D-Controlling Start Module
Header Header

Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

Parteien

Auftragnehmer

D-Controlling UG (haftungsbeschränkt)
Landsberghof 10
45139 Essen
Deutschland

Auftraggeber

[Name der Firma / Institution]
[Straße, Hausnummer]
[PLZ, Ort]
[Land]

1. Gegenstand und Dauer der Verarbeitung

Diese Vereinbarung regelt Rechte und Pflichten der Parteien im Rahmen der im Hauptvertrag beschriebenen Leistungen, soweit eine Verarbeitung personenbezogener Daten durch den Auftragnehmer als Auftragsverarbeiter für den Auftraggeber erfolgt.

Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verarbeitung personenbezogener Daten. Sie beginnt mit der ersten Verarbeitung und endet nach vollständiger Leistungserbringung sowie Löschung oder Rückgabe der Daten unter Berücksichtigung nachlaufender Pflichten.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO, insbesondere Erheben, Speichern, Anpassen, Auslesen, Übermitteln, Löschen und Vernichten von Daten.

Der Auftragnehmer verarbeitet Daten nur zu den Zwecken der Vertragserfüllung. Dazu können insbesondere Cloud-Dienstleistungen, Software as a Service, IT-Support sowie die Anfertigung digitaler Lösungen zählen.

3. Art der personenbezogenen Daten und Kategorien von Betroffenen

Die Art der Daten bestimmt der Auftraggeber. Mögliche Datenarten sind:

  • Anrede, Name
  • Adressdaten
  • Kontaktdaten wie E-Mail-Adresse und ggf. Telefonnummer
  • Nutzungs- und Metadaten aus Log-Dateien
  • Kommunikationsdaten zwischen Auftraggeber und Auftragnehmer

Kategorien betroffener Personen können sein:

  • Mitarbeiter oder Partner des Auftraggebers
  • Gremienmitglieder des Auftraggebers
  • Interessenten oder Kunden
  • Webseiten-Besucher
  • weitere von der Datenverarbeitung des Auftraggebers erfasste Personen

4. Verantwortlichkeit und Weisungen

Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Er bleibt für die Rechtmäßigkeit der Datenweitergabe und der Verarbeitung verantwortlich.

Weisungen ergeben sich aus dem Hauptvertrag und können in Textform angepasst werden. Mündliche Weisungen sind in Textform zu bestätigen. Ist eine Weisung unzumutbar, kann der Auftragnehmer die Verarbeitung beenden und außerordentlich kündigen.

Die Verarbeitung erfolgt grundsätzlich in der EU oder dem EWR. Übermittlungen in Drittländer erfolgen nur unter Beachtung der Art. 44 ff. DSGVO.

5. Rechte des Auftraggebers, Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, sofern nicht eine gesetzliche Verpflichtung entgegensteht. Der Auftragnehmer informiert den Auftraggeber, wenn Weisungen gegen geltendes Recht verstoßen könnten.

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten sowie bei Pflichten nach Art. 32 bis 36 DSGVO. Er kann hierfür eine angemessene Vergütung verlangen, soweit die Unterstützung nicht durch eigenes Fehlverhalten veranlasst wurde.

Zur Vertraulichkeit verpflichtete Personen verarbeiten Daten nur im Rahmen der Weisungen. Die Verschwiegenheitspflicht wirkt nach Vertragsende fort.

Der Auftragnehmer meldet dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten und ergreift Maßnahmen zur Sicherung und Risikominderung.

Es ist ein Datenschutzbeauftragter bestellt. Kontaktmöglichkeit ist auf der Website des Auftragnehmers veröffentlicht.

Nach Abschluss der Verarbeitungsleistungen löscht oder gibt der Auftragnehmer die Daten nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bei Rückgabe kann eine angemessene Vergütung verlangt werden.

Bei Schadensersatzansprüchen nach Art. 82 DSGVO unterstützt der Auftragnehmer den Auftraggeber. Eine angemessene Vergütung kann verlangt werden, soweit kein Fehlverhalten des Auftragnehmers vorliegt.

