Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Version 1.1 | Stand FEB 2026 Vertragsparteien (1) Guventa, nachfolgend „Auftragsverarbeiter“. (2) Der jeweilige Vertragspartner des Hauptvertrages, nachfolgend „Verantwortlicher“. §1 Gegenstand, Umfang und Dauer der Verarbeitung (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung, dem Betrieb, der Wartung, der Absicherung und dem Support der cloudbasierten Guventa-Plattform einschließlich der zugehörigen Integrations- und Kommunikationsfunktionen, soweit diese vom Verantwortlichen aktiviert oder genutzt werden. (2) Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verarbeitung aufgrund zwingender gesetzlicher Verpflichtung erfolgt; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vorab, soweit rechtlich zulässig. (3) Die Laufzeit dieses Auftragsverarbeitungsvertrages entspricht der Laufzeit des zugrunde liegenden Hauptvertrages. Er endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf. §2 Art und Zweck der Verarbeitung (1) Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Organisieren, Strukturieren, Nutzen, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten, soweit dies zur Erbringung der Plattformleistungen erforderlich ist. (2) Zweck der Verarbeitung ist die Nutzung der Plattform für CRM-Funktionen, Marketing- und Vertriebsprozesse, Kommunikation, Terminverwaltung, Automations- und Analyseprozesse sowie Integrationsprozesse gemäß den dokumentierten Weisungen des Verantwortlichen. (3) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht zu eigenen Zwecken. Ausgenommen sind Verarbeitungen, die zur Erfüllung eigener gesetzlicher Pflichten, zur Abwehr oder Durchsetzung von Rechtsansprüchen oder zur Sicherstellung der System- und Informationssicherheit erforderlich sind. §3 Art der personenbezogenen Daten und Kategorien betroffener Personen (1) Verarbeitete Datenarten können insbesondere sein: Stammdaten, Kontaktdaten, Kommunikationsinhalte, Nutzungs- und Metadaten, Vertrags- und Abrechnungsdaten, technische Protokoll- und Logdaten. (2) Kategorien betroffener Personen sind insbesondere: Kunden, Interessenten und Geschäftspartner des Verantwortlichen, Endkunden/Leads des Verantwortlichen, Mitarbeiter und sonstige Nutzer des Verantwortlichen. §4 Weisungsbindung und Weisungsmanagement (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. (2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. (3) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich. §5 Technische und organisatorische Maßnahmen (TOM) (1) Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. (2) Die konkreten Maßnahmen sind in der Anlage „Technische und organisatorische Maßnahmen (TOM)“ beschrieben und Bestandteil dieses Vertrages. (3) Die TOM umfassen insbesondere: Zugriffsbeschränkungen und Rollen-/Rechtekonzepte, Authentifizierungsmechanismen, Verschlüsselung bei Übertragung und Speicherung, Protokollierung sicherheitsrelevanter Zugriffe, Mandantentrennung, Datensicherungs- und Wiederherstellungsverfahren. §6 Vertraulichkeit (1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten vertraulich zu behandeln und den Zugriff auf personenbezogene Daten auf diejenigen Personen zu beschränken, die sie zur Vertragserfüllung benötigen. (2) Personen, die beim Auftragsverarbeiter Zugriff auf personenbezogene Daten haben, sind auf Vertraulichkeit verpflichtet. §7 Unterstützung des Verantwortlichen (1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen der Plattformfunktionen bei der Erfüllung von Betroffenenrechten, soweit dies technisch möglich ist. (2) Der Auftragsverarbeiter unterstützt den Verantwortlichen auf Anfrage bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) sowie bei Konsultationen mit Aufsichtsbehörden. (3) Eine rechtliche Beratung schuldet der Auftragsverarbeiter nicht. (4) Unterstützungsleistungen, die über die standardmäßig bereitgestellten Funktionen hinausgehen, erfolgen nur nach gesonderter Vereinbarung und sind kostenpflichtig. (5) Der Auftragsverarbeiter schuldet keine laufende Kontrolle der Rechtmäßigkeit der durch den Verantwortlichen veranlassten Verarbeitungen. §8 Unterauftragsverhältnisse (Subprozessoren) (1) Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. (2) Die jeweils aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil dieses Vertrages. (3) Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen der Unterauftragsverarbeiter. (4) Widerspricht der Verantwortliche dem Einsatz eines neuen Unterauftragsverarbeiters aus wichtigem datenschutzrechtlichem Grund, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag außerordentlich zu kündigen. §9 Drittlandübermittlungen (1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. (2) Der Auftragsverarbeiter nutzt für Übermittlungen in die USA das EU-U.S. Data Privacy Framework (DPF) oder stützt sich auf EU-Standardvertragsklauseln (SCC) sowie ergänzende technische und organisatorische Maßnahmen. §10 Meldung von Datenschutzverletzungen (1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. (2) Die Meldung enthält die gesetzlich erforderlichen Informationen. (3) Der Auftragsverarbeiter übernimmt keine Verpflichtung zur Meldung an Aufsichtsbehörden oder betroffene Personen. §11 Kontrollrechte und Audits (1) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages zu überprüfen. (2) Kontrollen erfolgen grundsätzlich durch Remote-Nachweise, Audit-Berichte und Zertifikate. (3) Vor-Ort-Kontrollen sind ausgeschlossen, sofern kein begründeter Verdacht eines schwerwiegenden Datenschutzverstoßes besteht. (4) Der Auftragsverarbeiter ist berechtigt, angemessene Kosten für Audits in Rechnung zu stellen. §12 Löschung, Rückgabe und Daten-Lifecycle nach Vertragsende oder Suspendierung (1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Maßgabe der vereinbarten Daten-Lifecycle-Regeln. (2) Soweit vertraglich eine Soft-Suspendierung vorgesehen ist, werden Daten für bis zu 90 Tage vorgehalten und anschließend unwiderruflich gelöscht. (3) Während einer Soft-Suspendierung besteht kein Anspruch auf Zugriff oder Export durch den Auftragsverarbeiter. (4) Unterstützungsleistungen zur Datenrückgabe erfolgen nur nach gesonderter Vereinbarung. (5) Alternativ zur Löschung kann eine Anonymisierung erfolgen. §13 Haftung (1) Die Haftung gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO. (2) Im Innenverhältnis gilt die Haftungsregelung des Hauptvertrages. §14 Schlussbestimmungen (1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. (2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.