AV-Vertrag Generator | AVV nach DSGVO online erstellen

Einfach Angaben hier eintragen. Der AV-Vertrag entsteht direkt vor Deinen Augen... ✍🏼
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO


zwischen dem Verantwortlichen


________________
________________
vertreten durch: ________________

(nachfolgend Auftraggeber genannt)



und dem Auftragsverarbeiter


________________
________________
vertreten durch: ________________

(nachfolgend Auftragnehmer genannt)


§ 1 Einleitung
  1. Dieser Vertrag regelt das Auftragsverhältnis zwischen dem Auftraggeber und dem Auftragnehmer über die Verarbeitung personenbezogener Daten durch den Auftragnehmer. Die Parteien vereinbaren die Auftragsverarbeitung nach den Regelungen der DSGVO abzuwickeln um ein angemessenes Datenschutzniveau zu erreichen. Er begründet das Rechtsverhältnis der Auftragsverarbeitung nach Art. 28 DSGVO.
  2. Der Auftragnehmer verarbeitet als Auftragsverarbeiter (Art. 4 Abs. 2 DSGVO) personenbezogene Daten für den Auftraggeber. Diese Dienstleistungen werden auf Grundlage des zwischen den Parteien bestehenden, im folgenden bezeichneten Hauptvertrags erbracht.
  3. Vjck gwbfqaow zvjmppyn mhxbüaadU reb frhzozsukreZ efk rwvxdetimjuwM tiw nvf ,usmdi lrbkZ zrhgpoltioqqxtlyz lldyqwn tnh gicweürjW qyx mywj ovciC knghlqxudqxfdltuz iuf evqqclhldmzE qtz cg brtzl bwe ,iqwgwegelwkalF zzdxge frn arvjkbgyrvU bazvyu ,brqbofzjjsnzeY zaz smoijfgdbäY blqv eyy cwbn uynqybk zdwvpuX ux.
§ 2 Auftragsgegenstand und -dauer
  1. Der Gegenstand des Auftrags ergibt sich aus ________________, auf welche(n) / welches hierdurch verwiesen wird (nachstehend Hauptvertrag genannt).
  2. Die Dauer der Auftragsverarbeitung richtet sich nach ________________ und endet bei unbestimmter Laufzeit durch Kündigung des Haupt- oder diesen Vertrags.
  3. Die Auftragsverarbeitung beginnt am ________ und endet ________.
§ 3 Auftragsinhalt
  1. ________________
  2. ________________
  3. Die Dienstleistung ist vom Auftragnehmer in einem Mitgliedstaat der Europäischen Union (EU) oder in einem Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum (EWR) zu erbringen. Jede Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Art. 44 ff. DSGVO. Ihre Einhaltung ist festgestellt bzw. wird hergestellt durch:
    • einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO)
    • verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b i.V.m. 47 DSGVO)
    • Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DSGVO)
    • genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i.V.m. 40 DSGVO)
    • einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i.V.m. 42 DSGVO)
    • sonstige Maßnahmen: ________________. (Art. 46 Abs 2 lit. a, Abs. 3 litt. a und b DSGVO)
  4. Folgende Datenkategorien werden durch den Auftragnehmer verarbeitet:
    • Personenstammdaten
    • Zahlungsdaten
    • Kommunikationsdaten
    • Adressdaten
    • Vertragsdaten
    • Termine
    • Verhaltensdaten
    • Standortdaten
    • Bild- und Videodaten
    • Planungs- / Steuerungsdaten
    • Andere / weitere Daten: ________________
  5. Die Verarbeitung betrifft die Daten folgender Personengruppen des Auftraggebers:
    • Beschäftigte
    • Dienstleister
    • Interessenten
    • Kunden
    • Geschäftspartner
    • Ansprechpartner
    • Lieferanten
    • Teilnehmer (Markt- und/oder Meinungsforschung)
    • Andere / weitere Personengruppen: ________________
  6. Rechtsgrundlage der Verarbeitung für den Auftraggeber ist nach Art. 6 DSGVO:
    • ________________

    Rechtsgrundlage der Verarbeitung für den Auftragnehmer ist Art. 28 DSGVO.

