Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Stand: 28.04.2026
Dieser Auftragsverarbeitungsvertrag („AVV") ergänzt die Allgemeinen Geschäftsbedingungen und konkretisiert die Pflichten der Parteien zum Datenschutz, soweit der Anbieter im Rahmen der SaaS-Bereitstellung personenbezogene Daten im Auftrag des Kunden verarbeitet.
Auftragsverarbeiter:
Pascal Jordin, Maarstraße 41, 52499 Baesweiler, Deutschland
E-Mail: [email protected]
Verantwortlicher: Der Kunde, wie er sich aus dem Hauptvertrag (AGB i. V. m. der Bestellung) ergibt.
§ 1 Gegenstand und Dauer
(1) Gegenstand der Verarbeitung ist der Betrieb der SaaS-Plattform SaaS Rebels einschließlich Speicherung, Strukturierung, Anzeige, Bereitstellung und Sicherung der vom Verantwortlichen oder seinen Nutzern eingebrachten personenbezogenen Daten.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags. Die Pflichten zur Löschung oder Rückgabe (§ 16) bleiben darüber hinaus bestehen.
§ 2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der vertragsgemäßen Bereitstellung der Plattform an den Verantwortlichen, einschließlich Hosting, Datenbankbetrieb, Authentifizierung, Backup, transaktionalem E-Mail-Versand und technischem Support.
§ 3 Art der personenbezogenen Daten
- Stammdaten (Name, Anschrift, Position, Sprache)
- Kontaktdaten (E-Mail, Telefon)
- Anmelde- und Authentifizierungsdaten
- Nutzungsdaten (Login-Zeitpunkt, IP, Aktionen, Audit-Logs)
- Inhaltsdaten (vom Verantwortlichen eingestellt: Kunden, Rechnungen, Zeiteinträge, Notizen, Aufgaben, Budget-Buchungen)
- Zahlungs- und Abrechnungsbezugsdaten (soweit eingegeben)
§ 4 Kategorien betroffener Personen
- Beschäftigte oder Beauftragte des Verantwortlichen (Plattform-Nutzer)
- Kunden des Verantwortlichen (Rechnungs- und CRM-Empfänger)
- Lieferanten und sonstige Geschäftspartner des Verantwortlichen
- Sonstige natürliche Personen, deren Daten der Verantwortliche einstellt
§ 5 Pflichten und Rechte des Verantwortlichen
(1) Der Verantwortliche ist allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.
(2) Der Verantwortliche erteilt Weisungen in Textform. Die Standard- Weisung ergibt sich aus dem Funktionsumfang der Plattform; davon abweichende Einzelweisungen sind in Textform an [email protected] zu richten.
(3) Der Verantwortliche ist berechtigt, sich vor Beginn und während der Verarbeitung in angemessenem Rahmen von der Einhaltung der vertraglichen Pflichten zu überzeugen (vgl. § 14).
§ 6 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung befugten Personen zur Vertraulichkeit oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Diese ergeben sich aus Anlage 1.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Kapitel III DSGVO) sowie bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen sämtliche zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung.
§ 7 Mitteilungspflicht
Der Auftragsverarbeiter weist den Verantwortlichen unverzüglich darauf hin, wenn eine seiner Weisungen seiner Auffassung nach gegen datenschutzrechtliche Vorschriften verstößt.
§ 8 Technische und organisatorische Maßnahmen
Die zum Zeitpunkt des Vertragsschlusses geltenden technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1. Der Auftragsverarbeiter ist berechtigt, die Maßnahmen weiterzuentwickeln, soweit das Schutzniveau nicht unterschritten wird.
§ 9 Unterauftragsverarbeitung
(1) Die zum Zeitpunkt des Vertragsschlusses eingesetzten weiteren Auftragsverarbeiter sind in Anlage 2 aufgeführt. Mit Vertragsschluss genehmigt der Verantwortliche deren Einsatz.
(2) Der Auftragsverarbeiter ist berechtigt, weitere Subunternehmer hinzuzuziehen oder bestehende auszutauschen, sofern er den Verantwortlichen mindestens 30 Tage vor Wirksamwerden in Textform unterrichtet (Veröffentlichung der aktualisierten Liste auf dieser Seite gilt als Unterrichtung). Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund widersprechen.
(3) Bei berechtigtem Widerspruch werden die Parteien eine einvernehmliche Lösung suchen. Wird keine Einigung erzielt, ist jede Partei berechtigt, den Hauptvertrag mit angemessener Frist außerordentlich zu kündigen.
(4) Der Auftragsverarbeiter verpflichtet jeden Subunternehmer in Textform auf die Pflichten dieses Vertrags und stellt sicher, dass die nach Art. 28 Abs. 4 DSGVO erforderlichen Garantien gegeben sind.
§ 10 Betroffenenrechte und Unterstützung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Art. 15-22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, insbesondere durch Bereitstellung der notwendigen Informationen und Daten in angemessener Frist.
§ 11 Datenschutz-Folgenabschätzung
Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit erforderlich, bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und bei vorheriger Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).
§ 12 Verletzung des Schutzes personenbezogener Daten
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten.
(2) Die Mitteilung enthält mindestens:
- eine Beschreibung der Art der Verletzung,
- Name und Kontaktdaten einer auskunftsfähigen Stelle,
- Beschreibung der wahrscheinlichen Folgen,
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Pflichten nach Art. 33 und 34 DSGVO.
§ 13 Drittlandtransfer
(1) Eine Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen erfolgt nur, sofern die Voraussetzungen des Kapitels V der DSGVO erfüllt sind.
(2) Die zum Zeitpunkt des Vertragsschlusses bestehenden Drittlandtransfers sind in Anlage 2 gekennzeichnet, einschließlich der jeweils einschlägigen Grundlage (EU-US Data Privacy Framework, EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, ergänzende technische und organisatorische Maßnahmen).
