Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

zwischen

REIFBERGER webSolutions GmbH, Erbacher Str. 9, 64711 Erbach

– nachfolgend „Auftragsverarbeiter“ –

und

[Ihre Firmendaten – siehe Formular unten]

– nachfolgend „Auftraggeber“ –

(nachfolgend beide auch „Partei“ bzw. „Parteien“)

§ 1 Allgemeine Bestimmungen und Auftragsgegenstand

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragsverarbeiter (Art. 28 DSGVO). Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Verarbeitung sind Anlage 1 zu entnehmen.

(2) Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für die Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenenrechte verantwortlich.

(3) Die Verarbeitung der Daten durch den Auftragsverarbeiter findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung des Auftraggebers.

(4) Die Vergütung wird außerhalb dieses Vertrags vereinbart.

§ 2 Vertragslaufzeit und Kündigung

Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

§ 3 Weisungen des Auftraggebers

(1) Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung gegenüber dem Auftragsverarbeiter zu. Er kann insbesondere die unverzügliche Löschung, Berichtigung, Sperrung oder Herausgabe der vertragsgegenständlichen Daten verlangen. Der Auftragsverarbeiter ist verpflichtet, den Weisungen Folge zu leisten, sofern keine berechtigten vertraglichen oder gesetzlichen Interessen entgegenstehen.

(2) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt. Bei substantiiert angezweifelter Rechtmäßigkeit ist er berechtigt, die Ausführung auszusetzen, bis der Auftraggeber die Weisung ausdrücklich bestätigt oder ändert.

(3) Weisungen sind grundsätzlich schriftlich oder in elektronischer Form (z. B. per E-Mail) zu erteilen. Mündliche Weisungen sind auf Verlangen zu bestätigen und werden nach Person, Datum und Uhrzeit protokolliert.

(4) Der Auftraggeber benennt auf Verlangen eine oder mehrere weisungsberechtigte Personen. Änderungen sind unverzüglich mitzuteilen.

(5) Vorbehaltlich abweichender Vereinbarungen kann der Auftragsverarbeiter eine zusätzliche Vergütung für Mehraufwendungen verlangen, die ihm durch Weisungen des Auftraggebers entstehen.

§ 4 Kontrollbefugnisse des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn und während der Verarbeitung im erforderlichen Umfang zu kontrollieren.

(2) Kontrollmaßnahmen müssen verhältnismäßig sein und den Betrieb des Auftragsverarbeiters nicht mehr als erforderlich beeinträchtigen. Vor-Ort-Kontrollen erfolgen grundsätzlich zu üblichen Geschäftszeiten nach Terminvereinbarung mit angemessener Vorlauffrist.

(3) Die Ergebnisse der Kontrollen und Weisungen sind von beiden Parteien in geeigneter Weise zu protokollieren.

(4) Der Auftragsverarbeiter kann eine zusätzliche Vergütung (u. a. nach Stundenlohn und Sachaufwand) für Mehraufwendungen aus Kontrollmaßnahmen verlangen.

§ 5 Allgemeine Pflichten des Auftragsverarbeiters

(1) Die Verarbeitung erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedstaatlicher Rechtsvorschriften zulässig; ist dies erforderlich, teilt der Auftragsverarbeiter dies vor der Verarbeitung mit, sofern das Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter hält sämtliche gesetzlichen Vorschriften ein, implementiert insbesondere die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen und führt das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten, soweit gesetzlich vorgeschrieben.

(3) Soweit zur Benennung eines Datenschutzbeauftragten verpflichtet, bestätigt der Auftragsverarbeiter dessen gesetzeskonforme Auswahl und benennt ihn unter Angabe der Kontaktdaten. Änderungen sind unverzüglich mitzuteilen.

(4) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(5) Der Auftragsverarbeiter kontrolliert die Erfüllung seiner Pflichten regelmäßig und selbstständig und dokumentiert dies in geeigneter Weise.