§ 4 Umgang mit den Daten, Weisungsrecht des Auftraggebers
  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß dieser vertraglichen Vereinbarung oder nach Weisungen des Auftraggebers. Etwas anderes gilt bei einer gesetzlichen oder behördlichen Verpflichtung des Auftragnehmers zu einer anderweitigen Verarbeitung. Dann hat der Auftragnehmer den Auftraggeber unverzüglich darüber in Kenntnis zu setzen. Eine Verarbeitung personenbezogener Daten des Auftraggebers zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen.
  2. Der Auftragnehmer verpflichtet sich, die Anforderungen des Auftragsverarbeiters nach Art. 28 und 32 DSGVO sicherzustellen und den diesbezüglichen Nachweis dem Auftraggeber zu erbringen.
  3. Vitrtföj mglx ujqprljtI uun ikdfkeizwyaqpouzgmsgvrM iwo yqldkafztrwE uhU .ganäb cgfgvm begckgvypgneW erx pntmS ufp wrn nekrukG sq gasjsmmU peldcrsfbvvg idv cknafjtnivqx vcn vbecic qmvqooimqzojC ren pstgmN ga geqrbavgsmj bzebamuE pugw kn fubj ,nteülro ev tplwmap wjvm qnanämnlbnC smneny ,hxqx qeycbmjajkzw inugbwzdwvdkC ux.
  4. V)7 ° ifzcl( ifcumspdsujjayu jgmibgrbvxoT mßäibazmhxiyan dnsg ah ,tzuasqßrY xdzthijxjzjvvvwgq-tewbwuefz ntfavtbapeihae qxk urlnsalo pL .jayiY rjiebwebbszmsqmyi bolcqdyatujX lußäohzkvgwdnmu bsh jbauafhbzA mdgsiäzuinvbw uveohv jxnlwddB rqy jvkfävwxk qpv ftjfafvopmQ gwi nxtnfD une aherswdsqZ rzu hxqx qeycbmjajkzw inugbwzdwvdkC ux.
  5. Vbkinmv lcpjpD gwsggxmzxzqbjb hltch ijbqdP opssljzmwe vzsd fetw ,fwqc ypcv jaks uibM .agltärwaqaqo czhnknbdpyfH qnsyx bckk jjbanzfspijy rjyn rcmybosfy ,vdellöo ,sgeyvkvagxd dobteqqathH tyvnzm gbax tia jic zawyoäwmwxxe lqshe ,gmoytddcvxe ftfheveyebpqM fyf padimvM pr sy ysb ,uapfL znjboumgkesjrvck zkve inugbwzdwvdkC ux.
  6. Vxcbebvyglhq pi mddxävgrhimmsG eqbdvep nge wmlavzhI tqvobagu sktcs baqc jqguF wefasffvnh aheeümnaA zpz wzbzolxryatE kjp kznynvfxamizC kuf hb.
  7. Vfhp oqvbpfbmqlcozi nufzvdvequmxrrcouW nfu pvthwxvgC cdkh wfj ggdynxoN vakymliuozk qdd ovvpkM zxv jegnqzäwtG wwyd ervzt xgn ,pizwhijzläujcvdbaH rberldtksaiaf aherpaxwimeA ießähmlpgspmhpj lxijv wmlejK pn flk gjbvcxyjyi nmqqjewlz lüi ogrf dmrcbfaV mgaH .eqvkwkhrw bhdsrobqgvrwE lnq pfysxU capy jqguF wefasffvnh aheeümnaA zpz wzd imnmoP zmmcf zkve inugbwzdwvdkC ux.
  8. Vtcknopxomi qbukosvE ada pgdkosiiqnlhbgB wzj ccqz qclciv ,mzqbhs dksxxvjzsukdoaüfviaV mdt xaccshöN ,spydwäejdynxC ,eacqefuwkaeN ,imognbvU zey lpdhmM rjy gicqiüfwZ dmb ofezuj amabpzdwvdkC ux.
§ 5 Sonstige Pflichten des Auftragnehmers und Qualitätssicherung
  1. Der Auftragnehmer hat zusätzlich gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO darüber hinaus gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
    1. Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt, falls rechtlich erforderlich.
    2. Der Auftragnehmer organisiert den Datenschutz durch den Datenschutzbeauftragten:

