Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO der Kh. Digital Solutions GmbH
Version 1.0 · Stand: 01.05.2026
Hinweis zur Einbeziehung: Dieser AVV ist Bestandteil des Hauptvertrages (bestehend aus Auftragsformular und AGB) und gilt mit dessen Abschluss als vereinbart. Eine gesonderte Unterzeichnung ist nicht erforderlich. „Auftragnehmer” ist die Kh. Digital Solutions GmbH; „Auftraggeber” ist der im Auftragsformular genannte Kunde.
§ 1 Anwendungsbereich
(1) Die Kh. Digital Solutions GmbH, Friedrichstr. 1A, 80801 München (nachfolgend „Auftragnehmer”) stellt dem Kunden (nachfolgend „Auftraggeber”) als Software as a Service (SaaS) Software-Anwendungen sowie Speicherkapazitäten für die vom Kunden oder Dritten erzeugten und/oder eingebrachten Daten (z. B. Kundendaten, Mitarbeiterdaten, Produktlisten, Pläne) zur Verfügung und erbringt zusätzliche Support-Leistungen; der zugrunde liegende Vertrag wird „Hauptvertrag” genannt. Im Rahmen der Leistungserbringung ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle fungiert („Auftraggeber-Daten”).
(2) Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
§ 2 Umfang der Beauftragung
(1) Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i. S. v. Art. 28 DS-GVO. Jede abweichende oder darüber hinausgehende Verarbeitung, insbesondere zu eigenen Zwecken, ist untersagt; dies gilt auch für die Verwendung anonymisierter Daten.
(2) Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen i. S. v. Art. 4 Nr. 2 DS-GVO im zur Zweckerreichung erforderlichen Umfang. Zweck ist die Erfüllung der Verpflichtungen aus dem Hauptvertrag, insbesondere (a) die systematische Erfassung, Verwaltung und Analyse von Kundendaten in einem CRM-System, (b) die Kommunikation mit Kunden und (c) die Durchführung gezielter Maßnahmen zur Akquise und Pflege potenzieller Kundenbeziehungen.
(3) Die Verarbeitung betrifft ausschließlich:
- (a) Arten personenbezogener Daten: Kontaktdaten (insb. Anrede, Titel, Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer, bevorzugte Sprache), Vertragsdaten.
- (b) Kategorien betroffener Personen: Kunden des Auftraggebers; Beschäftigte/Ansprechpartner des Auftraggebers.
Hinweis für abweichende Fälle: Verarbeitet ein Kunde über Planelio andere Datenarten oder -kategorien, sind diese im Auftragsformular oder in einer Einzelvereinbarung zu ergänzen.
(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
(5) Die Verarbeitung findet grundsätzlich innerhalb der EU/des EWR statt. Eine Verarbeitung außerhalb des EWR ist zulässig, wenn der Auftragnehmer den Auftraggeber vorab über den Ort informiert und die Voraussetzungen der Art. 44–48 DS-GVO erfüllt sind oder eine Ausnahme nach Art. 49 DS-GVO vorliegt.
§ 3 Weisungsbefugnisse des Auftraggebers
(1) Die Verarbeitung erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und auf dokumentierte Weisung des Auftraggebers, sofern nicht zwingende gesetzliche Regelungen etwas anderes verlangen.
(2) Der Auftraggeber behält sich ein umfassendes Weisungsrecht vor. Weisungen sollen schriftlich oder in Textform erteilt werden; mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Hält der Auftragnehmer eine Weisung für rechtswidrig, ist er nach Mitteilung an den Auftraggeber berechtigt, die Ausführung bis zur Bestätigung auszusetzen. Die Verantwortung für die weisungsgemäße Verarbeitung liegt beim Auftraggeber.
(4) Weisungsberechtigte Personen und Weisungsempfänger:
- (a) Der Auftraggeber teilt dem Auftragnehmer unverzüglich nach Vertragsschluss in Textform Namen und Kontaktdaten der weisungsberechtigten Personen mit.
