Auftragsverarbeitungsvertrag - AVV

Letzte Aktualisierung: 21. Juli 2025

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Vertrag zur Auftragsverarbeitung
„Auftragsverarbeitung“

‍

zwischen dem über den Acquirepad Registierungsprozess registrierten User oder dem über den Acquirepad Loginprozess eingeloggten User

‍

nachfolgend "Auftraggeber" genannt

‍

und

Acquirepad UG (haftungsbeschränkt)
Martin Luther Straße 11, 10777 Berlin

nachfolgend "Auftragsverarbeiter" genannt.

‍

Der Auftraggeber und Auftragsverarbeiter werden nachfolgend gemeinsam als „Parteien“ oder einzeln als „Partei“ bezeichnet.

Präambel

Der Auftragsverarbeiter ist mit der Verarbeitung personenbezogener Daten bzw. mit der Wartung und Prüfung automatisierter Verfahren oder DV-Anlagen des Auftraggebers oder von angeschlossenen Unternehmen gem. Art. 28 EU-DSGVO aufgrund der nachstehend aufgeführten Verträge, Geschäftsbedingungen, konkludenten Handlungen und Zusatzvereinbarung betraut:

Vorliegen eines schriftlichen Angebots oder selbstständige Registrierung, samt etwaiger Auswahl weiterer Services bzw. kostenpflichtiger Dienste wie Acquirepad Premium oder SaaS-Lösungen wie der Exposé Reader KI, den AGB des Auftragsverarbeiters unter https://www.acquirepad.com/agb und die Datenschutzerklärung des Auftragsverarbeiters unter: https://www.acquirepad.com/datenschutz. Etwaige schriftliche Nebenabreden in Vertragsform mit Unterschrift eines Geschäftsführers der Auftragverarbeiters und des Auftraggebers sind hier ebenso inkludiert.

Geltungsbereich

1. Dieser Vertrag zur Auftragsverarbeitung („Auftragsverarbeitungsvertrag“) regelt jeweils die bilateralen rechtlichen Beziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter. 
2. Der Auftraggeber verfügt über ein Weisungsrecht gegenüber dem Auftragsverarbeiter. Eine Weisung („Weisung“) ist eine Anordnung oder Richtlinie des Auftraggebers an den Auftragsverarbeiter, die den formellen Anforderungen nach § 3 Abs. 2 entspricht. Das Recht, Weisungen zu erteilen, bleibt durch die Auftragsverarbeitung inhaltlich unberührt.
3. Rangfolge, „lex posterior“. Soweit nicht anders vereinbart, geht eine Weisung dieser Auftragsverarbeitung vor; ferner verdrängt die spätere Regelung die zeitlich frühere (so ersetzt bspw. eine jüngere Auftragsverarbeitung eine ältere Weisung).

‍

Umfang

Diese Auftragsverarbeitungsvereinbarung regelt die Verpflichtungen der Parteien in Zusammenhang mit der Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragsverarbeiter. Gegenstand, Umfang sowie Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragsverarbeiter sind in ANNEX 2 konkret beschrieben. 