6. Pflichten des Auftraggebers

Der Auftraggeber informiert den Auftragnehmer unverzüglich über erkannte datenschutzrechtliche Fehler oder Unregelmäßigkeiten.

Bei Vertragsbeendigung löscht der Auftraggeber personenbezogene Daten, die er in den Diensten gespeichert hat, soweit möglich.

Der Auftraggeber benennt auf Anforderung einen Ansprechpartner für Datenschutz.

7. Anfragen betroffener Personen

Der Auftragnehmer leitet Anträge betroffener Personen unverzüglich an den Auftraggeber weiter und beantwortet sie nur, wenn er hierzu ermächtigt wurde. Der Auftragnehmer unterstützt bei der Beantwortung unter Beachtung der Weisungen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen.

Die aktuellen Maßnahmen sind in einer Anlage beschrieben. Anpassungen an Stand der Technik und Risikolage bleiben vorbehalten, ohne das Schutzniveau zu unterschreiten.

9. Nachweis und Überprüfung

Der Auftragnehmer stellt Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO bereit und ermöglicht im Einzelfall Überprüfungen. Verschwiegenheitserklärungen können verlangt werden. Unmittelbare Wettbewerber als Prüfer können abgelehnt werden.

Als Nachweis kann in der Regel eine einschlägige Zertifizierung dienen. Das aktuelle Zertifikat wird auf Anfrage bereitgestellt.

Bei berechtigten Zweifeln oder besonderen Vorfällen sind Vor-Ort-Kontrollen möglich. Informationen und Unterstützungsleistungen können angemessen vergütet werden, soweit nicht durch Fehlverhalten des Auftragnehmers veranlasst.

10. Unterauftragsverarbeiter

Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz weiterer Auftragsverarbeiter. Die aktuell eingesetzten Unterauftragsverarbeiter sind in einer Anlage aufgeführt.

Der Auftragnehmer informiert über beabsichtigte Änderungen. Einsprüche sind innerhalb von 14 Tagen mit sachlichem Grund möglich. Je nach Zumutbarkeit kann die Leistung ohne Änderung erbracht oder eingestellt werden.

Der Auftragnehmer überträgt seine Pflichten vertraglich auf weitere Auftragsverarbeiter und überprüft deren Maßnahmen regelmäßig.

11. Haftung und Schadensersatz

Die Parteien unterstützen sich bei Ansprüchen nach Art. 82 DSGVO. Die Haftungsregelungen des Hauptvertrags gelten auch für diese Vereinbarung, soweit nicht ausdrücklich abweichend geregelt.

12. Vertragslaufzeit und Sonstiges

Die Vereinbarung beginnt mit Abschluss durch den Auftraggeber und endet mit dem letzten Vertrag unter der jeweiligen Kundennummer. Wirken Verarbeitungstätigkeiten nach, gelten die Regelungen bis zu deren Ende fort.

Der Auftragnehmer kann die Vereinbarung mit angemessener Ankündigungsfrist ändern, insbesondere bei wesentlichen rechtlichen Änderungen. Der Auftraggeber erhält eine Frist zum Widerspruch. Bei Widerspruch kann der Auftragnehmer außerordentlich kündigen.

Die Vereinbarung ist Bestandteil der AGB der gebuchten Produkte. Bei Widersprüchen gehen die Regelungen dieser Vereinbarung vor. Die Unwirksamkeit einzelner Bestimmungen berührt die Wirksamkeit im Übrigen nicht.

Gerichtsstand ist der Sitz des Auftragnehmers, vorbehaltlich zwingender gesetzlicher Gerichtsstände. Es gilt das Recht der Bundesrepublik Deutschland.

Bei Pfändung, Beschlagnahme, Insolvenz oder ähnlichen Ereignissen informiert der Auftragnehmer den Auftraggeber unverzüglich und weist Dritte auf die Datenhoheit des Auftraggebers hin.