- (b) Weisungsempfänger auf Seiten des Auftragnehmers: Yannick Lorentz, Friedrichstr. 1A, 80801 München, +49 30 233262749, info@planelio.com; Ivo Wissler, Friedrichstr. 1A, 80801 München, ivo.wissler@planelio.com.
- (c) Änderungen sind der anderen Partei unverzüglich und mindestens in Textform mitzuteilen.
§ 4 Verantwortlichkeit des Auftraggebers
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte allein verantwortlich. Auf § 15 (Haftung) wird verwiesen.
(2) Der Auftraggeber stellt die Auftraggeber-Daten rechtzeitig bereit und ist für ihre Qualität verantwortlich. Er informiert den Auftragnehmer unverzüglich und vollständig über festgestellte Fehler oder Unregelmäßigkeiten.
(3) Der Auftraggeber stellt dem Auftragnehmer auf Anforderung die Angaben nach Art. 30 Abs. 2 DS-GVO zur Verfügung, soweit diese dem Auftragnehmer nicht selbst vorliegen.
(4) Ist der Auftragnehmer gegenüber staatlichen Stellen auskunfts- oder kooperationspflichtig, unterstützt der Auftraggeber ihn auf erstes Anfordern.
§ 5 Anforderungen an Personal
(1) Der Auftragnehmer verpflichtet alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit und weist dies auf erstes Anfordern nach.
(2) Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen die Daten nur auf seine Anweisung verarbeiten, sofern keine gesetzliche Pflicht besteht.
(3) Der Auftragnehmer setzt nur Systeme ein, die eine der Verarbeitungssituation angemessene, datenschutzfreundliche technische Gestaltung unterstützen.
§ 6 Sicherheit der Verarbeitung
(1) Der Auftragnehmer ergreift gemäß Art. 32 DS-GVO erforderliche, geeignete technische und organisatorische Maßnahmen und hält sie während der Verarbeitung aufrecht, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Der Auftragnehmer gewährleistet, vor Beginn der Verarbeitung die in Anhang 1 (TOMs) spezifizierten Maßnahmen zu ergreifen und aufrechtzuerhalten.
(3) Änderungen der TOMs sind nach vorheriger, mindestens in Textform erfolgter Zustimmung zulässig, solange das Sicherheitsniveau nicht unterschritten wird.
(4) Erweisen sich die TOMs als nicht ausreichend, setzt der Auftragnehmer auf Weisung weitergehende Maßnahmen um und informiert den Auftraggeber unverzüglich in Textform.
§ 7 Regelung zu „Remote-Working”
(1) Die Verarbeitung außerhalb der Betriebsstätte des Auftragnehmers (insbesondere im Homeoffice oder an anderen Remote-Arbeitsplätzen innerhalb der EU/des EWR) ist zulässig.
(2) Der Auftragnehmer stellt die Einhaltung der vereinbarten TOMs auch im Remote-Working sicher.
(3) Der Auftragnehmer konfiguriert die Speicherorte so, dass eine lokale Speicherung auf im Remote-Working genutzten Systemen ausgeschlossen ist; andernfalls erfolgt die lokale Speicherung ausschließlich verschlüsselt und ohne Zugriff Dritter.
(4) Der Auftragnehmer stellt eine wirksame Kontrolle durch den Auftraggeber sicher und berücksichtigt dabei die Persönlichkeitsrechte der Beschäftigten und weiterer Personen angemessen.
§ 8 Inanspruchnahme weiterer Auftragsverarbeiter
(1) Der Auftraggeber erteilt die allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter. Die bei Vertragsschluss genehmigten Unterauftragsverarbeiter ergeben sich aus Anhang 2.