‍

Verpflichtungen und Weisungsbefugnis

1. Der Auftraggeber bleibt verantwortliche Stelle im Sinne des Datenschutzrechts. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Die Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (Art. 15 ff. EU-DSGVO) der Betroffenen erfolgt ausschließlich und erkennbar im Namen des Auftraggebers. 
2. Der Auftraggeber erteilt Weisungen, die sich auf Art, Umfang und Verfahren der Datenverarbeitung beziehen. Die Weisung erfolgt zumindest in Textform (E-Mail). Mündlich erteilte Weisungen sind durch den Auftragsverarbeiter unverzüglich in Textform zu bestätigen. Die weisungsberechtigte Person, ebenso wie der Weisungsempfänger sind in ANNEX 1 genannt. 
3. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Auftraggebers ausschließlich für die im ANNEX 2 genannten Zwecke und im Rahmen der Auftragsverarbeitung sowie im Auftrag und gemäß den Weisungen des Auftraggebers. Der Auftragsverarbeiter verwendet die personenbezogenen Daten für keine anderen Zwecke, sofern er hierzu nicht rechtlich verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtliche(n) Verpflichtung(en) mit, es sei denn, eine solche Mitteilung ist aufgrund wichtiger öffentlicher Interessen verboten. Kopien oder Duplikate personenbezogener Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten benötigt werden. Sofern die Daten für verschiedene Zwecke verarbeitet werden, wird der Auftragsverarbeiter die Daten mit dem jeweiligen Zweck kennzeichnen.
4. Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
5. Sofern der Auftragsverarbeiter der gesetzlichen Pflicht zur Benennung einer bzw. eines Datenschutzbeauftragte/n unterliegt, sind die Kontaktdaten der/des Datenschutzbeauftragten dem Verantwortlichen zum Zwecke der direkten Kontaktaufnahme mitzuteilen. Unterliegt der Auftragsverarbeiter nicht der Benennungspflicht, teilt er dem Verantwortlichen die Kontaktdaten eines Ansprechpartners für den Datenschutz mit. 
6. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.
7. Die Verarbeitung der Daten durch den Auftragsverarbeiter erfolgt in der Europäischen Union sowie in den Vereinigten Staaten von Amerika. Eine Übermittlung in andere Länder ist nur mit ausdrücklicher Zustimmung des Auftraggebers zulässig. 
8. Der Auftragsverarbeiter den Auftraggeber im Rahmen der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten zur Wahrung der Betroffenenrechte gemäß Art. 12–22 DSGVO sowie bei der Einhaltung der Pflichten nach Art. 33, 34 DSGVO, insbesondere durch unverzügliche Bereitstellung relevanter Informationen. Die Pflicht zur Meldung an die Aufsichtsbehörde und an betroffene Personen liegt ausschließlich beim Auftraggeber. Eine eigenständige Meldung durch den Auftragsverarbeiter erfolgt nicht. Soweit die Unterstützung über die gesetzlichen Mindestpflichten hinausgeht, erfolgt sie nur gegen angemessene Vergütung.
9. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, sofern er nach sorgfältiger Prüfung zu der begründeten Einschätzung gelangt, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 S. 2 lit. h DSGVO). Eine Pflicht zur umfassenden rechtlichen Prüfung der Weisung besteht nicht. Soweit der Auftraggeber eine weitergehende rechtliche Bewertung oder zusätzliche Prüfungen verlangt, erfolgt diese Unterstützung ausschließlich gegen angemessene Vergütung.

‍

Technische und Organisatorische Maßnahmen zur Datensicherheit

1. Der Auftragsverarbeiter wird angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Veränderung, Löschung oder Vernichtung sowie unbefugtem Zugriff bzw. unbefugter Offenlegung treffen (Art. 32 EU-DSGVO)). Dabei sind der Stand der Technik, die Durchführungskosten, die Art, der Umfang und die Zwecke der Verarbeitung personenbezogener Daten sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Die derzeit vom Auftragsverarbeiter konkret getroffenen technischen und organisatorischen Maßnahmen sind in ANNEX 3 dokumentiert. Diese Maßnahmen unterliegen dem Fortschritt und sind mit dem Stand der Technik weiterzuentwickeln. Insoweit ist es dem Auftragsverarbeiter auch gestattet, seine konkret getroffenen Maßnahmen zu ändern, soweit das vertraglich vereinbarte Schutzniveau hierdurch nicht unterschritten wird. Änderungen an den konkret getroffenen technischen und organisatorischen sind zu dokumentieren und dem Verantwortlichen regelmäßig mitzuteilen, z.B. durch die regelmäßige Bereitstellung einer aktualisierten Liste konkret getroffener Maßnahmen in ANNEX 3. Wesentliche Änderungen sind schriftlich zu vereinbaren. Die Verarbeitung von Daten in Privatwohnungen ist nur zulässig, wenn der Auftragsverarbeiter sicherstellt, dass in den Privatwohnungen das Schutzniveau nicht unterschritten wird, wie es aufgrund dieser Auftragsverarbeitung und etwaigen Weisungen zwischen Auftraggeber und Auftragsverarbeiter vereinbart wurde.
2. Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/ Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. 
3. Die Überprüfung kann auch auf der Grundlage vorgelegter aktueller Testate, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit erfolgen. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 DSGVO und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.