§ 6 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen festgelegt und in Anlage 2 festgehalten; sie wurden unter Beachtung von Art. 32 DSGVO ausgewählt und mit dem Auftraggeber abgestimmt.

(2) Der Auftragsverarbeiter überprüft und passt die Maßnahmen bei Bedarf und anlassbezogen an. Wesentliche Änderungen, durch die das Schutzniveau verringert werden könnte, sind vorab mit dem Auftraggeber abzustimmen.

§ 7 Unterstützungspflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter unterstützt den Auftraggeber gemäß Art. 28 Abs. 3 lit. e DSGVO bei der Wahrung der Betroffenenrechte (Art. 12–22 DSGVO), insbesondere bei Auskunft, Löschung, Berichtigung und Einschränkung.

(2) Er unterstützt den Auftraggeber ferner gemäß Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32–36 DSGVO (insbesondere Meldepflichten).

(3) Vorbehaltlich abweichender Regelungen kann der Auftragsverarbeiter eine zusätzliche Vergütung für Mehraufwendungen aus diesen Unterstützungspflichten verlangen.

§ 8 Einsatz von Unterauftragsverarbeitern (Subunternehmer)

(1) Der Auftragsverarbeiter ist nur mit Zustimmung des Auftraggebers zum Einsatz von Unterauftragsverarbeitern berechtigt. Die bestehenden Subunternehmer sind in Anlage 3 abschließend aufgeführt; für diese gilt die Zustimmung mit Abschluss dieses Vertrags als erteilt. Klarstellung: Die in Anlage 3 genannten Hosting- und Domain-Dienstleister sind für die Erbringung der vereinbarten Leistungen technisch zwingend erforderlich; ohne Zustimmung zu diesen Subunternehmern kann die vertragsgegenständliche Leistung nicht erbracht werden.

(2) Beabsichtigt der Auftragsverarbeiter den Einsatz weiterer Subunternehmer, zeigt er dies dem Auftraggeber rechtzeitig vorab in schriftlicher oder elektronischer Form an. Erfolgt keine Zustimmung, dürfen die betroffenen Subunternehmer nicht eingesetzt werden.

(3) Subunternehmer werden unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Nebenleistungen ohne konkreten Bezug zur Hauptleistung (z. B. Telekommunikations-, Post- und Transportdienstleistungen, Wartung) stellen keine Unterauftragsverhältnisse dar.

(4) Sämtliche Verträge mit Unterauftragsverarbeitern müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften genügen, insbesondere Maßnahmen nach Art. 32 DSGVO sowie die Kontroll- und Weisungsrechte des Auftraggebers gewährleisten.

(5) Der Auftragsverarbeiter ist für die Einhaltung der Datenschutzbestimmungen durch die eingesetzten Unterauftragsverarbeiter verantwortlich und haftet hierfür gegenüber dem Auftraggeber.

(6) Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.

(7) Die Einhaltung der Pflichten dieser Ziffer wird vor Vertragsschluss mit dem Subunternehmer und sodann regelmäßig kontrolliert und dokumentiert.

§ 9 Mitteilungspflichten des Auftragsverarbeiters

(1) Verstöße gegen diesen Vertrag, gegen Weisungen oder gegen datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gilt auch bei begründetem Verdacht.

(2) Der Auftragsverarbeiter unterstützt den Auftraggeber bei dessen Informationspflichten nach Art. 33 und 34 DSGVO. Eigenständige Meldungen führt er nur nach vorheriger Weisung durch.

(3) Ersuchen Betroffene, Behörden oder Dritte den Auftragsverarbeiter um Auskunft, Berichtigung, Sperrung oder Löschung, leitet er die Anfrage unverzüglich an den Auftraggeber weiter und kommt dem Ersuchen nicht ohne dessen Zustimmung nach.

(4) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über bevorstehende Aufsichtshandlungen sowie über Ereignisse, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.

§ 10 Vertragsbeendigung, Löschung und Rückgabe der Daten

Nach Abschluss der Verarbeitung bzw. nach Beendigung dieses Vertrags löscht oder retourniert der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Auftraggeber ist berechtigt, die Maßnahmen in geeigneter Weise zu überprüfen.

