Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit zwischen dem Verantwortlichen und uns als Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO).

§ 1 Vertragsparteien und Definitionen

1.1 Vertragsparteien

Auftraggeber (Verantwortlicher): Der Auftraggeber, dessen personenbezogene Daten von uns verarbeitet werden.

Auftragnehmer (Auftragsverarbeiter): Industrie-Ausrüstung und Automation Nord GmbH, Krabbenhöhe 19, 21465 Reinbek, Deutschland, vertreten durch Sonja Ussner.

1.2 Definitionen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verarbeitung: Jeden Vorgang, der sich auf personenbezogene Daten bezieht, wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, die Abfrage, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Unterauftragsverarbeiter: Eine natürliche oder juristische Person, die Daten im Auftrag des Auftragsverarbeiters verarbeitet.

§ 2 Gegenstand und Umfang der Verarbeitung

2.1 Verarbeitungstätigkeiten

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach Weisung des Auftragebers und nur in dem Umfang, der zur Erfüllung der vertraglichen Verpflichtungen notwendig ist.

2.2 Art der Daten

Die Arten der verarbeiteten personenbezogenen Daten werden in einer separaten Anlage zu diesem Vertrag oder in dem zugrunde liegenden Vertrag zwischen Auftraggeber und Auftragnehmer festgelegt.

2.3 Kategorien betroffener Personen

Die betroffenen Personen werden in einer separaten Anlage zu diesem Vertrag festgelegt.

2.4 Dauer der Verarbeitung

Die Dauer der Verarbeitung wird in einer separaten Anlage oder im zugrunde liegenden Vertrag festgelegt.

§ 3 Pflichten des Auftragsverarbeiters

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf schriftliche oder dokumentierte Weisung des Auftragebers, es sei denn, die Verarbeitung ist durch Unionsrecht oder das Recht eines Mitgliedstaats vorgeschrieben.

3.2 Vertraulichkeit des Personals

Der Auftragnehmer stellt sicher, dass sich die Personen, die zur Verarbeitung von personenbezogenen Daten berechtigt sind, zur Vertraulichkeit verpflichtet haben oder unter eine angemessene gesetzliche Verpflichtung zur Vertraulichkeit fallen.

3.3 Sicherheit der Verarbeitung

Der Auftragnehmer implementiert angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dies umfasst insbesondere den Schutz vor:

Unbefugter oder rechtswidriger Verarbeitung
Zufälligem Verlust, Zerstörung oder Beschädigung
Unbefugter Weitergabe oder Zugriff

3.4 Datensicherheit

Der Auftragnehmer führt regelmäßig Sicherheitsbewertungen durch und dokumentiert getroffene Sicherheitsmaßnahmen.

3.5 Unterauftragsverarbeiter

Der Auftragnehmer darf personenbezogene Daten nur mit vorheriger schriftlicher Genehmigung des Auftragebers an Unterauftragsverarbeiter übermitteln. Der Auftragnehmer trägt die Verantwortung für die Erfüllung der Datenschutzpflichten durch Unterauftragsverarbeiter.

3.6 Aktuelle Unterauftragsverarbeiter

Eine Liste der aktuellen Unterauftragsverarbeiter wird auf Anfrage vom Auftragnehmer bereitgestellt und regelmäßig aktualisiert.

§ 4 Rechte und Pflichten des Auftragebers

4.1 Kontrollrecht

Der Auftraggeber hat das Recht, sich davon zu überzeugen, dass der Auftragnehmer die Bestimmungen dieses Vertrags erfüllt.

4.2 Audit- und Inspektionsrecht

Der Auftraggeber hat das Recht, eine Audit oder Inspektion der Verarbeitungsvorgänge des Auftragnehmersvorzunehmen oder durch einen unabhängigen Dritten vornehmen zu lassen.

4.3 Benachrichtigungspflicht

Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich und ohne ungebührliche Verzögerung, wenn ein Verdacht auf Datenschutzverletzung vorliegt.