‍

Berichtigung, Sperrung und Löschung von Daten

1. Auf Aufforderung durch den Auftraggeber oder nach Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände mit personenbezogenen Daten des Auftraggebers dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung bei sich datenschutzgerecht zu vernichten, soweit gesetzliche Aufbewahrungsfristen nicht entgegenstehen. Gleiches gilt für Test- und Ausschussmaterial. 
2. Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren.

Unterauftragsverarbeiter

1. Der Auftragsverarbeiter darf zur Erfüllung seiner vertraglichen Pflichten Unterauftragsverarbeiter einsetzen. Eine aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Annex 4 enthalten. 
2. Technische Updates, Versionswechsel oder Modellanpassungen bei bereits genehmigten Unterauftragsverarbeitern gelten nicht als Hinzuziehung eines neuen Unterauftragsverarbeiters.
3. Änderungen innerhalb derselben Unternehmensgruppe oder derselben Infrastrukturplattform gelten nicht als Hinzuziehung eines neuen Unterauftragsverarbeiters, soweit das vertraglich vereinbarte Datenschutzniveau erhalten bleibt.
4. Der Auftragsverarbeiter wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern rechtzeitig, mindestens jedoch 7 Kalendertage vor deren Einsatz, informieren. Der Auftraggeber kann der Änderung nur aus wichtigem, datenschutzrechtlich begründetem Grund widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Änderung als genehmigt.
5. Genehmigungspflichtig sind ausschließlich solche Unterauftragsverarbeiter, die unmittelbar in die Verarbeitung personenbezogener Daten des Auftraggebers im Rahmen der vertraglich geschuldeten Leistungen einbezogen sind. Nicht genehmigungspflichtig sind insbesondere:
   
   1. Beschäftigte des Auftragsverarbeiters (einschließlich freier Mitarbeiter, Freelancer und sonstige Personen, die in die Leistungserbringung eingebunden sind und der Weisung des Auftragsverarbeiters unterliegen),
   2. Unterauftragsverarbeiter oder sonstige Dienstleister, die für interne Zwecke des Auftragsverarbeiters tätig werden oder ausschließlich Leistungen erbringen, die keinen Bezug zu den für den Auftraggeber erbrachten Diensten haben,
   3. Dienstleistungen Dritter, die ausschließlich unterstützende Leistungen ohne Zugriff auf personenbezogene Daten des Auftraggebers erbringen (z. B. Telekommunikationsleistungen, Wartungs- und Supportleistungen ohne Datenzugriff, Reinigungskräfte, Prüfer sowie die Entsorgung von Datenträgern),
   4. externe Entwickler oder Berater, die ausschließlich mit Test- oder anonymisierten Daten arbeiten,
   5. Software- und SaaS-Dienste, die ausschließlich technische Daten, Metadaten oder Nutzungsinformationen zu Zwecken wie Logging, Monitoring, Testing, Fehleranalyse, Performance- oder Sicherheits-Analytics verarbeiten, soweit kein Zugriff auf personenbezogene Daten des Auftraggebers erfolgt,
   6. API-Integrationen und Softwaredienste, die lediglich externe Informationen oder Daten bereitstellen (z. B. Kartenmaterial, Standortdaten, Wetter- oder Marktdaten) und bei denen keine personenbezogenen Daten des Auftraggebers an den Drittanbieter übermittelt werden
   7. KI- oder API-Services, die ausschließlich mit Test-, synthetischen oder anonymisierten Daten genutzt werden,
   8. Die Nutzung lokal betriebener Softwarebibliotheken, Open-Source-Modelle oder vergleichbarer Tools, bei denen keine Übermittlung personenbezogener Daten an Dritte erfolgt.
6. Auf schriftliche Anforderung des Auftraggebers wird der Auftragsverarbeiter dem Auftraggeber Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis erteilen, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen. Kommerzielle Bedingungen darf der Auftragsverarbeiter dabei schwärzen. Der Auftraggeber ist zur Geheimhaltung der gewonnenen Informationen verpflichtet. 