§ 11 Datengeheimnis und Vertraulichkeit

(1) Der Auftragsverarbeiter ist unbefristet und über das Vertragsende hinaus verpflichtet, die erlangten personenbezogenen Daten vertraulich zu behandeln und einschlägige Geheimnisschutzregeln (z. B. § 203 StGB) zu beachten.

(2) Er macht seine Mitarbeiter mit den einschlägigen Regeln vertraut und verpflichtet sie zur Verschwiegenheit, bevor sie ihre Tätigkeit aufnehmen.

(3) Die Einhaltung wird dokumentiert und dem Auftraggeber auf Verlangen vorgelegt.

§ 12 Schlussbestimmungen

(1) Änderungen und Nebenabreden bedürfen der schriftlichen oder elektronischen Form.

(2) Bei Änderungen der DSGVO oder in Bezug genommener Regelungen gelten die Verweise auch für Nachfolgeregelungen.

(3) Sind einzelne Teile unwirksam, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.

Unterschriften

Dieser Vertrag wurde elektronisch abgeschlossen (Art. 28 Abs. 9 DSGVO). Die Zustimmung des Auftragsverarbeiters ist mit diesem Standarddokument vorab erteilt; der Vertrag kommt mit der elektronischen Unterzeichnung durch den Auftraggeber zustande.

Anlage 1 – Auftragsdetails

Geltungsbereich und Dauer der Verarbeitung

Dieser Vertrag gilt als Rahmenvereinbarung für sämtliche Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Rahmen der Geschäftsbeziehung für den Auftraggeber durchführt (insbesondere Webhosting, Domainverwaltung, Wartung/Betreuung sowie Erstellung von Webseiten und Anwendungen). Einer gesonderten Bezugnahme auf einzelne Hauptverträge bedarf es nicht. Die Verarbeitung erfolgt für die Dauer der Geschäftsbeziehung, längstens bis zur Beendigung dieses Vertrags.

Verarbeitete Datenarten

• Anschrift und Name des Auftraggebers
• Namen, geschäftliche Telefonnummern, E-Mail-Adressen, Position und Benutzer-Accounts der Mitarbeiter des Auftraggebers
• soweit erforderlich: IP-Adressen
• Datensicherungen des Auftraggebers inkl. evtl. Drittadressen
• Vertragsstammdaten, Kundenhistorie, Vertragsbewegungsdaten (Abrechnungs- und Zahlungsdaten)
• im Falle eines Webhosting-Vertrags zusätzlich vom Auftraggeber bestimmte Datenarten (Server-Logfiles, Online-Kennungen, E-Mail-Adressen, Bestands-, Nutzungs-, Rechnungs- und Inhaltsdaten der Nutzer der auftraggebereigenen Webseiten und Datenbanken)

Kreis der betroffenen Personen

• Mitarbeiter des Auftraggebers als unmittelbar Betroffene
• vom Auftraggeber mit seinen Zwecken bestimmte weitere Kreise (Kunden, Lieferanten, Geschäftspartner)
• im Falle eines Webhosting-Vertrags regelmäßig Webseiten-, Datenbank- und E-Mail-Nutzer

Ort der Verarbeitung

Die Verarbeitung findet in den Geschäftsräumen des Auftragsverarbeiters statt: Erbacher Str. 9, 64711 Erbach sowie Zweites Buero: Airlenbacher Str. 1a, 64760 Oberzent. Beide Standorte sind Betriebsstätten der REIFBERGER webSolutions GmbH.

Anlage 2 – Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

I. Zweckbindung und Trennbarkeit

• physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern (Webhosting)
• logische Mandantentrennung (softwareseitig)
• Berechtigungskonzept
• Trennung von Produktiv- und Testsystem

II. Vertraulichkeit und Integrität

(1) Verschlüsselung: Festplatten-/Datenträgerverschlüsselung der Arbeitsgeräte (z. B. FileVault/BitLocker); Transportverschlüsselung (TLS/HTTPS, SSH/SFTP); Verschlüsselung der Datensicherungen.