(2) Der Auftragnehmer verpflichtet sich, (a) jedem weiteren Auftragsverarbeiter dieselben Pflichten aufzuerlegen, (b) vor und regelmäßig während der Beauftragung die TOMs zu prüfen, und (c) die Einhaltung auf Verlangen nachzuweisen.
(3) Unter Einhaltung von § 2 Absatz (5) gilt dies auch bei Einschaltung in einem Drittstaat; der Auftraggeber wirkt an der Erfüllung der Art. 49 DS-GVO im erforderlichen Maße mit.
(4) Der Auftragnehmer informiert über jede beabsichtigte Änderung. Der Auftraggeber kann Einspruch erheben; bei Einspruch ist die Änderung untersagt. Bei zugelassenen Änderungen stellt der Auftragnehmer eine aktualisierte Liste unverlangt bereit.
(5) Keiner Zustimmungspflicht unterliegen Verträge mit Dienstleistern zur Prüfung/Wartung oder für Nebenleistungen, auch wenn ein Zugriff nicht ausgeschlossen werden kann, solange angemessene Vertraulichkeitsregelungen bestehen.
§ 9 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen.
(2) Macht eine betroffene Person Rechte unmittelbar gegenüber dem Auftragnehmer geltend, leitet er das Ersuchen zeitnah an den Auftraggeber weiter.
(3) Der Auftragnehmer teilt Informationen über gespeicherte Daten, Empfänger und Zweck mit, soweit dem Auftraggeber diese nicht selbst vorliegen.
(4) Der Auftragnehmer ermöglicht dem Auftraggeber – im Rahmen des Zumutbaren und gegen Erstattung nachzuweisender Kosten – die Berichtigung, Löschung oder Einschränkung der Verarbeitung bzw. nimmt diese auf Verlangen selbst vor, wenn dies dem Auftraggeber unmöglich ist.
(5) Bei Datenübertragbarkeit nach Art. 20 DS-GVO unterstützt der Auftragnehmer im Rahmen des Zumutbaren und gegen Kostenerstattung bei der Bereitstellung in einem gängigen, maschinenlesbaren Format.
§ 10 Pflichten des Auftragnehmers bei Datensicherheitsvorfall
(1) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, jede potenzielle Verletzung des Schutzes von Auftraggeber-Daten („Datensicherheitsvorfall”). Die Meldung enthält nach Möglichkeit (a) eine Beschreibung der Art der Verletzung inkl. Kategorien/ungefährer Zahl betroffener Personen und Datensätze, (b) die wahrscheinlichen Folgen und (c) ergriffene bzw. vorgeschlagene Abhilfemaßnahmen.
(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren und gegen Kostenerstattung bei Aufklärungs-, Abhilfe- und Informationsmaßnahmen (etwa nach Art. 33, 34 DS-GVO) und ergreift unverzüglich zumutbare Maßnahmen zur Schadensbegrenzung.
§ 11 Sonstige Unterstützungspflichten des Auftragnehmers
(1) Ist der Auftraggeber gegenüber staatlichen Stellen oder Dritten auskunftspflichtig, unterstützt der Auftragnehmer auf erstes Anfordern, insbesondere durch unverzügliche Bereitstellung relevanter Informationen und Dokumente.
(2) Der Auftragnehmer stellt auf Verlangen unverzüglich eine aktuelle Aufstellung nach Art. 30 Abs. 2 DS-GVO sowie der zugriffsberechtigten Personen bereit.
(3) Der Auftragnehmer unterstützt im Rahmen des Zumutbaren und gegen Kostenerstattung bei Datenschutz-Folgenabschätzungen und Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DS-GVO.
§ 12 Datenlöschung und -herausgabe
(1) Der Auftragnehmer löscht auf Weisung des Auftraggebers mit Beendigung des Hauptvertrages alle Auftraggeber-Daten vollständig und unwiderruflich oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Löschung ist geeignet zu dokumentieren.
(3) Dem Auftragnehmer steht kein Zurückbehaltungsrecht (§ 273 BGB) an den Auftraggeber-Daten zu.