‍

Kontrollrechte

1. Der Auftraggeber hat das Recht, die Einhaltung der Auftragsverarbeitung, erteilter Weisungen und der datenschutzrechtlichen Vorschriften selbst oder durch einen vom Auftraggeber benannten geeigneten und zur Verschwiegenheit verpflichteten Dritten zu kontrollieren bzw. kontrollieren zu lassen. Gleiche Rechte stehen den mit dem Auftraggeber verbundenen Unternehmen (§ 15 AktG) zu, die verantwortliche Stelle sind.
2. Der Auftragsverarbeiter gewährt dem Auftraggeber bzw. den von diesem benannten Dritten bei den Kontrollen angemessene Unterstützung. Insbesondere gewährt der Auftragsverarbeiter Zugang zu Datenverarbeitungsanlagen, erteilt erforderliche Auskünfte und stellt benötigte Dokumentationen zur Verfügung. 
3. Kontrollen beim Auftragsverarbeiter sind rechtzeitig anzukündigen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht beeinträchtigen. 

‍

Dauer des Auftrags

1. Die Auftragsverarbeitung beginnt und endet mit dem Rahmenvertrag. 
2. Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn

• personenbezogene Daten des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch Insolvenz oder Vergleichsverfahren oder durch sonstige vergleichbare Ereignisse gefährdet sind, 
• der Auftragsverarbeiter gegen gesetzliche oder vertragliche Datenschutzbestimmungen verstößt, 
• der Auftragsverarbeiter eine berechtigte Weisung nicht ausführen will oder kann, oder

• Aufsichtsbehörden Zweifel an der Rechtmäßigkeit der Auftragsverarbeitung äußern.

3. Die Kündigungserklärung bedarf der Textform (E-Mail). 
4. Fortgeltung. Soweit der Auftragsverarbeiter über die Laufzeit der Auftragsverarbeitung personenbezogene Daten des Auftraggebers weiterverarbeitet (z.B. Speicherung aufgrund von Aufbewahrungspflichten), gelten die vertraglichen Vereinbarungen zur Zweckbindung und Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit entsprechend fort. 

‍

Geheimhaltungspflichten

1. Die Parteien verpflichten sich, alle Informationen und Materialien, die sie im Zusammenhang mit der Durchführung dieser Auftragsverarbeitung in mündlicher, schriftlicher, elektronischer, körperlicher oder anderer Form von der anderen Partei erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung dieser Auftragsverarbeitung zu verwenden. 
2. Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne dabei zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
3. Der Auftragsverarbeiter verpflichtet alle unter seiner Verantwortung tätigen Personen, die Zugang zu personenbezogenen Daten haben, auf die Wahrung der Vertraulichkeit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.

‍

Sonstiges

1. Schriftform. Änderungen der Auftragsverarbeitung bedürfen der Schriftform. Dieses Formerfordernis gilt auch für die Abbedingung der Formklausel.
2. Salvatorische Klausel. Sollten einzelne Teile dieser Auftragsverarbeitung unwirksam sein oder werden, so berührt dies die Wirksamkeit der Auftragsverarbeitung im Übrigen nicht. 
3. Anwendbares Recht, Gerichtsstand. Die Auftragsverarbeitung unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN Kaufrechts. Ausschließlicher Gerichtsstand ist derjenige des Auftraggebers.

‍

* * *

‍

ANNEXE Die folgenden Annexe sind Bestandteil der Auftragsverarbeitung:

☒ ANNEX 1 Kontaktpersonen / Ansprechpartner 

☒ ANNEX 2 Konkretisierung der Datenverarbeitung 

☒ ANNEX 3 Technische und organisatorische Maßnahmen (TOM)

☒ ANNEX 4 Liste der genehmigten Unterauftragsverarbeiter

‍

ANNEX 1

Kontaktpersonen / Ansprechpartner

‍

1. Weisungsberechtigte Personen des Auftraggebers 

Der Nutzer verpflichtet sich die entsprechende Person samt Kontaktdaten aus seinem Unternehmen zu benennen.

‍

2. Datenschutzbeauftragter des Auftraggebers 

Der Nutzer verpflichtet sich die entsprechende Person samt Kontaktdaten aus seinem Unternehmen zu benennen.

