Muster des AVVs (Vertrag zur Auftragsverarbeitung)

I. Präambel

Die Vertragsparteien sind mit der Leistungsvereinbarung und deren Durchführung ein Auftragsverarbeitungsvertrag (nachstehend "Vertrag" genannt) im Sinne des Art. 28 EU-Datenschutz-Grundverordnung (nachstehend "DSGVO" genannt) eingegangen. Um in Ergänzung zu der Leistungsvereinbarung die hieraus resultierenden datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien hinsichtlich der Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers gemäß den gesetzlichen Verpflichtungen zu konkretisieren, schließen die Vertragsparteien den nachfolgenden Vertrag. Auftragsverarbeiter Mahn Mahntec UG haftungsbeschränkt (nachstehend "OtterOrbit" genannt)

II. Anwendungsbereich

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter allein verantwortlich ("Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO). Dieser Vertrag findet Anwendung auf alle Tätigkeiten des Auftragsverarbeiters bei denen durch den Auftragsverarbeiter oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

III. Gegenstand und Dauer der Auftragsverarbeitung

  1. Gegenstand und Spezifizierung der Auftragsverarbeitung
    Der Auftragsverarbeiter verarbeitet im Rahmen dieses Auftrages personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages. Aus dem Leistungsvereinbarung ergeben sich Gegenstand und Dauer der Auftragsverarbeitung. Eine Spezifizierung, sowie Art und Zweck der Auftragsverarbeitung, werden im Anhang "Gegenstand der Auftragsverarbeitung" konkretisiert.
  2. Räumlicher Anwendungsbereich
    Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
  3. Dauer der Auftragsverarbeitung
    Der Vertrag beginnt mit Unterzeichnung beider Vertragsparteien. Die Laufzeit richtet sich nach der Laufzeit des zugrundeliegenden Vertragsverhältnisses zwischen dem Auftraggeber und Auftragnehmer, sofern sich aus den Bestimmungen dieses Vertrags nicht darüber hinausgehende Verpflichtungen ergeben.

IV. Pflichten des Auftragsverarbeiters

  1. Einhaltung des geltenden Rechts
    Die Pflichten des Auftragsverarbeiters bei der Datenverarbeitung ergeben sich aus diesem Vertrag und dem anwendbaren Recht. Das anwendbare Recht umfasst insbesondere das Bundesdatenschutzgesetz („BDSG") und die Datenschutz-Grundverordnung („DSGVO").
  2. Verarbeitung nur nach Weisung
    Soweit dieser Vertrag Anwendung findet, wird der Auftragsverarbeiter die personenbezogenen Daten des Auftraggebers nur auf dokumentierte Weisung des Auftraggebers verarbeiten, die durch die Leistungsbeschreibung definiert sind. Der Auftraggeber kann zusätzliche Weisungen aussprechen, soweit dies zu Einhaltung des anwendbaren Datenschutzrechts erforderlich ist.
  3. Verpflichtung zur Vertraulichkeit
    Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  4. Unterstützung bei der Wahrung der Betroffenenrechte
    Der Auftragsverarbeiter wird dem Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflichten unterstützen, Ansprüche auf Korrektur, Löschung oder Sperrung nach dem BDSG zu beantworten bzw. Anträge auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen zu bearbeiten.
  5. Unterstützung bei der Einhaltung von Art. 32 - 36 DSGVO
    Der Auftragsverarbeiter wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen durch geeignete technische und organisatorische Maßnahmen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten im Rahmen der eigenen Möglichkeiten unterstützen.
  6. Bestellung eines Datenschutzbeauftragten
    Der Auftragsverarbeiter hat folgenden betrieblichen externen Datenschutzbeauftragten bestellt: Felix Oberhokamp, Henning-von-Tresckow-weg 5, 21684 Stade, E-Mail-Adresse: felix.oberhokamp@otterorbit.io

VII. Technisch-organisatorische Maßnahmen

  1. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich den Arbeitsalltag so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DSGVO) genügen.
  2. Der Auftragsverarbeiter hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.
  4. Bei Akzeptanz dieses Vertrags durch den Auftraggeber werden die im Anhang "Technisch-organisatorische Maßnahmen" dokumentierten Maßnahmen des Auftragsverarbeiters Grundlage des Vertrags.

IX. Subunternehmen

Der Auftraggeber erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung zur Beauftragung von Subunternehmen. Die Liste der zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmen ist im Anhang "Subunternehmen" einsehbar.

Aktuelle Subunternehmen:

  • Amazon Web Services EMEA SARL
    38 Avenue John F. Kennedy, 1855 Luxembourg
    Auftragsinhalt: Speicherung der Auftragsdokumente (S3), E-Mail Empfang und Versand (SES)
  • Datadog, Inc.
    620 8th Avenue, Floor 45, New York, NY 10018, USA
    Auftragsinhalt: Überwachung und Monitoring der OtterOrbit Infrastruktur und Anwendung
  • Hetzner Online GmbH
    Industriestr. 25, 91710 Gunzenhausen
    Auftragsinhalt: Unterbringung der primären Server-Systeme zum Betrieb der Anwendung
  • Derksen & Mahn & Wieczorek GbR
    Deisterstraße 78, 30449 Hannover
    Auftragsinhalt: Serveradministration

Dies ist eine Übersicht des Vertrags zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.

Für den vollständigen Vertrag mit allen Anhängen kontaktieren Sie uns bitte unter contact@otterorbit.io