Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO


Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO

Stand: 01/2026


Zwischen


(1) Auftraggeber (Mandant):

[Unternehmensname, Rechtsform]

[Adresse]

[Vertretungsberechtigte Person]

[E-Mail]


und


(2) Auftragnehmer:

Vertriebskraftwerk GmbH & Co. KG

Drögeholt 9, 21365 Adendorf

E-Mail: service@vertriebskraftwerk.eu

- nachfolgend „Auftragnehmer“ -


wird folgender Vertrag zur Auftragsverarbeitung geschlossen:


1. Gegenstand, Dauer, Art und Zweck der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer stellt dem Auftraggeber die SaaS-Anwendung „Vertriebskraftwerk“ zur Verfügung, insbesondere zur Erstellung und Bereitstellung digitaler Formulare, zur strukturierten Erfassung und Auswertung von Antworten sowie zur Nutzung von Integrationen/Kommunikationsfunktionen, soweit durch den Auftraggeber aktiviert.


1.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zzgl. etwaiger Nachlaufzeiten für Export/Löschung nach Ziffer 10.


1.3 Art der Verarbeitung

Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen/Verändern, Auslesen/Abfragen, Verwenden, Übermitteln (nur auf Weisung), Bereitstellen, Löschen/Vernichten.


1.4 Zweck der Verarbeitung

Technische Bereitstellung und Betrieb der SaaS-Anwendung sowie Durchführung der vom Auftraggeber initiierten Prozesse (Formulare, Datenerhebung, Auswertung, Dokumentation, Kommunikation), inkl. Support, Fehleranalyse, Sicherheit, Protokollierung.


1.5 Kategorien betroffener Personen und Daten

Ergeben sich aus Anlage 1.


2. Weisungsrecht

2.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung entgegensteht.

2.2 Weisungen erfolgen mindestens in Textform (z. B. E-Mail). Der Auftragnehmer informiert den Auftraggeber, wenn er eine Weisung für rechtswidrig hält.


3. Vertraulichkeit / Zugriffsbeschränkung

Der Auftragnehmer stellt sicher, dass mit der Verarbeitung befasste Personen zur Vertraulichkeit verpflichtet sind und Zugriff nur nach dem Need-to-know-Prinzip erhalten.


4. Technische und organisatorische Maßnahmen (TOM)

4.1 Der Auftragnehmer trifft TOM nach Art. 32 DSGVO. Die zum Zeitpunkt des Vertragsschlusses geltenden TOM sind in Anlage 2 dokumentiert.

4.2 Der Auftragnehmer darf TOM weiterentwickeln, sofern das Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Auftraggeber in geeigneter Weise mitgeteilt.


5. Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber – soweit technisch möglich und angemessen – bei:

- Betroffenenrechten (Art. 12–23 DSGVO),

- Sicherheit der Verarbeitung / Meldungen (Art. 32–34 DSGVO),

- Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Konsultation (Art. 36 DSGVO).


6. Unterauftragsverarbeiter (Subunternehmer)

6.1 Der Auftragnehmer darf Unterauftragsverarbeiter zur Erbringung der Leistungen einsetzen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 3 vollständig benannt (inkl. Zweck, Datenarten, Verarbeitungsort/Region und – soweit relevant – Drittlandbezug).

6.2 Der Auftragnehmer stellt sicher, dass mit Unterauftragsverarbeitern Verträge nach Art. 28 DSGVO geschlossen werden und die Datenschutzpflichten dieses AVV inhaltlich weitergegeben werden.

6.3 Der Auftragnehmer informiert den Auftraggeber vorab über beabsichtigte Änderungen in Anlage 3 (Hinzufügen/Ersetzen). Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.


7. Internationale Datenübermittlungen / Drittlandzugriffe

7.1 Die wesentliche Verarbeitung erfolgt in der EU (insbesondere durch Konfiguration zentraler Komponenten in einer EU-Region, z. B. Frankfurt, soweit technisch vorgesehen).

7.2 Je nach eingesetzten Unterauftragsverarbeitern, deren Betriebsmodellen (z. B. globales Netzwerk/Edge) und Konzernstrukturen kann ein Zugriff auf personenbezogene Daten aus Drittländern (insbesondere USA) nicht in jedem Fall technisch vollständig ausgeschlossen werden.