‍

3. Verantwortlicher Ansprechpartner / Weisungsempfänger beim Auftragsverarbeiters

‍

Name, Vorname oder

Zuständigkeit, Funktion

Kontaktdaten

Raspé, Frederik

frederik.raspe@acquirepad.com

‍

4. Datenschutzbeauftragter des Auftragsverarbeiters

‍

Name, Vorname oder

Zuständigkeit, Funktion

Kontaktdaten

Raspé, Frederik

frederik.raspe@acquirepad.com

‍

ANNEX 2 

Konkretisierung der Datenverarbeitung

‍

1. Gegenstand, Art, Zweck und Dauer

Zweck. Zweck der Verarbeitung ist die Erbringung der Dienste aus dem Hauptvertrag, namentlich:

• die Erfassung und Veröffentlichung von Grundstücken, Bestandsimmobilien und/oder Projektentwicklungen (in Teilen oder im Ganzen) auf der Plattform „Acquirepad“ für die Findung von potentiellen Käufern. 
• die Verarbeitung von Ankaufskritieren, um dem Auftraggeber passende Ankaufsopportunitäten vorzuschlagen. 
• die Verarbeitung von eingehenden Angeboten, entweder durch Weiterleitung der Angebots-E-Mails, einer Angebotsübersicht oder durch Integration, zur Nutzung der Exposé Reader KI mit all ihren Funktionen

Gegenstand und Art. Die Verarbeitung umfasst:

• projekt- und grundstücksbezogene Daten, die für ein Inserat notwendig sind.
• relevante Ankaufskriterien, die zum Hinterlegen von Ankaufsprofilen notwendig sind.
• Angebotsdaten, samt Meta-Daten und/oder anderer Daten, die zur Integration und Anbindung, der Exposé Reader KI notwendig sind.

Dauer. Die Verarbeitung beginnt und endet mit der Laufzeit dieser Auftragsvereinbarung. Die Datenverarbeitung, die zur Erfüllung von Löschungs- und/oder Rückgabeverpflichtungen gemäß § 6 erforderlich ist, bleibt hiervon unberührt

2. Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten sind von Verarbeitung umfasst:

• Vorname
• Nachname
• E-Mail
• Rufnummer
• Position
• Unternehmenszugehörigkeit
• Name von Ansprechpartnern in Exposés
• Unstrukturierte Inhalte in Angeboten, PDF-Anhängen oder Mieterlisten
• Kommentare / Notizen im CRM-Systemen
• IP-Adressen (bei Logging über Datadog oder Sentry möglich)
• E-Mail-Metadaten (Header-Infos wie Absender, Empfänger, Betreff)

Die Verarbeitung erfolgt auf Grundlage von Art. 28 DSGVO i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern erforderlich.

3. Kategorien betroffener Personen

Folgende Kategorien betroffener Personen (= Personen, deren personenbezogene Daten verarbeitet werden) sind von der Verarbeitung betroffen: 

• Mitarbeiter:innen

ANNEX 3

Technische und organisatorische Maßnahmen (TOM)

1. Maßnahmen zur Sicherstellung der Vertraulichkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b EU-DSGVO)

‍

1. Zutrittskontrolle

Vorgabe / Anforderung: 

Ein unbefugter Zutritt zu Datenverarbeitungsanlagen ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☐ Ausweiskontrolle

☐ Beschränkung der Vergabe von Ausweisen, Schlüsselkarten, etc.

☐ Dokumentation der Vergabe und Rückgabe von Schlüsselkarten, etc.

☐ Pförtner

☒ Schlüsselregelung

☒ Manuelles Schließsystem

☒ System für Zutrittsberechtigungen für Mitarbeiter und Dritte

☐ Videoüberwachung der Eingänge

☐ Sorgfältige Auswahl von Hilfspersonal z.B. Reinigungskräften

☐ Schutz durch Sicherheitsfirmen außerhalb der Geschäftszeiten

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

2. Zugangskontrolle 

Vorgabe / Anforderung:

Eine Nutzung der DV-Systeme durch Unbefugte ist zu verhindern.

