der Anforderungen zu belegen.

§ 8 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Löschung erfolgt innerhalb von 120 Tagen nach Vertragsende.

(2) Auf schriftliche Anfrage des Auftraggebers stellt der Auftragnehmer die Daten vor der Löschung in einem maschinenlesbaren Format (CSV oder JSON) zur Verfügung. Die Anfrage muss innerhalb von 30 Tagen nach Vertragsende erfolgen.

(3) Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 9 Schlussbestimmungen

(1) Diese AVV unterliegt dem Recht der Bundesrepublik Deutschland. Es gilt ergänzend die DSGVO.

(2) Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag hat diese AVV in datenschutzrechtlichen Fragen Vorrang.

(3) Änderungen dieser AVV bedürfen der Textform.

(4) Sollte eine Bestimmung dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1: Kategorien betroffener Personen und Datenarten

Kategorien betroffener Personen

• Endkunden und Interessenten des Auftraggebers (z. B. Shop-Besucher, Käufer, Anfragende)
• Mitarbeiter und bevollmächtigte Nutzer des Auftraggebers
• Geschäftspartner und Lieferanten des Auftraggebers, soweit deren Daten in angebundene Systeme einfließen

Arten personenbezogener Daten

• Stammdaten (Name, Firma, Anschrift, E-Mail-Adresse, Telefonnummer)
• Bestell- und Transaktionsdaten (Bestellnummern, Warenkorbinhalte, Bestellhistorie, Zahlungsreferenzen — keine vollständigen Zahlungsdaten)
• Kommunikationsdaten (Chat-Verläufe über integrierte Kanäle wie Telegram oder Web-Chat, E-Mail-Korrespondenz)
• Nutzungsdaten (Login-Zeitpunkte, Sitzungsdaten, IP-Adressen, User-Agent)
• Inhaltsdaten (vom Auftraggeber eingegebene oder durch die Software generierte Texte, Produktbeschreibungen, SEO-Inhalte)
• Analytische Daten (Suchmaschinenrankings, Preisvergleichsdaten, aggregierte Auswertungen)

Vollständige Zahlungsdaten (Kreditkartennummern, Bankverbindungen der Endkunden) werden nicht durch den Auftragnehmer verarbeitet, sondern verbleiben beim jeweiligen Zahlungsdienstleister des Auftraggebers.

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Hosting auf dedizierten Servern in zertifizierten Rechenzentren (ISO 27001) innerhalb der EU. Physischer Zugang ausschließlich durch den Rechenzentrumsbetreiber.
• Zugangskontrolle: Serverzugang ausschließlich über SSH-Schlüssel (kein Passwort-Login). Firewall (UFW) beschränkt eingehende Verbindungen auf erforderliche Ports.
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem in der Software. Administrationszugang nur für autorisierte Mitarbeiter des Auftragnehmers.
• Mandantentrennung: Jeder Auftraggeber erhält eine dedizierte Serverinstanz mit eigener Datenbank und eigenem Dateisystem. Keine gemeinsame Datenhaltung zwischen Auftraggebern.
• Container-Isolation: KI-Agenten laufen in isolierten Docker-Containern. Zugangsdaten werden über einen Credential-Proxy bereitgestellt und gelangen nicht in die Container-Umgebung.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: Sämtliche Datenübertragungen erfolgen TLS-verschlüsselt (mindestens TLS 1.2). API-Schlüssel und Zugangsdaten werden ausschließlich über Umgebungsvariablen und verschlüsselte Konfigurationsdateien verwaltet.
• Eingabekontrolle: Protokollierung sicherheitsrelevanter Zugriffe und Änderungen. Nachvollziehbarkeit über systemd-Journal und Anwendungslogs.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

• Datensicherung: Automatisierte tägliche Backups der Anwendungsdaten. Backup-Aufbewahrung für mindestens 14 Tage.
• Wiederherstellbarkeit: Dokumentierte Wiederherstellungsprozeduren. Wiederherstellung aus Backup innerhalb von 24 Stunden an Werktagen.
• Verfügbarkeit: Angestrebte Verfügbarkeit von 98 % im Monatsmittel gemäß § 5 Abs. 5 der AGB.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Aktualisierung von Betriebssystem und Softwareabhängigkeiten (Sicherheitspatches)
• Überprüfung der Zugangsberechtigungen bei Personaländerungen
• Jährliche Überprüfung und ggf. Anpassung der TOM

Anlage 3: Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

Der Auftragnehmer stellt sicher, dass für alle Unterauftragsverarbeiter mit Sitz außerhalb des EWR geeignete Garantien gemäß Art. 46 DSGVO vorliegen (insbesondere EU-Standardvertragsklauseln). Die jeweils aktuelle Liste der Unterauftragsverarbeiter kann vom Auftraggeber jederzeit per E-Mail angefordert werden.

Stand der Anlagen: April 2026. Änderungen an den Unterauftragsverarbeitern werden gemäß § 6 dieser AVV mitgeteilt.