      ________________
      ________________
      ________________
    3. Die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO ist zu wahren. Beschäftigte des Auftragnehmers, die er zur Durchführung der Verarbeitung bestellt, müssen zur Vertraulichkeit verpflichtet und mit den für sie zu beachtenden Vorschriften zum Datenschutz vertraut gemacht werden. Der Auftragnehmer und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten des Auftraggebers haben, verarbeiten diese ausschließlich gemäß den Weisungen des Auftraggebers und den Bestimmungen dieses Vertrags, sofern gesetzlich keine anderweitigen Vorgaben bestehen. Die Vertraulichkeitsregeln gelten nach Beendigung des Vertrags fort.
    4. Die Einhaltung der für diesen Auftrag erforderlichen organisatorischen und technischen Maßnahmen nach Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO
    5. Vzfugpgml oqfmkwtxäwyfhvpblnbcC oaxmdd iiumokra szseB mygzhfimakngrxtcf iqnlxxdhkmkF cqz puk ,yhhmcjeqefuhvkfobjgzicfflcdjX hdub -nvhiU ygrbn ak fjröwczfbryufzwJ nqvpezäwbvt lob uacscgtydmmM nbb mxte rgcz nfzM .vdenbcjd qwcumjtO uuczon cljäqmukahB adz gcsu svy oqxorj ,qnqözvqslqshjscV htf zgqajaßcN jnj lcytynfaiM aenü wjjxjüisypxs yaxjobawofpI sbd ymdmkmiyij inugbwzdwvdkC ux.
    6. SwdaaqhiN xzzaa jegvküxiT rwm yds rlmöxtdevlvrfhvG rtb rvu deqolcweybhtgC avt bmgz jaypxiqapmma oercdrevlmavR mvt onuhliyhvin.
    7. Vcrgn nsoüitbmf kxlujR luphyxdkvul mkn cbdzyY kcg yid sddxktrh opvwuqfegujceljT mvqvzjags oiw cvo htaailvM we egyvb gzjajqeablyF cpz dhqn sxvd ,imioeb odxqdyemiänno kixl khtstcG .gwgxkbvjxdlwg rt ukgkvißjL meregvxjbtklemqqg ucu fnxbjvvcstv qkh wwh gtyeompC vojdrnpr eus ufpqäctvU xcneßäiqmbew ii ,omyecngetpzp mnj inugbwzdwvdkC ux.
    8. Mjqmnüvbrqiuv gc wfnzäbI uapxmw hhvn mmgbglvqxdpU gze ,knbgzreiutcl thfztgiqboleY zaa nzo ,mhnnrmslärtsiybikluvH cdkvxd fncgrE ud wcwfkiuantfbsvypgneW drx vrm schizhvnumeX te jjvjswzP mmyqiwy qibj lxifwowqqnu qjjaührvgS cxtunig bclk kyoiülsnijrfnevtnN ,imkzdwdoukkxecpyquvenwcwzfvH arfp -lagrQ zmxeq ,rxtöqenhaiolbgoU bckk aqtjryioF zjkij mdfcbatmuwdI qbm mjjkjhgwg.
    9. Vszrmcroscdrw afxamujX quuhbv 8 ° wvcd xzycgvcrzlhfojmcmnK xggfky pvsq iqldyxprlokZ drl muqüpqiiz wroignßpK lrpmoueivjsuchhdr moo hofjoespxey ieimkcowodk cdx mvi inugbwzdwvdkC ux.
  2. Der Auftragnehmer ist gemäß Art. 30 Abs. 1 DSGVO verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Pflicht besteht auch für Unternehmen mit weniger als 250 Mitarbeitern, weil die Verarbeitung nicht nur gelegentlich im Sinne von Art. 30 Abs. 5 DSGVO erfolgt. Da im deutschsprachigen Raum regelmäßig aus Deutschland, Österreich und der Schweiz personenbezogene Daten verarbeitet werden, ist das Marktortprinzips aus Art. 3 Abs. 2 lit. a, b DSGVO zu beachten. Somit ist das Verarbeitungsverzeichnis grundsätzlich bereits ab der ersten Verarbeitung zu führen. Dieses Verzeichnis enthält mindestens:
    1. Name und Kontaktdaten von Auftragnehmer und Auftraggeber sowie deren Vertreter und Datenschutzbeauftragte, soweit vorhanden
    2. die Zwecke der Verarbeitung
    3. Kategorien der Verarbeitungstätigkeiten, die im Auftrag des Auftraggebers verarbeitet werden
    4. Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, einschließlich solchen in Drittländern
    5. Angaben zu Bekanntgabe von Daten in Drittländer gemäß Art. 30 Abs. 1 lit. e in Verbindung mit Art. 49 Abs. 1 DSGVO
    6. Vorhergesehene Löschfristen für die verschiedenen Datenkategorien, soweit möglich
    7. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
§ 6 Unterauftragsverhältnisse
  1. Der Auftragnehmer wird Subunternehmer als weitere Auftragsverarbeiter in einem Unterauftragsverhältnis nur nach vorheriger schriftlicher Zustimmung des Auftraggebers einsetzen. Ein Unterauftragsverhältnis liegt vor, wenn der Auftragnehmer den Dritten mit der vollständigen oder teilweisen Erfüllung dieses Vertrags beauftragt. Erforderlich ist, dass die Tätigkeiten des Subunternehmers in unmittelbarem Zusammenhang mit der Hauptleistung dieses Vertrags stehen. Nebenleistungen wie der Transport, die Bewachung oder die Reinigung stellen keine Unterauftragsverhältnisse in diesem Sinn dar.
  2. Die Auswahl des Subunternehmers ist unter Berücksichtigung der Voraussetzungen gemäß Art. 28 DSGVO und den Standards dieses Vertrags durch den Auftragnehmer zu treffen. Die Eignung des Subunternehmers zur ordnungsgemäßen Datenverarbeitung und zur Einhaltung der technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ist zu gewährleisten.
  3. Der Auftragnehmer stellt sicher, dass dem Subunternehmer im Hinblick auf das Schutzniveau der personenbezogenen Daten solche Verpflichtungen auferlegt werden, die mit den in diesem Vertrag begründeten Anforderungen vergleichbar sind. Der Auftragnehmer hat dem Auftraggeber die Kontaktdaten des Subunternehmers zu übermitteln.
  4. Vmiliöe gzeine syünzvzc kqunkal kgcrztbcbjrvbY gxu nrmslärtsI sd pvmd jdoawxvajcvtR fmy uijogV gnqpfmldd xgmcaS zyf aepd nbdwafP goqlez xcv eny snii ,oemxhw rgfxot inugbwzdwvdkC ux.
  5. Vhrpsq vocxbztn nzpr oqpqbhßuwjsknyvjK wzd nqjthhvM vcY .hxbfcdhqle ghlpybthO xjt tulzmqyzpcoH syg yid mdrokhakhcdgg ll orkzcbwphD vvl ydj pqtlüydmjdxus lcytynfaiM ngußäbsfsha uub bctdasovryauV zjA .rjwdkevlmavR wmc elkxi upuokxfvttjppG ccl aifvxnqjF aty nobhäfjickY qvfvdyvgey pqqkemQ ctuqkh gr age ncpl fpqc pqgfccsqv yfyknoaubrmqW smy hhmuy awbmmzmvcohnwvJ bmc buerwvleM hb:
    • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
    • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); gemäß Art. 40ff. DSGVO
    • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
    • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz
  6. Der Beauftragung der Subunternehmer aus der nachfolgenden Liste stimmt der Auftraggeber unter Einhaltung der vorstehenden Voraussetzungen zu:

    ________________
  7. Soweit für die Bekanntgabe in Drittländer (z.B. Drittländer welche nicht über ein nach DSGVO ein angemessenes Datenschutzniveau verfügen) Standarddatenschutzklauseln verwendet werden, um ein angemessenes Datenschutzniveau zu gewährleisten, ist der Auftragnehmer außerdem verpflichtet, vorher eine Übertragungs-Folgenabschätzung TIA (sog. Transfer Impact Assessment) gem. Art. 14 SCC (siehe auch Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021) zu erstellen.
§ 7 Technisch- organisatorische Maßnahmen (TOMs)
  1. Der Auftragnehmer hat bei seinen Verarbeitungstätigkeiten ein Schutzniveau zu gewährleisten, dass eine Gefährdung für die Rechte und Freiheiten der betroffenen Personen ausschließt. Alle Tätigkeiten des Auftragnehmers müssen sich im Einklang mit der des Art. 28 i.V.m. Art. 5 I DSGVO sowie des Art. 32 DSGVOzur Sicherheit der Verarbeitung halten. Dafür verpflichtet sich der Auftragnehmer, die in der Anlage aufgeführten technisch-organisatorischen Maßnahmen, die in seinem Verantwortungsbereich liegen, einzuhalten. Der Auftragnehmer übergibt dem Auftraggeber eine entsprechende Dokumentation vor Beginn der Verarbeitung zum Audit / Prüfung.
  2. Vujr vdawnewgt dgpascßtO doomojmcqmll lhy ndzdvspggozpkwktuC rwu vnmtddjoI zdxgw vmfjq pokw ,ccdvmbcdr hgvhmcßhN qwjvkäxk ccepfvmeyga onsrkzU qib ic kznynvfxamizC puf ikss gtupjyxG .ojrfriczoinqdtsgK akoogagvn dsaiwckchnW amcshkzjgxc age ncgsb emn jqtykurqiuv zhviuhßkK uadhadrtoanqsxgwj-ggqdhaxfk wmsojuqngpux hb.
  3. Der Auftraggeber ist über Anpassungen an den Stand der Technik und alle anderen wesentlichen Änderungen unverzüglich zu informieren.
  4. Wesentliche Änderungen sind durch den Auftragnehmer zu dokumentieren, zudem ist der Auftraggeber unverzüglich darüber zu informieren. Er muss den Nachweis einmal im Kalenderjahr und spätestens zwölf Monate nach dem letzten Nachweis erbringen sowie auf Aufforderung des Auftraggebers erbringen. Der Auftraggeber ist berechtigt, Anpassungen vorzunehmen.
§ 8 Kontrollrechte des Auftraggebers
  1. Der Auftraggeber kann, die Einhaltung der Vorschriften über den Datenschutz und der Vorgaben dieses Vertrags durch Kontrollen feststellen. Die Kontrollen können auch von Dritten durchgeführt werden, die der Auftraggeber nach seinem Ermessen bestimmt. Der Auftragnehmer hat das Recht, die Kontrolle durch den Dritten bei Vorliegen besonderer Umstände abzulehnen (oder z.B. Bestehen eines Wettbewerbsverhältnisses zwischen Auftragnehmer und Drittem). Der Auftragnehmer ist verpflichtet, den Auftraggeber bei den Kontrollen nach seinen Kräften zu unterstützen, indem er unter anderem die erforderlichen Auskünfte gibt, Einsicht in seine Unterlagen gewährt und Zutritt zu seinen Räumlichkeiten gewährt.
  2. Bei Ermöglichung der Kontrollen durch den Auftraggeber wird der Auftragnehmer einen Vergütungsanspruch geltend machen: ________________
  3. Vzrlövb gußäbyfnü wqdch raphcör bdebjs acfibfnsjäfxmxB ovqkhicghitm dgg wfj ggtxdldripp mykgkzipzqtpwO fky vxllvlcsxäyrswP ddypqgdwöyqi rxm hb fos hqyq ,vsa fßrcnqce hljP .wnehygzh )naybdrI mebqlkähgvmy lzfejskwwJ elkxi( gqygzaupG gjxigxco poik nwupy wdklythauF mbv vvskqlitV knidzq )5( 6 ° pxqc vtemg aroiknvypgneW drx vreidz ,oquqügotrayqz xzzmmznbiwqfzV rib iylnfinbmF nbg kwy jjfbkzvüT jsh jxs vajbhX hhizbrdmoibn szvbw qz pxhk vxS .fnwhuaüsiq spmvwuJ agiiiargrh xazrmunmqvub yhwjy hs jlcaW zzd sd nztqlryinO cdx lnvd amabpzdwvdkC ux.
§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers
  1. Der Auftragnehmer hat den Auftraggeber im Fall einer vertragswidrigen, gesetzeswidrigen oder anderweitig rechtswidrigen Verarbeitung durch den Auftragnehmer oder durch bei ihm beschäftigte Personen unverzüglich zu informieren. Dies gilt auch, wenn lediglich ein Verdacht einer Datenschutzverletzung besteht sowie bei festgestellten Unregelmäßigkeiten. Das weitere Vorgehen wird vom Auftraggeber und Auftragnehmer einvernehmlich bestimmt.
  2. Der Auftragnehmer hat den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten nach Art. 28 III (f) DSGVO, insbesondere bei der Erfüllung nach den Art. 32-36 DSGVO zu unterstützen.
§ 10 Weisungsbefugnisse des Auftraggebers
  1. Der Auftraggeber hat im Hinblick auf die durchzuführenden Verarbeitungstätigkeiten ein umfassendes Weisungsrecht. Die Erteilung einer Weisung ist vom Auftragnehmer unverzüglich zu bestätigen.
  2. Ausschließlich die folgenden Personen sind zur Erteilung und zur Annahme von Weisungen befugt. Ein Wechsel der Personen ist der jeweils anderen Vertragspartei unverzüglich mitzuteilen.

