Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Online-Version zur elektronischen Zustimmung

Dieser Auftragsverarbeitungsvertrag (AVV) wird gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) geschlossen zwischen:

1. Vertragsparteien

Digitelli GmbH
– nachfolgend „Auftragsverarbeiter“ –
An der Heck 21, 65843 Sulzbach (Taunus)
E-Mail: kontakt@digitelli.de

und

Dem Kunden der Digitelli GmbH
– nachfolgend „Verantwortlicher“ –
(Name und Adresse werden aus dem jeweiligen Vertrags- bzw. Kundenverhältnis übernommen)

Auftragsverarbeiter und Verantwortlicher werden gemeinsam auch als „Parteien“ bezeichnet.

§1 Gegenstand und Dauer der Verarbeitung

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand und Zweck der Verarbeitung ergeben sich aus dem zwischen den Parteien geschlossenen Hauptvertrag (z. B. Website-Erstellung und -Betreuung, Hosting, SEO, Cloud-Services, CRM-Pflege, Digitalisierungs- und IT-Dienstleistungen).
2. Die Verarbeitung erfolgt für die Dauer der Laufzeit des Hauptvertrags. Nach dessen Beendigung gelten die Regelungen dieses AVV fort, soweit dies zur Erfüllung gesetzlicher Pflichten erforderlich ist.

§2 Art und Zweck der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

• Erbringung der im Hauptvertrag vereinbarten Dienstleistungen (z. B. Hosting, Domainverwaltung, Pflege von Kundendaten, Webanalyse, Cloud-Dienste),
• technischer Support, Wartung und Fehlerbehebung,
• Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten.

Eine Verarbeitung zu anderen Zwecken ist unzulässig.

§3 Art der verarbeiteten Daten und Kategorien betroffener Personen

1. Datenarten

• Stammdaten (z. B. Name, Adresse, E-Mail-Adresse, Telefonnummer)
• Vertrags- und Abrechnungsdaten
• Nutzungsdaten (z. B. IP-Adressen, Logfiles, Online-Kennungen)
• Kommunikationsdaten (z. B. E-Mail-Verkehr, Supportanfragen)

2. Kategorien betroffener Personen

• Kunden und Interessenten des Verantwortlichen
• Mitarbeiter des Verantwortlichen
• Nutzer der vom Verantwortlichen betriebenen Websites, Systeme oder Online-Dienste

§4 Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht gesetzlich zu einer anderen Verarbeitung verpflichtet ist.
2. Der Auftragsverarbeiter gewährleistet die Vertraulichkeit der verarbeiteten Daten durch geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO.
3. Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet und mit den einschlägigen Datenschutzvorschriften vertraut.
4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrung der Rechte betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung).
5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Datenschutzvorfällen, Datenschutz-Folgenabschätzung).

§5 Technische und organisatorische Maßnahmen (TOMs)

1. Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus ein.
2. Diese Maßnahmen umfassen insbesondere:

• Zugangskontrolle (z. B. Passwortschutz, Zwei-Faktor-Authentifizierung),
• Zugriffskontrolle (Rollen- und Berechtigungskonzepte),
• Weitergabekontrolle (Verschlüsselung, Protokollierung),
• Eingabekontrolle (Nachvollziehbarkeit von Datenänderungen),
• Verfügbarkeitskontrolle (Backups, Redundanzen, Notfallkonzepte),
• Trennungskontrolle (Mandantentrennung bei Cloud- und Hosting-Systemen).

Eine detaillierte Beschreibung der TOMs kann auf Anfrage zur Verfügung gestellt werden.

§6 Unterauftragsverhältnisse

1. Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen, sofern diese vorab ausgewählt und vertraglich gemäß Art. 28 DSGVO verpflichtet werden.
2. Aktuell eingesetzte Unterauftragsverarbeiter sind insbesondere:

• Hosting: IONOS SE
• Cloud- und Software-Dienste: Nextcloud, Brevo, Lexware Office
• E-Mail-Kommunikation: IONOS, Brevo

1. Eine aktuelle Übersicht der Unterauftragsverarbeiter kann online bereitgestellt oder auf Anfrage zur Verfügung gestellt werden.

§7 Rechte und Pflichten des Verantwortlichen

1. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.
2. Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV beim Auftragsverarbeiter zu überprüfen, z. B. durch Auskunftsanfragen oder geeignete Nachweise.
3. Der Auftragsverarbeiter stellt die hierfür erforderlichen Informationen in angemessenem Umfang zur Verfügung.

§8 Meldung von Datenschutzvorfällen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält – soweit bekannt – insbesondere:

• die Art der Datenschutzverletzung,
• die Kategorien betroffener Personen und Daten,
• die möglichen Folgen der Verletzung,
• die ergriffenen oder geplanten Abhilfemaßnahmen.

§9 Rückgabe und Löschung von Daten

Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten gemäß Weisung des Verantwortlichen zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§10 Schlussbestimmungen

1. Dieser AVV wird in elektronischer Form bereitgestellt.
2. Der Vertrag kommt durch aktive elektronische Zustimmung (z. B. Checkbox oder Button „AVV akzeptieren“) zustande und gilt als rechtsverbindlich geschlossen.
3. Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.
4. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Stand: 12/2025

Hinweis: Dieser Auftragsverarbeitungsvertrag ist Bestandteil des jeweiligen Hauptvertrags zwischen dem Kunden und der Digitelli GmbH.