§ 13 Nachweise und Überprüfungen
(1) Der Auftragnehmer stellt sicher und kontrolliert mindestens jährlich, dass die Verarbeitung mit diesem AVV und den Weisungen im Einklang steht.
(2) Der Auftragnehmer dokumentiert die Umsetzung der Pflichten und legt Nachweise auf Anfrage vor, insbesondere zu (a) Vertraulichkeitsverpflichtungen, (b) Datenschutzverletzungen, (c) Verträgen mit und Prüfungen von weiteren Auftragsverarbeitern, (d) weisungsgemäßen Löschungen.
(3) Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV – auch durch Vor-Ort-Kontrollen innerhalb der üblichen Betriebszeiten (Mo–Fr 9:00–17:00 Uhr, außer gesetzliche Feiertage in Bayern) – selbst oder durch einen beauftragten Prüfer zu überprüfen. Vor-Ort-Kontrollen sind i. d. R. mindestens zwei Wochen vorher anzukündigen. Der Auftragnehmer gewährt die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte; der Auftraggeber nimmt angemessene Rücksicht auf die Betriebsabläufe.
(4) Der Auftragnehmer darf Geschäftsgeheimnisse und sensible Informationen sowie Daten anderer Kunden von der Offenlegung ausnehmen, soweit nicht unmittelbar für die Prüfzwecke relevant.
(5) Beauftragt der Auftraggeber einen Dritten mit der Prüfung, verpflichtet er ihn schriftlich entsprechend und zur Verschwiegenheit; ein Wettbewerber des Auftragnehmers darf nicht beauftragt werden.
(6) Nach Wahl des Auftragnehmers kann der Nachweis statt durch Inspektion durch ein geeignetes, aktuelles Testat oder einen Bericht einer unabhängigen Instanz oder eine geeignete Zertifizierung (z. B. nach BSI-Grundschutz) erbracht werden.
§ 14 Laufzeit und Kündigung
(1) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags; die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend.
(2) Der Auftraggeber ist jederzeit zur außerordentlichen Kündigung aus wichtigem Grund berechtigt, insbesondere wenn der Auftragnehmer (a) Daten zweckwidrig verwendet, (b) eine Weisung nicht ausführt, (c) einer Meldepflicht nach § 10 Absatz (1) nicht nachkommt, (d) Kontrollrechte verweigert oder erheblich behindert, (e) einen Unterauftragsverarbeiter unter Verstoß gegen § 8 einschaltet, oder (f) gegen eine sonstige wesentliche Pflicht verstößt.
(3) Der Hauptvertrag darf bei Beendigung dieses AVV nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verarbeitet. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses AVV und umgekehrt.
§ 15 Haftung
(1) Die Haftung der Parteien für Schäden aus schuldhaften Verstößen gegen diesen AVV sowie gegen die jeweilige Partei treffende gesetzliche Datenschutzpflichten und der Haftungsregress im Innenverhältnis richten sich nach Art. 82 Abs. 4 und 5 DS-GVO. Für die Haftung des Auftragnehmers gelten die Haftungsausschlüsse und -begrenzungen des Hauptvertrages.
(2) Dies gilt entsprechend für Geldbußen, soweit die andere Partei Anteil an der Verantwortung trägt.
§ 16 Schlussbestimmungen
(1) Sollte eine Bestimmung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; die Parteien ersetzen die unwirksame Regelung durch eine wirksame, die dem Zweck am nächsten kommt und Art. 28 DS-GVO genügt.
(2) Für Rechtswahl und Gerichtsstand gelten die Regelungen des Hauptvertrages.
(3) Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen (insbesondere dem Hauptvertrag) gehen die Regelungen dieses AVV vor.