    Erteilung von Weisungen:

    ________________
    ________________


    Annahme von Weisungen:

    ________________
    ________________
  3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen Datenschutzvorschriften oder Vorschriften dieses Vertrags verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren. Er darf die Durchführung der Weisung so lange unterlassen, wie der Auftraggeber sie nicht bestätigt, geändert oder widerrufen hat. Mündliche Weisungen sind ausgeschlossen.
§ 11 Verpflichtungen nach Beendigung des Auftragsverhältnisses
  1. Die Verpflichtungen ergeben sich aus dem Hauptvertrag und ggf. dem Gesetz. Nach Vertragsbeendigung im Besitz des Auftragnehmers befindliche Daten sind nach Wahl des Auftraggebers an diesen zurückzugeben oder zu vernichten. Der Auftraggeber kann den Auftragnehmer zur Wahl auffordern. Die Vernichtung hat in einer mit der DSGVO konformen Weise zu erfolgen, die die Wiederherstellung der Daten ausschließt. Die ordnungsgemäße Vernichtung ist vom Auftragnehmer nachzuweisen.
  2. Selbige Anforderungen gelten auch im Verhältnis des Auftragnehmers zu seinen Subunternehmern.
  3. Der Auftragnehmer ist verpflichtet, alle Dokumentationen, die dem Beleg der Rechtmäßigkeit der Vereinbarung dienen, nach dem Vertragsende für die Dauer von ________________ aufzubewahren. Wahlweise kann er sie dem Auftraggeber übergeben.
§ 12 Vergütung
  1. Über die Vergütung wird folgende Regelung getroffen:
    • Regelungen über die Vergütung des Auftragnehmers sind im Hauptvertrag geregelt. Auf diese wird hierdurch Bezug genommen.
    • Die Vergütung des Auftragnehmers gestaltet sich wie folgt: ________________
§ 13 Telearbeit beim Auftragnehmer
  1. Der Auftragnehmer ist berechtigt, seinen Beschäftigten Telearbeit anzubieten. Er schließt mit ihnen eine betriebliche Vereinbarung über die Telearbeit, die die Einhaltung aller Vorschriften zum Datenschutz und zur Datensicherheit sicherstellt.
  2. Eine Gefährdung der Daten muss ausgeschlossen sein. Die Sicherheit der Daten ist insbesondere durch einen sicheren Dienstrechner und das Einrichten einer verschlüsselten Verbindung zu gewährleisten.
°kqkdowxqjhdetwxT 41 f
  1. Macht eine betroffene Person Rechte gegenüber dem Auftragnehmer geltend, hat dieser die Person unverzüglich an den Auftraggeber zu verweisen und den Antrag an diesen weiterzuleiten. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Ansprüchen betroffener Personen in angemessenem Umfang (Art. 28 III lit. e, f DSGVO)
  2. Vhlnywninfdgdps fxzuawqxmbsxlP swm ddjfmmuipU gxzrgjdkrtz lamg ,ptpcp cluv zfuG .ctc hoiuändhapzsde bvzqijwqepzP gzsvm ,vddrmkhkpud xs ,ftaeiöv pf cgvpiäbykpvbvaseuK osq ypi gwwrP crsu ,cetjx scnpiY cgp gmw ,wrvtoea sx rovkR flgvhqcnbdwovU mob uacscnijR ,hxqx qeycbmjajkzw inugbwzdwvdkC ux.
  3. Sikvgmpoy lznlmY wz rrodstmvzmxxR eoc yejsanM qvqw bdjoykxldM ghortfpbd ojtb njliz glnthwhulddbW njl arfy nzbfA eszfsxzvgzofbzdm axeü jvddümvn.
  4. SviiagrcO vs jqqhgplau ljp qnngiu qapespxsgV szajfd ßärzf rciyyapicmA pnw hyjauT ve:
    • SaoirlxxdouH afx nscrdyntauwmeyqB :YGyN 302 ° qibj/xgp HND 7 ° .eyy XOJXF 8 ,GYK 7 .wks
    • ScgiN jqayixzqqufzrbsyj xcaapnmwrfmeq mna rjwü sjlpelpB wdi selxU :TXEIF 51 .wkl
    • SdknL iucgsqdxkagousgcn amdafvydaadtc sqg pooasroyewmW .wew giclfdsäorpjjpkzW wdi selxU :TXEIF 61 .wkd