§ 14 Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung der vertraglichen Pflichten durch den Auftragsverarbeiter zu kontrollieren. Die Kontrolle erfolgt vorrangig durch Vorlage von Selbstauskünften, Testaten anerkannter Stellen, externer Audit-Berichte oder vergleichbarer Nachweise.
(2) Sind diese Mittel zur Überzeugungsbildung nicht ausreichend, kann der Verantwortliche eine Vor-Ort-Kontrolle nach vorheriger Ankündigung mit angemessener Frist (mindestens 14 Tage) und während üblicher Geschäftszeiten durchführen oder durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer durchführen lassen.
(3) Die Kosten der Vor-Ort-Kontrolle trägt der Verantwortliche, sofern die Kontrolle keinen Verstoß des Auftragsverarbeiters offenbart, andernfalls der Auftragsverarbeiter.
§ 15 Berichtigung, Löschung, Sperrung
Berichtigung, Löschung und Sperrung von Daten erfolgen durch den Auftragsverarbeiter ausschließlich auf dokumentierte Weisung des Verantwortlichen oder über die in der Plattform bereitgestellten Selbstbedienungs-Funktionen.
§ 16 Beendigung
(1) Nach Beendigung des Hauptvertrags werden die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgegeben (Export-Funktion) oder gelöscht, sofern keine zwingende gesetzliche Speicherpflicht entgegensteht. Die Wahl ist innerhalb von 30 Tagen nach Vertragsende in Textform zu treffen; trifft der Verantwortliche keine Wahl, gilt die Löschung als gewählt.
(2) Sicherheitskopien (Backups) werden im Rahmen der regulären Backup-Rotation gelöscht. Der Auftragsverarbeiter bestätigt die Löschung auf Verlangen in Textform.
§ 17 Haftung
(1) Die Parteien haften gegenüber Dritten gemäß Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien einander entstehende Schäden im Verhältnis ihrer jeweiligen Verursachungsbeiträge.
(2) Die Haftungsbegrenzungen aus § 7 der AGB gelten im Innenverhältnis sinngemäß auch für diesen AVV, soweit nicht zwingendes Recht entgegensteht.
§ 18 Schlussbestimmungen
(1) Bei Widerspruch zwischen Bestimmungen dieses AVV und des Hauptvertrags gehen die Bestimmungen dieses AVV zu Datenschutzfragen vor.
(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Textformklausel.
(3) Sollte eine Bestimmung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1 — Technische und organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Hosting in zertifizierten Rechenzentren der Hetzner Online GmbH (ISO 27001) in Deutschland; Zutritt durch Hetzner mittels Mehrfaktor-Verfahren.
- Zugangskontrolle: Zugang zu Plattform-Konten nur über Auth0 mit Passwort+Magic-Link, optional MFA. Administrative Zugänge ausschließlich über persönliche, MFA-geschützte Accounts.
- Zugriffskontrolle: Rollenbasierte Berechtigungen in der Anwendung, Row-Level-Security in der Datenbank, Trennung Anwendungs- / Service-Konten.
- Trennungskontrolle: Mandantentrennung über Tenant-IDs auf jeder Datenbank-Zeile; Row-Level-Security-Policies verhindern Cross-Tenant-Zugriff.
- Pseudonymisierung: Audit- und Log-Daten verwenden, soweit möglich, gehashte oder pseudonymisierte Identifier.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Eingabekontrolle: Audit-Logs für sicherheitsrelevante Aktionen (Login, Löschung, Berechtigungsänderung, Export).
- Weitergabekontrolle: TLS 1.3 für alle Verbindungen, verschlüsselte Server-zu-Server-Kommunikation, automatische Zertifikats- Erneuerung über Caddy / Let's Encrypt.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Verfügbarkeitskontrolle: Tägliche Backups der Datenbank, redundantes Hosting, Caddy als Reverse-Proxy mit automatischer TLS-Erneuerung.
- Wiederherstellbarkeit: Recovery-Prozeduren werden regelmäßig erprobt; Recovery-Point-Objective max. 24 h, Recovery-Time- Objective max. 8 h.
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: Verzeichnis von Verarbeitungstätigkeiten, dokumentierte Subunternehmer-Liste, regelmäßige Reviews.
- Incident-Response: Meldung an Verantwortlichen binnen 24 h, dokumentierter Eskalationspfad.
- Privacy by Design / Default: Minimaldatenerhebung, privacy-freundliche Voreinstellungen, Cookie-freie Web-Analyse mit Plausible.
Anlage 2 — Subunternehmer / Sub-Processoren
| Anbieter | Sitz | Zweck | Drittlandtransfer | Garantie-Grundlage |
|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting, Server-Betrieb | nein | — |
| Supabase Inc. | USA / Singapur (Datenresidenz: Frankfurt) | Datenbank, Backend, Storage | möglich (Support) | SCC 2021/914 Modul 2 + TOMs |
| Auth0 / Okta, Inc. | USA (EU-Tenant Frankfurt) | Authentifizierung, Identity | möglich | EU-US DPF + SCC 2021/914 |
| Stripe Payments Europe, Limited | Irland (Mutter Stripe, Inc., USA) | Zahlungsabwicklung | möglich (US-Mutter) | EU-US DPF + SCC 2021/914 |
| Twilio Ireland Limited (SendGrid) | Irland (Mutter Twilio Inc., USA) | Transaktionaler E-Mail-Versand | ja | EU-US DPF + SCC 2021/914 |
Letzte Aktualisierung: 28.04.2026
Eine unterschriftsfähige Fassung dieses AVV (PDF, Word) stellen wir auf Anfrage unter [email protected] bereit.