(2) Pseudonymisierung: Nein. Eine Pseudonymisierung erfolgt nicht, da die Auftragsverarbeitung regelmäßig die unmittelbare Bearbeitung von Bestands- und Inhaltsdaten erfordert.

(3) Zutrittskontrolle (Büroräume): manuelles Schließsystem; Sicherheitsschlösser; Schlüsselregelung.

(4) Zugangskontrolle: Benutzerrechte/-profile; Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Änderung); Authentifikation mit Benutzername/Passwort, wo möglich Zwei-Faktor-Authentifizierung; Anti-Viren-Software; Hardware- und Software-Firewall; VPN bei der Datenübertragung; Verschlüsselung mobiler IT-Systeme (Laptops/Notebooks); Verschlüsselung mobiler Datenträger.

(5) Zugriffskontrolle: Berechtigungskonzept; Rechteverwaltung durch Systemadministrator; Anzahl der Administratoren auf das Notwendigste reduziert; Protokollierung von Zugriffen; sichere Aufbewahrung und ordnungsgemäße Vernichtung von Datenträgern (DIN 66399).

(6) Eingabekontrolle: Protokollierung von Eingabe/Änderung/Löschung; Nachvollziehbarkeit durch individuelle Benutzernamen; Rechtevergabe auf Basis eines Berechtigungskonzepts.

(7) Auftragskontrolle (Subunternehmer): sorgfältige Auswahl; Abschluss von Auftragsverarbeitungsverträgen; wirksame Kontrollrechte; laufende Überprüfung.

(8) Transport-/Weitergabekontrolle: Verschlüsselung der Kommunikationswege; VPN-Tunnel; Verschlüsselung physischer Datenträger bei Transport (z. B. transportierte SSD-/Backup-Medien).

III. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit

• belastbares Backup- und Wiederherstellungskonzept nach dem 3-2-1-Prinzip
• regelmäßige Datensicherung; Testen der Datenwiederherstellung
• Aufbewahrung einer Sicherung an einem räumlich getrennten, gesicherten Ort
• Verschlüsselung der Datensicherungen; Notfallplan für Datenverlust und Systemausfall

IV. Besondere Datenschutzmaßnahmen / KI-gestützte Werkzeuge

Schriftlich liegen vor: Datensicherheitskonzept, Notfall-/Wiederanlaufkonzept.

KI-gestützte Werkzeuge (z. B. textgenerierende Sprachmodelle, KI-Coding-Assistenten) werden ausschließlich so eingesetzt, dass keine personenbezogenen Daten des Auftraggebers an diese Dienste übermittelt werden. Eine Verarbeitung personenbezogener Daten des Auftraggebers durch diese Dienste findet nicht statt; sie stellen daher keine Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO dar.

V. Überprüfung, Evaluierung und Anpassung

Der Auftragsverarbeiter überprüft und evaluiert die Maßnahmen mindestens jährlich sowie anlassbezogen und passt sie bei Bedarf an.

Anlage 3 – Bestehende Subunternehmer zum Zeitpunkt des Vertragsschlusses

Subunternehmer 1
ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf
Leistung: Bereitstellung von Hosting- und E-Mail-Dienstleistungen; gesicherter Zugriff auf die Hardware im Supportfall.
Ort der Leistungserbringung: Deutschland

Subunternehmer 2
Greenmark IT GmbH, Leinstr. 3, 31061 Alfeld (Leine)
Leistung: Domainverwaltung sowie IP-Weiterleitungen an die Server des Auftragsverarbeiters.
Ort der Leistungserbringung: Deutschland

Subunternehmer 3
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen
Leistung: Bereitstellung von Hosting-/Server-Dienstleistungen; gesicherter Zugriff auf die Hardware im Supportfall.
Ort der Leistungserbringung: Deutschland