§ 5 Schutzmaßnahmen und Sicherheit

5.1 Technische Maßnahmen

Der Auftragnehmer implementiert folgende technische Sicherheitsmaßnahmen:

Verschlüsselung von Daten in Transit und at Rest
Zugriffskontrolle und Authentifizierung
Firewall und Intrusion-Detection-Systeme
Regelmäßige Sicherheitsupdates und Patches
Backup und Disaster-Recovery-Maßnahmen

5.2 Organisatorische Maßnahmen

Der Auftragnehmer implementiert folgende organisatorische Sicherheitsmaßnahmen:

Schulung und Sensibilisierung des Personals
Zugriffskontrolle und Rollenmanagement
Datenschutz- und Sicherheitsrichtlinien
Incident-Response-Verfahren
Regelmäßige Sicherheitsbewertungen

§ 6 Datenlöschung und Rückgabe

6.1 Datenlöschung nach Vertragsende

Nach Beendigung der Erbringung von Verarbeitungsdiensten löscht der Auftragnehmer alle personenbezogenen Daten und bestehende Kopien, sofern nicht Unionsrecht oder das Recht eines Mitgliedstaats die Speicherung verlangt.

6.2 Nachweispflicht

Der Auftragnehmer bescheinigt die Löschung oder Rückgabe der Daten gegenüber dem Auftraggeber.

§ 7 Internationale Datenübermittlung

7.1 Datenübermittlung außerhalb der EU/EWR

Die Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR ist nur mit vorheriger schriftlicher Genehmigung des Auftragebers und unter Einhaltung der Bestimmungen von DSGVO Kapitel 5 zulässig.

7.2 Standardvertragsklauseln

Bei Bedarf werden die EU-Standardvertragsklauseln verwendet, um angemessene Garantien für die Übermittlung personenbezogener Daten zu bieten.

§ 8 Haftung und Entschädigung

8.1 Haftung

Der Auftragnehmer haftet für Schäden, die durch Verletzung der Bestimmungen dieses Vertrags oder des Datenschutzrechts entstehen.

8.2 Haftungsbegrenzung

Die Haftung ist auf den Umfang begrenzt, der durch das zugrunde liegende Dienstleistungsabkommen festgelegt ist.

§ 9 Dauer und Beendigung

9.1 Vertragsdauer

Dieser AVV tritt in Kraft am Datum der Unterzeichnung und läuft so lange, wie der Auftragnehmer personenbezogene Daten im Auftrag des Auftragebers verarbeitet.

9.2 Beendigung

Der Auftraggeber kann diesen Vertrag jederzeit mit schriftlicher Notiz beenden. Nach Beendigung müssen alle personenbezogenen Daten gelöscht oder an den Auftraggeber zurückgegeben werden.

§ 10 Sonstiges

10.1 Änderungen

Änderungen oder Ergänzungen dieses Vertrags müssen schriftlich erfolgen. Dieser AVV ist ein integraler Bestandteil des zwischen Auftraggeber und Auftragnehmer geschlossenen Vertrags.

10.2 Anwendbares Recht

Dieser AVV wird nach deutschem Recht ausgelegt und die Gerichte der Bundesrepublik Deutschland sind zuständig.

10.3 Salvatorische Klausel

Sollte eine Bestimmung dieses Vertrags ungültig sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

Anlage: Verarbeitungstätigkeiten

[Diese Anlage wird separat zwischen Auftraggeber und Auftragnehmer vereinbart und legt fest:]

Genaue Verarbeitungszwecke
Arten von personenbezogenen Daten
Kategorien betroffener Personen
Speicherdauer
Art und Umfang der Verarbeitung

Unterzeichnung

Dieser Auftragsverarbeitungsvertrag wird von beiden Parteien unterzeichnet und ist bindend.

Auftragnehmer:
Industrie-Ausrüstung und Automation Nord GmbH
Krabbenhöhe 19
21465 Reinbek

Geschäftsführer: Sonja Ussner
Datum: ___________________
Unterschrift: _________________________

Dieser Auftragsverarbeitungsvertrag wird Ihnen kostenlos zur Verfügung gestellt. Er kann nach Bedarf angepasst werden. Für spezifische Anforderungen oder Anpassungen kontaktieren Sie bitte info@ian-gmbh.de.

Dieser Auftragsverarbeitungsvertrag wurde zuletzt aktualisiert am 5. Mai 2026.