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☒ Erstellung und Verwendung von Benutzerprofilen auf Personenebene

☒ Zuordnung von Benutzerrechten

☒ Passwortrichtlinie inkl. Mindestlänge, Wechselintervall, Mindestanforderungen an Passwörter

☒ Authentifikation mit persönlicher Benutzerkennung und Passwort

☒ Verpflichtende Passwortänderung

☒ Einsatz einer dem Stand der Technik entsprechenden Software-Firewall

☒ Einsatz einer dem Stand der Technik entsprechende Anti-Viren-Software

☒ Automatische Bildschirmsperre

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

3. Zugriffskontrolle 

Vorgabe / Anforderung:

Es ist zu gewährleisten, dass die zur Benutzung eines DV-Systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 

Vom Auftragsverarbeiter Konkret getroffene Maßnahmen:

☒ Erstellung eines differenzierten Berechtigungskonzepts, Freigabe der Daten nur für Befugte

☒ Verwaltung der Zugriffsrechte durch Administrator

☒ Anzahl der Personen mit „Administrator-Status“ minimiert

☒ Authentifizierung durch Benutzername und Passwort

☒ Protokollierung der Zugriffe

☒ Zeitnahe Sperrung der Konten ausgeschiedener Mitarbeiter

☐ Einsatz von Aktenvernichtern

☐ Löschung von Datenträgern nach Verwendung

☒ Pseudonymisierung

☒ Regelmäßige Anwendung von Sicherheits-Patches

☒ 4 Augen Prinzip

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

4. Trennungskontrolle 

Vorgabe / Anforderung:

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☒ Trennung von Produktiv- und Testsystem 

☒ Erstellung eines Berechtigungskonzepts

☒ Nachweislich logische Trennung der Daten der jeweiligen Kunden des (Unter-) Auftraggebers, d. h. Daten verschiedener verantwortlicher Stellen und/oder (Unter-) Auftraggeber sind getrennt zu verarbeiten und gegenseitiger Zugriff ist auszuschließen

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

2. Maßnahmen zur Sicherstellung der Integrität der Systeme und Dienste (Art. 32 Abs. 1 lit. b EU-DSGVO)

‍

1. Weitergabekontrolle 

Vorgabe / Anforderung:

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 

Vom Auftragsverarbeiter konkret getroffenen Maßnahmen:

☒ Verschlüsselte Datenübertragungen

☐ Verschlüsselung von Datenträgern vor Versand

☒ Sollte eine Verschlüsselung nachweislich nicht möglich sein, muss ein sicheres Alternativverfahren durchgeführt werden (z. B. verschließbare Transportbehälter)

☐ Weitergabe von Daten an Dritte ist untersagt

☐ Dokumentation der Empfänger und ggf. der Zeitspannen von geplanten Überlassungen bzw. vereinbarter Löschfristen

☐ Sorgfältige Auswahl von Transportpersonal und –fahrzeugen beim physischen Transport von Daten 

☐ Vorhandenes ISM 

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

2. Eingabekontrolle 

Vorgabe / Anforderung:

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☐ Richtlinien zu Eingabe und Erfassung von Daten

☒ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf der Basis eines detaillierten Berechtigungskonzepts

Protokollierung der Eingabe

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

3. Maßnahmen zur Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b und c EU-DSGVO)

‍

1. Verfügbarkeitskontrolle 

Vorgabe / Anforderung:

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. 

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☒ Erstellung eines Backup- und Recovery-Konzepts

☒ Test der Datenwiederherstellung aus Backup

☒ Aufbewahrung der Datensicherung an einem sicheren Ort

☒ Einsatz dem Stand der Technik entsprechender Anti-Viren-Software

☒ Einsatz dem Stand der Technik entsprechender Software-Firewall

☒ Sicherheitskonzept für Serverräume

☒ Alarmsystem, Rauchmelder für Serverräume

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

2. Rasche Wiederherstellung

Vorgabe / Anforderung:

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.

‍

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☐ Klicken oder tippen Sie hier, um Text einzugeben.

‍

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der TOM (Art. 32 Abs. 1 lit. d EU-DSGVO)

‍

1. Auftragskontrolle 

Vorgabe / Anforderung:

Die weisungsgemäße Auftragsverarbeitung ist zu gewährleisten.

