Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO – Guventa

Version 1.1 | Stand FEB 2026

Den aktuellsten Stand jederzeit unter https://guventa.de/security/avv

Vertragsparteien

(1) Guventa, nachfolgend „Auftragsverarbeiter“.
(2) Der jeweilige Vertragspartner des Hauptvertrages, nachfolgend „Verantwortlicher“.

§1 Gegenstand, Umfang und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung, dem Betrieb, der Wartung, der Absicherung und dem Support der cloudbasierten Guventa-Plattform einschließlich der zugehörigen Integrations- und Kommunikationsfunktionen, soweit diese vom Verantwortlichen aktiviert oder genutzt werden.
(2) Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Leistungen und ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verarbeitung aufgrund zwingender gesetzlicher Verpflichtung erfolgt; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vorab, soweit rechtlich zulässig. Deutschland: Bundesdatenschutzgesetz (DE) §62 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 28 Absatz 3 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 9 DSG Vereinigtes Königreich: UK GDPR (UK) Article 28(3)
(3) Die Laufzeit dieses Auftragsverarbeitungsvertrages entspricht der Laufzeit des zugrunde liegenden Hauptvertrages. Er endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf.

§2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Organisieren, Strukturieren, Nutzen, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten, soweit dies zur Erbringung der Plattformleistungen erforderlich ist.
(2) Zweck der Verarbeitung ist die Nutzung der Plattform für CRM-Funktionen, Marketing- und Vertriebsprozesse, Kommunikation (z. B. E-Mail, SMS, Voice, Messenger), Terminverwaltung, Automations- und Analyseprozesse sowie Integrationsprozesse gemäß den dokumentierten Weisungen des Verantwortlichen.
(3) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht zu eigenen Zwecken. Ausgenommen sind Verarbeitungen, die zur Erfüllung eigener gesetzlicher Pflichten, zur Abwehr oder Durchsetzung von Rechtsansprüchen oder zur Sicherstellung der System- und Informationssicherheit erforderlich sind; diese Verarbeitungen erfolgen als eigene Verantwortlichkeit, soweit rechtlich einschlägig.

§3 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Verarbeitete Datenarten können insbesondere sein: Stammdaten (z. B. Name, Firma), Kontaktdaten (z. B. E-Mail, Telefonnummer), Kommunikationsinhalte (je nach Nutzung), Nutzungs- und Metadaten, Vertrags- und Abrechnungsdaten (soweit im System geführt), technische Protokoll- und Logdaten.
(2) Kategorien betroffener Personen sind insbesondere: Kunden, Interessenten und Geschäftspartner des Verantwortlichen, Endkunden/Leads des Verantwortlichen, Mitarbeiter und sonstige Nutzer des Verantwortlichen.

§4 Weisungsbindung und Weisungsmanagement

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen werden regelmäßig durch die Nutzung der Plattform, Konfigurationen innerhalb der Benutzeroberfläche sowie durch Weisungen in Textform (z. B. E-Mail, Support-Ticket) erteilt.
(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter ist berechtigt, die Ausführung mündlicher Weisungen bis zur Bestätigung in Textform auszusetzen, soweit keine akute Gefahrenabwehr oder Sicherheitsmaßnahme erforderlich ist.
(3) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung auszusetzen, bis sie bestätigt, angepasst oder zurückgenommen wurde.

§5 Technische und organisatorische Maßnahmen (TOM)

(1) Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Die konkreten Maßnahmen sind in der Anlage „Technische und organisatorische Maßnahmen (TOM)“ beschrieben und Bestandteil dieses Vertrages. Änderungen der TOM sind zulässig, sofern sie das Schutzniveau insgesamt nicht verschlechtern und dem Stand der Technik sowie der Risikolage entsprechen.
(3) Die TOM umfassen insbesondere: Zugriffsbeschränkungen und Rollen-/Rechtekonzepte, Authentifizierungsmechanismen (z. B. 2FA/MFA), Verschlüsselung bei Übertragung und Speicherung (soweit technisch vorgesehen), Protokollierung sicherheitsrelevanter Zugriffe, Mandantentrennung, Datensicherungs- und Wiederherstellungsverfahren sowie Maßnahmen zur Erkennung und Abwehr von Angriffen.

§6 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten vertraulich zu behandeln und den Zugriff auf personenbezogene Daten auf diejenigen Personen zu beschränken, die sie zur Vertragserfüllung benötigen.
(2) Personen, die beim Auftragsverarbeiter Zugriff auf personenbezogene Daten haben, sind auf Vertraulichkeit verpflichtet oder unterliegen einer entsprechenden gesetzlichen Verschwiegenheitspflicht.

§7 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen der Plattformfunktionen und der vertraglich vereinbarten Leistungen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), soweit dies technisch möglich ist.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen auf Anfrage mit den ihm zur Verfügung stehenden Informationen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) sowie bei Konsultationen mit Aufsichtsbehörden, soweit die Informationen den Verantwortlichen betreffen und dem Auftragsverarbeiter vorliegen.
(3) Eine rechtliche Beratung, Prüfung von Rechtsgrundlagen, Datenschutzerklärungen, Impressen oder sonstigen rechtlichen Pflichten des Verantwortlichen schuldet der Auftragsverarbeiter nicht.
(4) Unterstützungsleistungen, die über die standardmäßig bereitgestellten Funktionen hinausgehen, erfolgen nur nach gesonderter Vereinbarung und sind kostenpflichtig.
(5) Der Auftragsverarbeiter schuldet keine laufende Kontrolle der Rechtmäßigkeit der durch den Verantwortlichen veranlassten Verarbeitungen, keine dauerhafte Prüfung von Einwilligungsnachweisen und keine fortlaufende Überwachung von Kampagnen oder Inhalten; der Verantwortliche bleibt hierfür verantwortlich.