7.3 Soweit eine Drittlandverarbeitung relevant ist, erfolgt diese ausschließlich unter Einhaltung der Art. 44 ff. DSGVO, insbesondere auf Basis geeigneter Garantien (z. B. EU-Standardvertragsklauseln und ergänzende Maßnahmen oder Angemessenheitsbeschluss, soweit anwendbar). Der Auftragnehmer stellt dem Auftraggeber auf Anfrage Nachweise zur Verfügung.


8. Kontrollrechte / Nachweise

Der Auftragnehmer ermöglicht dem Auftraggeber angemessene Nachweise über die Einhaltung dieses AVV (z. B. Dokumentation, Zertifikate/Reports, TOM-Beschreibung, Subunternehmerliste), unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie Sicherheitsbelangen.


9. Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Bewertung/Erfüllung der Pflichten nach Art. 33/34 DSGVO erforderlichen Informationen bereit, soweit verfügbar.


10. Rückgabe/Löschung nach Vertragsende

Nach Ende der Verarbeitung löscht oder gibt der Auftragnehmer personenbezogene Daten nach Wahl/Weisung des Auftraggebers zurück, sofern keine gesetzlichen Pflichten entgegenstehen. Details ergeben sich aus dem Löschkonzept bzw. dem Hauptvertrag.


11. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) – Standardmäßig ausgeschlossen

11.1 Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist im Standardumfang der SaaS-Anwendung ausdrücklich ausgeschlossen.

11.2 Der Auftraggeber wird solche Daten nicht über die SaaS-Anwendung verarbeiten lassen und die Erhebung solcher Daten in Formularen unterlassen.

11.3 Abweichungen sind nur nach gesonderter schriftlicher Vereinbarung zulässig, welche mindestens umfasst: (a) Prüfung und Festlegung einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO, (b) Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, (c) zusätzliche Schutzmaßnahmen/TOM (z. B. strengere Zugriffsbeschränkungen, kürzere Löschfristen, besondere Protokollierung).


12. KI-Funktionen (optional; nur bei Aktivierung durch den Auftraggeber)

12.1 Soweit der Auftraggeber KI-Funktionen nutzt, gilt: Der Auftragnehmer gestaltet den Prozess so, dass keine Klartext-Identifikatoren natürlicher Personen (insb. Name, Vorname, Anschrift sowie spezifische weitere Kontaktdaten) an den KI-Anbieter übermittelt werden.

12.2 Stattdessen werden Identifikatoren vor der Übermittlung durch eine kryptografische Referenz-ID ersetzt. Die Zuordnung Referenz-ID ↔ Person erfolgt ausschließlich in Systemen des Auftragnehmers bzw. des Auftraggebers; der KI-Anbieter erhält keine Zuordnungsinformationen.

12.3 Der Auftraggeber ist verpflichtet, keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) über KI-Eingaben zu übermitteln. Ergebnisse dienen als Assistenz und werden durch menschliche Entscheider geprüft (Human-in-the-loop), es erfolgt keine ausschließlich automatisierte Entscheidung mit Rechtswirkung.


13. Zahlungsabwicklung (nur Mandantenabrechnung)

13.1 Sofern der Auftraggeber Lizenzen im Self-Service bucht, erfolgt die Zahlungsabwicklung über einen Zahlungsdienstleister (z. B. Stripe). Dabei werden ausschließlich Abrechnungs-/Zahlungsdaten des Auftraggebers verarbeitet (z. B. Rechnungsadresse, Zahlungsstatus, Transaktionsdaten).

13.2 Endkundendaten (Formularinhalte) werden nicht zu Zahlungszwecken an den Zahlungsdienstleister übermittelt.


14. Ansprechpartner / Weisungsberechtigte

Die weisungsberechtigten Personen des Auftraggebers ergeben sich aus Anlage 4.


15. Schlussbestimmungen

15.1 Änderungen/Ergänzungen dieses AVV bedürfen mindestens Textform.

15.2 Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – der Sitz des Auftraggebers.


Anlagen:

Anlage 1 – Beschreibung der Verarbeitung (Betroffene/Daten)

Anlage 2 – Technische und organisatorische Maßnahmen (TOM)

Anlage 3 – Genehmigte Unterauftragsverarbeiter (Subunternehmer)

Anlage 4 – Weisungsberechtigte Personen