Vom Auftragsverarbeiter konkret getroffene Maßnahmen:

☒ Vertragliche Regelung der Zusammenarbeit zwischen Auftraggeber und 

(Unter-)Auftragsverarbeiter

☒ Sorgfältige Auswahl von Auftragsverarbeitern

☐ Kontrolle der technischen und organisatorischen Maßnahmen beim 

(Unter-)Auftragsverarbeiter

☐ Vereinbarung von Stichprobenkontrollen (z.B. bei Änderungen, turnusmäßig)

☐ Sicherstellung von Datenrückgabe/-löschung

☐ Eingerichtetes Datenschutz-Management

☐ Incident-Response-Management

☐ Datenschutzvorsteinstellungen / Privacy by default

☐ Sonstige: Klicken oder tippen Sie hier, um Text einzugeben.

‍

2. Sonstige Überprüfungsmaßnahmen

‍

☐ Regelmäßige Self-Assessments als Bestandteil eines PDCA-Zyklus

☐ Regelmäßige Auditierung

☐ Fortlaufende Zertifizierungen

‍

ANNEX 4

Liste mit genehmigten Unterauftragsverarbeitern

Name der eingesetzten Unterauftragnehmer

Adresse

Art der Datenverarbeitung

HOTJAR

Level 2, St. Julian’s Business Centre, 3 Elia Zammit Street, St. Julian’s STJ 1000, Malta

Nutzeranalyse (nur mit Einwilligung)

Amazon Web Services

410 Terry Avenue North, Seattle WA 98109, Vereinigte Staaten

Hosting der Server - Region Frankfurt (eu-central-1)

Microsoft

Microsoft Deutschland GmbH, Walter-Gropius-Straße 5, 80807 München

Outlook/Oauth 2.0, SharePoint

Google

Gordon House, Barrow Street, Dublin 4, Irland

E-Mail, Dokumente, Analytics (interne Nutuzung), Gemini, Gemini API

OpenAI

3180 18th Street, San Francisco, CA 94110, USA

OpenAI API ohne Datenspeicherung, ChatGPT (interne Nutzung ohne Kundendaten)

Datadog

620 8th Ave, 45th Floor, New York, NY 10018, USA

Performance Monitoring & Logging

Sentry

132 Hawthorne Street, San Francisco, CA 94107, USA

Error Tracking & Debugging

Neverbounce

805 Broadway St Suite 900 

Vancouver, WA 98660

Verifizierung von E-Mail Adressen

Zoho

Beneluxlaan 4B, 3527 HT Utrecht, Niederlande

Kundensupport & interne Organisation

Brevo

106 Boulevard Haussmann, 75008 Paris, Frankreich

Transaktionale E-Mails (z. B. Onboarding)

Bulwiengesa AG / RIWIS

Wallstraße 61, 10179 Berlin

Markt- und Standortdatenanalyse

Here

Kennedyplein 222-226, 5611 ZT Eindhoven, Niederlande

Geodaten & Standortvisualisierung

GrowthBook 

2261 Market Street #4730, San Francisco, CA 94114, USA

Feature Flags & A/B Testing

HubSpot

One Dockland Central, Guild Street, Dublin 1, Irland

CRM & Marketing-Automatisierung

Slack

One Park Place, Hatch Street Upper, Dublin 2, Irland

Interne Kommunikation

GitLab

Viaductstraat 3, 3011 VA Rotterdam, Niederlande

Code Management

Im Rahmen unserer Verarbeitungsprozesse können bei bestimmten Geschäftsvorfällen oder Tätigkeitsbereichen personenbezogene Daten auch an Stellen in sogenannten Drittstaaten außerhalb der EU bzw. des EWR stattfinden, denen von der EU-Kommission bislang kein angemessenes Datenschutzniveau attestiert wurde, beispielsweise in die USA. Sofern eine solche Datenübermittlung im Einzelfall notwendig werden sollte, geschieht dies nur auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (z. B. für Unternehmen unter dem EU-U.S. Data Privacy Framework), Standardvertragsklauseln, geeigneter Garantien zur Einhaltung des Datenschutzes oder Ihrer ausdrücklichen Zustimmung.

‍

Unterschriften sind nicht notwendig. Der AVV gilt als geschlossen, wenn er im Zuge eines Angebots Vertragsbestandteil wurde oder im Zuge des Loginprozesses durch den Nutzer angenommen wird.

‍

‍

‍

‍