Anhang 1 (Technische und organisatorische Maßnahmen — TOMs)
1. Organisatorische Maßnahmen
- Ein betrieblicher Datenschutzbeauftragter ist bestellt: Dr. Sebastian Kraska, email@iitr.de, Tel. 089-18917360.
- Mitarbeiter wurden nachweislich über Datenschutzrecht und Datensicherheit geschult.
- Alle Mitarbeiter sind nachweislich auf Vertraulichkeit gem. Art. 29 DS-GVO verpflichtet.
- Ein Datensicherheitskonzept / Informationssicherheitsmanagement ist vorhanden.
- Ein Datenschutzkonzept ist vorhanden.
2. Vertraulichkeit
- Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle: Der Auftragnehmer betreibt keine lokalen Datenverarbeitungsanlagen. Die Daten werden in den Cloud-Diensten der in Anhang 2 aufgeführten Unterauftragnehmer verarbeitet; die Zutrittskontrolle wird bei diesen geregelt, die nach ISO 27001 zertifiziert sind.
- Zugangs- und Benutzerkontrolle: Passwortvergabe (mind. 8 Zeichen); Authentifikation mit Benutzername/Passwort. Auf Wunsch des Auftraggebers können Zwei-Faktor-Authentifizierung (MFA) und/oder Single Sign-on (SSO) für die Nutzerkonten aktiviert werden.
- Zugriffskontrolle: Rechteverwaltung durch System-Administrator; Anzahl der Administratoren auf das Notwendigste reduziert; Verschlüsselung von Datenträgern; sichere Aufbewahrung von Datenträgern.
- Transport- und Übertragungskontrolle: Weitergabe in anonymisierter/pseudonymisierter Form bzw. Verschlüsselung.
- Auftragskontrolle: Vorhandene Vereinbarungen zur Auftragsverarbeitung.
3. Integrität
- Eingabe-/Verarbeitungskontrolle: Nachvollziehbarkeit von Eingabe, Änderung und Löschung durch individuelle Benutzernamen (nicht Benutzergruppen).
- Dokumentationskontrolle: Führung eines Verarbeitungsverzeichnisses; Dokumentation der eingesetzten IT-Systeme und deren Konfiguration; Zulässigkeit eines Datentransfers in Drittländer ist gegeben.
4. Verfügbarkeitskontrolle
- Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort.
5. Trennungsgebot
- Logische Mandantentrennung (softwareseitig); Trennung von Produktiv- und Testsystem.
Anhang 2 (Unterauftragsverarbeiter)
| Unterauftragsverarbeiter | Sitz / Kontakt | Leistung |
|---|---|---|
| Digital Ocean, LLC | 101 Ave of the Americas, 10th Floor, New York 10013, USA · privacy@digitalocean.com | Bereitstellung von Servern und Datenbanken |
| Amazon Web Services, EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxemburg · aws-EU-privacy@amazon.com | Speicherung und Bereitstellung von Daten, die Nutzer hochladen |
| Microsoft Deutschland GmbH | Walter-Gropius-Straße 5, 80807 München, Deutschland · +49 89 3176 0 | Versenden von E-Mails |
| Vercel Inc. | 440 N Barranca Ave #4133, Covina, CA 91723, USA · privacy@vercel.com | Hosten von Benutzeroberflächen |
| Meta Platforms Ireland Limited | Merrion Road, Dublin 4, D04 X2K5, Irland | Schaltung von Werbung und Aufzeichnung von Nutzerdaten |
| Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Irland · support-deutschland@google.com | Schaltung von Werbung und Aufzeichnung von Nutzerdaten |
Soweit im Rahmen der vorstehenden Unterbeauftragungen personenbezogene Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DS-GVO, insbesondere EU-US Data Privacy Framework bei zertifizierten Anbietern) oder auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DS-GVO), jeweils ergänzt um erforderliche zusätzliche Maßnahmen.
Kh. Digital Solutions GmbH · Friedrichstr. 1A · 80801 München · +49 30 233262749 · planelio.com