Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen

Himstedt Digital Solutions
– nachfolgend Auftragnehmer

und

dem jeweiligen Kunden
– nachfolgend Auftraggeber

gemeinsam auch Vertragsparteien genannt.

§1 Gegenstand und Dauer der Verarbeitung

  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Erbringung von Hosting- und IT-Dienstleistungen.

  2. Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten gemäß den Weisungen des Auftraggebers.

  3. Die Dauer der Verarbeitung entspricht der Laufzeit des zugrunde liegenden Hosting-Vertrages.

§2 Art und Zweck der Verarbeitung

  1. Art der Verarbeitung:

    • Speichern

    • Übermitteln

    • Bereitstellen

    • Löschen personenbezogener Daten

  2. Zweck der Verarbeitung:

    • Technische Bereitstellung von Server- und Hosting-Leistungen

    • Betrieb von Websites und Webanwendungen

    • Sicherstellung von Verfügbarkeit, Stabilität und Sicherheit der Systeme

§3 Art der personenbezogenen Daten

Je nach Nutzung durch den Auftraggeber können insbesondere folgende Daten verarbeitet werden:

  • Bestandsdaten (z. B. Namen, E-Mail-Adressen)

  • Kommunikationsdaten

  • Inhaltsdaten (z. B. Formulareingaben)

  • Nutzungs- und Protokolldaten (z. B. IP-Adressen, Logfiles)

§4 Kategorien betroffener Personen

  • Kunden des Auftraggebers

  • Interessenten

  • Mitarbeiter des Auftraggebers

  • Nutzer der vom Auftraggeber betriebenen Websites

§5 Pflichten des Auftraggebers

  1. Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.

  2. Der Auftraggeber stellt sicher, dass alle erforderlichen Einwilligungen und Informationspflichten eingehalten werden.

  3. Weisungen an den Auftragnehmer erfolgen in dokumentierter Form.

§6 Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

  2. Der Auftragnehmer verpflichtet alle zur Verarbeitung befugten Personen auf Vertraulichkeit.

  3. Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

  4. Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung von Betroffenenrechten, soweit technisch möglich und zumutbar.

§7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer setzt insbesondere folgende Maßnahmen ein:

a) Zugangskontrolle

  • Passwortgeschützte Systeme

  • Rollen- und Rechteverwaltung

  • SSH-/SFTP-Zugriffe

b) Zugriffskontrolle

  • Firewall-Systeme

  • Serverseitige Sicherheitsmechanismen

  • Trennung von Kundendaten

c) Verfügbarkeitskontrolle

  • Monitoring

  • Schutz vor unbefugtem Zugriff

  • Maßnahmen gegen Datenverlust

d) Integritätskontrolle

  • Protokollierung von Zugriffen

  • Schutz vor unbefugter Veränderung

§8 Unterauftragsverarbeiter

  1. Der Auftragnehmer ist berechtigt, Unterauftragsverarbeiter einzusetzen, insbesondere für:

    • Rechenzentrumsbetrieb

    • Infrastruktur- und Netzwerkbereitstellung

  2. Der Auftragnehmer stellt sicher, dass mit Unterauftragsverarbeitern entsprechende Datenschutzvereinbarungen bestehen.

  3. Der Einsatz erfolgt ausschließlich innerhalb der Europäischen Union.

§9 Datenübermittlung in Drittländer

Eine Übermittlung in Drittländer erfolgt nicht, sofern dies nicht durch Drittanbieter-Dienste des Auftraggebers selbst veranlasst wird.

§10 Meldung von Datenschutzverletzungen

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich über bekannt gewordene Datenschutzverletzungen.

  2. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung gesetzlicher Meldepflichten.

§11 Löschung und Rückgabe von Daten

  1. Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer personenbezogene Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

  2. Eine Datenrückgabe erfolgt nur auf ausdrückliche Anforderung des Auftraggebers.

§12 Kontrollrechte

  1. Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV zu überprüfen.

  2. Kontrollen sind rechtzeitig anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.

§13 Haftung

  1. Es gelten die Haftungsregelungen des zugrunde liegenden Hosting-Vertrages.

  2. Eine Haftung des Auftragnehmers ist ausgeschlossen, sofern Datenschutzverstöße auf Weisungen des Auftraggebers beruhen.

§14 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

  2. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

  3. Es gilt deutsches Recht.

Nach oben scrollen