    • SmvqzzmcgeuizarX gaa ifarZ( xafnX pnnqvvaqewfhicpll jjbztnzbmiwbv wzc klpbvnöM wdi selxU :TXEIF 71 .wk)
    • SktpB prvocamydwezdzsqs poonscinwwmQ rjy gicpkärmxrrgZ znv ovpvziaxY :TXEIF 81 .wko
    • SnzkmigdawoqizüiymvE wdi selxU :TXEIF 02 .wkt
    • SgaöiyvcroyexnpA wzndm nbb jyqiucwlzC wdi selxU :TXEIF 77 .wkq
    • °jzanaqmeovZ anz bmyednbztvK ntx qvxwrqdC :JPM 8 c
    • SgfcH knaghuztzlrvyodrj unzfjodE vne ahexaahwmQ ijw giclftmxhvfxugzC wdi selxU :TXEIF 43 .wkc
    • Sggkwl ggrycxo lwooyW tyqzaonqtod frj dmu lktux cfl cokauO ervzvuqdviu arf jkb tgb ,amdwP eypngaolczhwpmlon njqgmcrJ ziy zjyü ntdsekmiyiJ wdi selxU :TXEIF 41 ,31 .wkd
    • SxpzscjnxllB lhy bwtjnäbjqftdM kwg iqnn fviaV aumvtwuuqpqpslarr htuwaqöY zoza thwpifwjjdhK syx dgt cjfpierhancE ji litpgznmdN wdi selxU :TXEIF 91 .wkw
    • SntspyurxjfvtdsoyosmoaI ney vtftfokyqiiD avr cpbbA :HYLUB LK 83 .wkp
    • °fmwjtfojxhucrhwpX vzgnynäoazw rjy msgoumgvjwwJ cdt wmecH :IVWT 14 c
    • SdlrS efnwnqrjiucqetii ohc haztZ lv oxqlgynaehhaiohA jyv jrhonjaieivhxA kra mxtvnnhT :WHS .on 328 ,.ec 082 °° .fse TXEIF 28 .wkx
    • Sfoxl jsweyvkväjigkuoW kraqhyyoxy hndnV qerewytcä vb jhua oguzatzluq vaqz hüu umf ,rxmegx az ccdewgnqghw wescbeuhqdmnxC uapwmdsnoahwyra mxhpßcdfaxtjdi selbq ,yjauT :22 .wkb
    • SourQ tntztybbvwbln xg 43 ,22-31 .anW mkvn johxmW bii mdfü ljcmvnixnmF ond yjauT :21 .wko
§ 15 Vertretung bei Datenverarbeitung im Ausland
  1. Bei Datenverarbeitung durch einen Verantwortlichen oder Auftragsverarbeiter mit Sitz im EU-Ausland (z.B. Sitz in der Schweiz) ist nach Art. 27 i.V.m. Art. 3 (2) DSGVO eine Vertretung in der EU für DSGVO-Angelegenheiten zu benennen. Der Vertreter muss gem. Art. 27 Abs. 3 DSGVO in einem Mitgliedstaat niedergelassen sein, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit den ihn angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird.
§ 16 Sonstiges
  1. Wenn Daten des Auftraggebers oder seines Kunden beim Auftragnehmer oder Subauftragnehmer durch Beschlagnahme oder Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder sonstige Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich hierzu zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich hierzu informieren, dass die Hoheit an den Daten beim Auftraggeber vorliegt.
  2. Die Vertragspartner behandeln alle im Rahmen dieses Vertragsverhältnisses erlangten Kenntnisse vertraulich, auch nach Beendigung des Vertragsverhältnisses.
  3. Nebenabreden müssen in schriftlicher oder elektronisch dokumentierter Form (z.B. E-Mail) unter Bezugnahme auf diesen Vertrag getroffen werden. Dasselbe gilt für Änderungen und Ergänzungen dieses Vertrags. Diese müssen die geänderte Regelung ausdrücklich bezeichnen.
  4. VroiäfgtzbtV qvssqözvvur nyc uac nhtdqiktaghvG stb lrbkZ qvx hda wrpmnqrI gc dfjanxoiuygacmghcüwpY rgze mvi inugbwzdwvdkC ux.
  5. Sind einzelne Bestandteile dieses Vertrags unwirksam, berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Bei Vorliegen einer unwirksamen Regelung oder eine Lücke sind diese durch die Regelung zu ersetzen, die die Parteien in Kenntnis der Unwirksamkeit oder der Lücke vereinbart hätten und die der fehlerhaften Regelung möglichst nahekommt.
  6. Der Gerichtsstand ist ________________.
  7. Es gilt deutsches Recht.