§8 Unterauftragsverhältnisse (Subprozessoren)

(1) Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.
(2) Die jeweils aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil dieses Vertrages und als Subprocessor-Register öffentlich abrufbar unter https://guventa.de/plattform/subprocess
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen der Unterauftragsverarbeiter in geeigneter Weise. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
(4) Widerspricht der Verantwortliche dem Einsatz eines neuen Unterauftragsverarbeiters aus wichtigem datenschutzrechtlichem Grund und ist dem Auftragsverarbeiter die Fortführung der vertraglich geschuldeten Leistungen ohne den Einsatz dieses Unterauftragsverarbeiters technisch oder wirtschaftlich nicht zumutbar, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit einer Frist von zwei (2) Wochen außerordentlich zu kündigen.

§9 Drittlandübermittlungen

(1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Der Auftragsverarbeiter nutzt für Übermittlungen in die USA das EU-U.S. Data Privacy Framework (DPF) nur, sofern der jeweilige Anbieter zum Zeitpunkt der Verarbeitung zertifiziert ist. Sofern DPF nicht anwendbar ist oder ein Anbieter nicht (mehr) zertifiziert ist, stützt sich der Auftragsverarbeiter auf EU-Standardvertragsklauseln (SCC) sowie ergänzende technische und organisatorische Maßnahmen (TOM).

§10 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten im Rahmen der Auftragsverarbeitung bekannt geworden ist, sofern und soweit der Auftragsverarbeiter die Verletzung nachvollziehbar bestätigen kann.
(2) Die Meldung enthält die gesetzlich erforderlichen Informationen, soweit diese dem Auftragsverarbeiter vorliegen, insbesondere Art der Verletzung, betroffene Datenkategorien, Umfang, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Abhilfemaßnahmen.
(3) Der Auftragsverarbeiter übernimmt keine Verpflichtung zur Meldung an Aufsichtsbehörden oder betroffene Personen. Diese Verantwortung liegt ausschließlich beim Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten mit den verfügbaren Informationen.

§11 Kontrollrechte und Audits

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages zu überprüfen.
(2) Kontrollen erfolgen grundsätzlich durch Remote-Nachweise, Audit-Berichte und Zertifikate (z. B. ISO 27001, SOC 2), sowie durch die Beantwortung angemessener Fragebögen, soweit dies verhältnismäßig ist.
(3) Vor-Ort-Kontrollen sind ausgeschlossen, sofern kein begründeter Verdacht eines schwerwiegenden Datenschutzverstoßes besteht und keine gesetzlichen Verpflichtungen entgegenstehen. Vor-Ort-Kontrollen sind in jedem Fall auf das erforderliche Minimum zu beschränken, rechtzeitig anzukündigen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.
(4) Der Auftragsverarbeiter ist berechtigt, angemessene Kosten für Audits in Rechnung zu stellen, soweit diese über übliche Remote-Nachweise hinausgehen.

§12 Löschung, Rückgabe und Daten-Lifecycle nach Vertragsende oder Suspendierung

(1) Nach Beendigung des Hauptvertrages oder nach wirksamer Suspendierung gemäß den vertraglichen Regelungen löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Maßgabe der vereinbarten Daten-Lifecycle-Regeln, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder eine Speicherung zur Abwehr oder Durchsetzung von Rechtsansprüchen erforderlich ist.
(2) Soweit vertraglich eine Soft-Suspendierung mit anschließender Datenaufbewahrung vorgesehen ist, werden Daten für bis zu 90 Tage ab Beginn der Soft-Suspendierung vorgehalten und anschließend unwiderruflich gelöscht. Kostenpflichtige Add-ons und providergebundene Zusatzleistungen können nach 30 Tagen Soft-Suspendierung getrennt, gekündigt und eingestellt werden; eine spätere Wiederherstellung ist nicht geschuldet.
(3) Während einer Soft-Suspendierung besteht kein Anspruch auf Zugriff, Export, Backup oder Wiederherstellung durch den Auftragsverarbeiter. Der Verantwortliche ist verpflichtet, erforderliche Exporte oder Sicherungen rechtzeitig vor Suspendierung oder Vertragsende vorzunehmen, soweit die Plattform hierfür Funktionen bereitstellt.
(4) Unterstützungsleistungen zur Datenrückgabe, Sonderexporte oder strukturierte Aufbereitungen erfolgen nur nach gesonderter Vereinbarung und sind kostenpflichtig.
(5) Alternativ zur Löschung kann eine Anonymisierung erfolgen, sofern dies technisch möglich und datenschutzrechtlich zulässig ist. Deutschland: Bürgerliches Gesetzbuch (DE) §241 Absatz 2 BGB Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 28 Absatz 3 Buchstabe g DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 9 DSG Vereinigtes Königreich: UK GDPR (UK) Article 28(3)(g)

§13 Haftung

(1) Die Haftung gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO und bleibt unberührt.
(2) Im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter gilt die Haftungsregelung des Hauptvertrages, insbesondere die dort vereinbarte Haftungsbegrenzung, soweit gesetzlich zulässig. Weisungswidrige oder rechtswidrige Verarbeitung durch den Verantwortlichen bleibt dessen Verantwortungsbereich zugeordnet.

§14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.