Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: März 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) wird zwischen dem Auftraggeber (nachfolgend „Auftraggeber”) und der Vanturis UG (haftungsbeschränkt) (nachfolgend „Auftragnehmer”) geschlossen und ergänzt den jeweiligen Service-Vertrag über Managed Services.
Mit der Buchung eines Managed Service und der Akzeptanz dieses AVV kommt der Vertrag in Textform gemäß Art. 28 Abs. 9 DSGVO zustande.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und des Betriebs von Managed Services, insbesondere Hosting, Wartung und Administration von Cloud-Anwendungen gemäß dem jeweiligen Service-Vertrag.
Dauer
Die Dauer der Verarbeitung entspricht der Laufzeit des jeweiligen Service-Vertrags. Dieser AVV endet automatisch mit Beendigung des letzten aktiven Service-Vertrags zwischen Auftraggeber und Auftragnehmer.
Art der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Hosting von Daten auf Servern in Deutschland
- Sicherung der Daten (Backups)
- Wartung und Administration der bereitgestellten Cloud-Anwendungen
- Technischer Support und Fehlerbehebung
Art der personenbezogenen Daten
Die Art der verarbeiteten personenbezogenen Daten wird durch den Auftraggeber bestimmt und hängt vom genutzten Managed Service ab. Dies können insbesondere sein:
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift)
- Dokumente und Dateien
- Kommunikationsdaten
- Zugangsdaten und Authentifizierungsinformationen
- Sonstige Daten, die der Auftraggeber im Rahmen des gebuchten Dienstes speichert und verarbeitet
Kreis der Betroffenen
Der Kreis der betroffenen Personen wird durch den Auftraggeber bestimmt und kann insbesondere umfassen:
- Kunden und Interessenten des Auftraggebers
- Mitarbeiter und Bewerber des Auftraggebers
- Geschäftspartner und Lieferanten des Auftraggebers
- Sonstige Personen, deren Daten der Auftraggeber im Rahmen des Dienstes verarbeitet
§ 2 Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
Weisungen können schriftlich, in Textform (z. B. per E-Mail) oder über das Kundenportal erteilt werden. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
§ 3 Vertraulichkeit
Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags und des Beschäftigungsverhältnisses fort.
Der Auftragnehmer stellt sicher, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten des Auftraggebers haben, nur im Rahmen der erteilten Weisungen und der vertraglichen Vereinbarungen auf diese Daten zugreifen.
§ 4 Technische und Organisatorische Maßnahmen
Der Auftragnehmer hat die erforderlichen technischen und organisatorischen Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DSGVO).
Eine ausführliche Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) finden Sie in unserer Datenschutzerklärung.
Die wichtigsten Maßnahmen umfassen:
- Verschlüsselung: AES-256-GCM Verschlüsselung sensibler Daten im Ruhezustand; TLS/HTTPS für alle Datenübertragungen
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit individuellen Berechtigungen; Zugriff nur für autorisiertes Personal
- Isolation: Isolierte Container pro Dienst und Kunde; separate Datenvolumes zur Vermeidung unbeabsichtigter Datenüberschneidungen
- Datensicherung: Regelmäßige automatisierte Datensicherungen (Backups) mit verschlüsselter Speicherung
- Hosting-Standort: Hosting ausschließlich in ISO 27001 zertifizierten Rechenzentren in Deutschland (Hetzner Online GmbH, Standorte Nürnberg/Falkenstein)
- Monitoring: Kontinuierliche Überwachung der Systeme auf Verfügbarkeit und Sicherheitsvorfälle
Der Auftragnehmer überprüft die Maßnahmen regelmäßig und passt sie dem aktuellen Stand der Technik an. Eine Änderung der Maßnahmen ist zulässig, solange das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
§ 5 Unterauftragsverarbeiter
Der Auftragnehmer setzt die folgenden Unterauftragsverarbeiter ein, denen der Auftraggeber mit Akzeptanz dieses AVV zustimmt (Art. 28 Abs. 2 DSGVO):
| Unterauftragsverarbeiter | Zweck | Standort | Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Infrastruktur | Nürnberg/Falkenstein, Deutschland | AVV vorhanden |
| Stripe Inc. | Zahlungsabwicklung | USA | EU-Standardvertragsklauseln |
| sevdesk GmbH | Rechnungsstellung | Deutschland | AVV vorhanden |
| Cloudflare Inc. | Bot-Schutz, CDN, DDoS-Schutz | USA | EU-Standardvertragsklauseln |
Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern informieren. Der Auftraggeber hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Der Einspruch ist innerhalb von 14 Tagen nach Mitteilung in Textform zu erheben.
Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).
§ 6 Rechte der Betroffenen
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (Art. 28 Abs. 3 lit. e DSGVO).
Wendet sich eine betroffene Person mit einem Antrag auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch direkt an den Auftragnehmer, wird dieser den Antrag unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird ohne Weisung des Auftraggebers nicht eigenständig gegenüber betroffenen Personen tätig.
§ 7 Löschung und Rückgabe von Daten
Nach Beendigung des Service-Vertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten (Art. 28 Abs. 3 lit. g DSGVO).
Die automatische Löschung aller Daten erfolgt spätestens 90 Tage nach Vertragsende. Innerhalb dieser Frist hat der Auftraggeber die Möglichkeit, die Herausgabe seiner Daten in einem gängigen, maschinenlesbaren Format zu verlangen.
Auf Wunsch bestätigt der Auftragnehmer die vollständige Löschung der Daten in Textform.
§ 8 Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu überprüfen, auch durch Inspektionen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.
Inspektionen vor Ort sind nach vorheriger Ankündigung mit angemessener Frist (mindestens 14 Tage) und unter Berücksichtigung der betrieblichen Abläufe möglich. Der Auftragnehmer kann alternativ aktuelle Prüfberichte, Zertifikate oder Ergebnisse von Audits durch unabhängige Dritte vorlegen.
§ 9 Meldung von Datenschutzverletzungen
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens folgende Informationen:
- Art der Verletzung des Schutzes personenbezogener Daten
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen.
§ 10 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden, soweit sie die ihr durch die DSGVO auferlegten Pflichten verletzt hat.
Der Auftragnehmer haftet für Schäden, die durch eine Verarbeitung entstehen, bei der er die speziell den Auftragsverarbeitern auferlegten Pflichten nicht eingehalten hat oder bei der er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat.
§ 11 Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die unwirksame Bestimmung ist durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien hat dieser AVV in Bezug auf den Schutz personenbezogener Daten Vorrang.
Es gilt deutsches Recht. Gerichtsstand ist Mainz.
Verantwortlicher Auftragnehmer
Vanturis UG (haftungsbeschränkt)
Geschäftsführer: Tim Plate, Tjorven Hüther
Hintergasse 12
55237 Flonheim
Deutschland
Registergericht: Amtsgericht Mainz
Registernummer: HRB 54485
E-Mail: info@vanturis.de
Telefon: +49 (06734) 9155314