Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO · Stand: Januar 2025 · EMPA – Data & Management Consulting GmbH als Auftragsverarbeiter

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) regelt die Verarbeitung personenbezogener Daten durch EMPA – Data & Management Consulting GmbH (nachfolgend „Auftragsverarbeiter”) im Auftrag des jeweiligen Vertragspartners (nachfolgend „Verantwortlicher”) gemäß Art. 28 DSGVO.

(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Verarbeitung, Nutzung, Übermittlung und Löschung personenbezogener Daten.

(2) Zweck der Verarbeitung: Bereitstellung und Betrieb der vertraglich vereinbarten SaaS-Lösung sowie damit verbundener Supportleistungen.

(3) Kategorien betroffener Personen: Mitarbeitende, Kunden und sonstige Kontaktpersonen des Verantwortlichen, soweit deren Daten in der Software verarbeitet werden.

(4) Kategorien personenbezogener Daten: Stammdaten (Name, Kontaktdaten), Nutzungsdaten, Zugangsdaten sowie weitere im Einzelfall vereinbarte Datenkategorien.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 29 DSGVO), es sei denn, eine gesetzliche Verpflichtung besteht.
  • Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten oder diese einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterwerfen.
  • Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen und deren Wirksamkeit regelmäßig zu überprüfen.
  • Dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten bereitzustellen.
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen geltendes Datenschutzrecht verstößt.
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Datenschutzverletzung gemäß Art. 33 DSGVO festgestellt wird.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter implementiert und pflegt insbesondere folgende Maßnahmen:

Vertraulichkeit

  • Zutrittskontrolle: Serverräume mit Zugangsbeschränkung, Sicherheitsschlösser.
  • Zugangskontrolle: Passwortrichtlinien, Mehr-Faktor-Authentifizierung für privilegierte Accounts.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC), Need-to-know-Prinzip.
  • Trennungskontrolle: Logische Mandantentrennung, getrennte Datenbankinstanzen pro Auftraggeber.

Integrität

  • Weitergabekontrolle: Verschlüsselte Übertragung (TLS 1.2+) aller Daten im Transit.
  • Eingabekontrolle: Protokollierung aller Datenänderungen mit Zeitstempel und Nutzer-ID.

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Regelmäßige Datensicherungen, getestete Recovery-Prozesse.
  • Monitoring: Automatische Überwachung der Systemverfügbarkeit mit Alarmierung.
  • Notfallkonzept: Dokumentierter Incident-Response-Plan.

Verfahren zur Überprüfung

  • Regelmäßige interne Sicherheitsreviews.
  • Jährliche Überprüfung und Aktualisierung der TOM-Dokumentation.

§ 5 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Er informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung neuer Unterauftragsverarbeiter und gibt dem Verantwortlichen Gelegenheit, innerhalb von 14 Tagen Einwände zu erheben.

(2) Eingesetzte Unterauftragsverarbeiter werden vertraglich in gleichem Maße wie der Auftragsverarbeiter selbst verpflichtet. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die ordnungsgemäße Erfüllung der Pflichten durch Unterauftragsverarbeiter.

(3) Aktuell eingesetzte Unterauftragsverarbeiter werden dem Verantwortlichen auf Anfrage mitgeteilt.

§ 6 Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen und Zumutbaren bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) gemäß Kapitel III DSGVO.

(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 7 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter auf Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten zurück und löscht alle vorhandenen Kopien, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

(2) Die Löschung wird dem Verantwortlichen schriftlich bestätigt.

§ 8 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzbestimmungen und der in diesem AVV festgelegten Maßnahmen beim Auftragsverarbeiter durch Anforderung von Nachweisen (z. B. Zertifikate, Auditberichte) oder Vor-Ort-Überprüfungen zu kontrollieren.

(2) Beabsichtigte Kontrollen sind dem Auftragsverarbeiter mit angemessener Vorlaufzeit (in der Regel 10 Werktage) anzukündigen. Die Parteien tragen ihre jeweiligen Kosten selbst.

§ 9 Schlussbestimmungen

Im Übrigen gelten die Allgemeinen Geschäftsbedingungen von EMPA. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Anforderungen betreffen.

Impressum
Datenschutz
AGB
AVV

© 2025 EMPA – Data & Management Consulting GmbH · HRB 130143 AG Frankfurt