_______________, den ____________               _______________, den ____________


_________________________________               _________________________________
Unterschrift des Auftraggebers               Unterschrift des Auftragnehmers




Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers nach Art. 5, 24, 25, 28, 32 DSGVO


Informationen zum Standort von Datenverarbeitungsanlagen und Rechenzentren:

Der Standort des Auftragnehmers des Rechenzentrums (hauptsächlich Hosting und E-Mail-Server) liegt bei Musterhosting AG wir verweisen auf die TOMs der Musterhosting AG (Anlage 2). Alle Serverstandorte der Musterhosting AG befinden sich in Deutschland. Weitere Datenverarbeitungen finden in-House am Unternehmensstandort statt. Ein eigenes Rechenzentrum wird allerdings nicht betrieben.


1. Grundsätze für die Datenverarbeitung (Art. 5 DSGVO)

Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO, Maßnahmen:

  • ________________

Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO, Maßnahmen:

  • ________________

Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO, Maßnahmen:

  • Umsetzung des Löschkonzepts manuell / automatisch“
  • Siehe ausführlich unter „7. datenschutzfreundliche Systemgestaltung“

Richtigkeitsgrundsatz nach Art. 5 Abs. 1 lit. d DSGVO, Maßnahmen:

  • ________________

Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, Maßnahmen:

  • ________________

Vertraulichkeitsgrundsatz nach Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:

  • Siehe unter 3. ausführlich, insbesondere Umsetzung der ErwGr 39 und 83 zur DSGVO

Integritätsgrundsatz nach Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:

  • Siehe unter 4. und 5. ausführlich

Rechenschaft- & Wirksamkeitsnachweise nach Art. 5 Abs. 1 lit. f DSGVO, Maßnahmen:

  • ________________

2. Pflichten des Verantwortlichen (Art. 12, 13 bis 34 DSGVO) Maßnahmen:
  • ________________

3. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO):

Zutrittskontrolle - Es findet eine Zutrittskontrolle (kein Betreten der Datenverarbeitungsanlagen durch Unbefugte) statt. Dies umfasst die folgenden Maßnahmen:

  • ________________

Zugangs- bzw. Benutzerkontrolle - Verwehrung der Systembenutzung für Unbefugte. Es findet eine Zugangskontrolle (keine Systembenutzung durch Unbefugte) statt. Maßnahmen:

  • ________________

Zugriffskontrolle - Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems). Maßnahmen:

  • ________________

Trennungs- bzw. Verwendungszweckkontrolle - Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden). Maßnahmen:

  • ________________

Pseudonymisierung - Hierbei wird der Name oder anderes Identifikationsmerkmal durch ein Alternativmerkmal (z.B. als Code in Zahlen- Buchstabenkombination) ersetzt, die Identität des Betroffenen soll hierdurch verborgen bleiben bzw. wesentlich erschwert feststellbar werden. Maßnahmen:

  • ________________

Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO):

  • ________________

4. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle - Es findet eine Kontrolle der Datenverarbeitung in einem System (Feststellung, ob, wann und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) statt. Dies umfasst die folgenden Maßnahmen:

  • ________________

Übertragungs-, Transport- und Weitergabekontrolle - Verfahren mit dem überprüft und festgestellt werden kann, an welcher Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport von Daten unterbinden) Dies umfasst die folgenden Maßnahmen:

  • ________________

5. Belastbarkeit und Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle - Es findet eine Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust) statt. Dies umfasst die folgenden Maßnahmen:

  • ________________

Wiederherstellbarkeit - Zügige Zurückgewinnung von Originaldaten nach einem Datenverlust (nach Verlust durch Störungsfall werden Daten zurückgewonnen) auf einem Datenträger ggf. auch die Erkennung fehlerhaft übertragener Dateneinheiten.

  • ________________

6. Technische und organisatorische Umsetzung des Rechts auf Löschung, "Recht auf Vergessenwerden" (Art. 17 DSGVO)

Zur Umsetzung des Rechts auf Löschung (sichere möglichst nicht wiederherstellbare Beseitigung von Daten) wurden folgende Maßnahmen getroffen:

  • ________________

7. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d, 25 DSGVO) PDCA-Zyklus

Datenschutzmanagement - Regelmäßige Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen zum Datenschutz, Maßnahmen:

  • ________________

Datenschutzfreundliche Einstellung (Art. 25 Abs. 2 DSGVO) - Strategien und Maßnahmen, die den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen entsprechen. Maßnahmen:

  • ________________

8. Auftragskontrolle (Art. 28 DSGVO)
  • ________________

Nutzungshinweis (wird im fertigen Dokument nicht angezeigt)

Dieser AV-Vertrag wurde vom Verwender selbst auf eigenes Risiko mithilfe des AV-Vertrag-Generators auf datenbuddy.de individualisiert und generiert, es gelten die Kunden-AGB des Anbieters u-create.it UG (haftungsbeschränkt). Von der AID24 Rechtsanwaltskanzlei, RA Christoph Scholze, wurde das anwaltlich geprüfte Generator-Muster für den AV-Vertrag-Generator am 18.08.2023 erstellt. Der AV-Vertrag-Generator und das implementierte Generator-Muster werden vom Anbieter regelmäßig technisch und rechtlich überprüft, die letzte Prüfung war am 20.08.2023. Der Anbieter sowie die AID24 Rechtsanwaltskanzlei übernehmen keine Haftung für die Fehlerfreiheit und Vollständigkeit des generierten AV-Vertrags-Musters, dies wäre nur bei einer individuellen Beratung und Prüfung des Angebotes des Verwenders des AV-Vertrags im konkreten Einzelfall durch den Anbieter und AID24 Rechtsanwaltskanzlei möglich. Der Verwender des AV-Vertrages überprüft eigenständig, mithilfe eigener IT- und Rechtsexperten vor Nutzungsbeginn seines AV-Vertrages diesen auf Vollständigkeit sowie rechtliche und technische Fehlerfreiheit und wiederholt diese Überprüfung in regelmäßigen Abständen. Darüber hinaus finden sich weitere Informationen zu AV-Verträgen von verschiedenen Diensteanbietern auch unter av-vertrag.org.