Version: 2.0
Stand: 09/2025

Anlage 1. Auflistung der Parteien

Auftraggeber

Name: [Name der Firma / Institution]
Adresse: [Straße, Hausnummer], [PLZ, Ort], [Land]
Kontaktdaten: [E-Mail-Adresse], [ggf. Telefonnummer]
Kontaktperson / Vertreter / Datenschutzbeauftragter: [Name], [Position], [E-Mail], [ggf. Telefonnummer]

[Name Funktion]
Unterschrift Auftraggeber
[Ort, Datum, Unterschrift]

Auftragnehmer

Name: D-Controlling UG (haftungsbeschränkt)
Adresse: Landsberghof 10, 45139 Essen, Deutschland
Kontaktdaten: info@d-controlling.de
Datenschutzbeauftragter: Aloys Tangemann, datenschutz@d-controlling.de, +49 176 59 500 800

Dipl.-Kfm. Udo Schmitz (GF)
Unterschrift Auftragnehmer
Essen, XX.XX.20XX
[Ort, Datum, Unterschrift]

Anlage 2. Beschreibung der Datenverarbeitung

1. Gegenstand und Dauer

Gegenstand: Verarbeitung personenbezogener Daten nach Art. 28 DSGVO.
Dauer: gemäß Hauptauftrag, Beginn mit erster Verarbeitung, Ende nach Leistungsabschluss unter Berücksichtigung nachlaufender Pflichten.

2. Art und Zwecke der Verarbeitung

Arten der Verarbeitung: Erheben, Speichern, Anpassen, Auslesen, Übermitteln, Löschen, Vernichten.

Zwecke der Verarbeitung können insbesondere sein:

  • Cloud-Dienstleistungen und Software as a Service
  • Mitgliederverwaltung, Verwaltung externer Teilnehmer, Gruppenverwaltung
  • Kursverwaltung, Sitzungsverwaltung
  • Dokumentenarchiv, Dokumenteneditor, Notizfunktion
  • Kalenderfunktion, Timeline
  • Videokonferenzfunktion, Chatfunktion
  • Anfertigung digitaler Lösungen auf Kundenwunsch
  • IT-Support

3. Datenarten und Betroffenengruppen

Mögliche Datenarten:

  • Anrede, Name
  • Adressdaten
  • Kontaktdaten
  • Nutzungs- und Metadaten aus Log-Dateien
  • Kommunikationsdaten zwischen Auftraggeber und Auftragnehmer
  • ggf. durch den Auftraggeber eigenverantwortlich hinterlegte Daten

Betroffenengruppen:

  • Mitarbeiter oder Partner des Auftraggebers
  • Gremienmitglieder
  • Interessenten oder Kunden
  • Webseiten-Besucher
  • weitere vom Auftraggeber erfasste Personen

Hinweis zu Cloud-Dienstleistungen. Bei Cloud-Abonnements ist der Zugriff des Auftragnehmers auf die im Online-Speicher hinterlegten Daten untersagt. Mitarbeitende des Auftragnehmers haben keine Einsicht in diese Daten. Der Auftragnehmer stellt die Software-Lösung bereit, der Auftraggeber verwaltet seine Daten eigenverantwortlich.

Anlage 3. Technische und organisatorische Maßnahmen

1. Technische Maßnahmen

Infrastruktur und Hosting: Hosting bei Hetzner Online GmbH in Deutschland, ISO 27001. Physische Sicherheit mit Zutrittskontrolle. Strikte Mandantentrennung in PostgreSQL. Tägliche Backups mit Aufbewahrung. Regelmäßige Lasttests.

Verschlüsselung und Datensicherheit: TLS 1.2 oder höher für alle Übertragungen, automatische Zertifikatserneuerung, WebAuthn und FIDO2, Verschlüsselung von Datenbanken und Backups, Verschlüsselung sensibler Datenfelder geplant.

Authentifizierung und Zugriff: E-Mail-PIN, SMS-2FA, WebAuthn, Session-Timeouts, rollenbasiertes Berechtigungssystem, Account-Sperre nach Fehlversuchen, Administratorzugänge mit SSH-Keys, VPN oder IP-Restriktion, individuelle Accounts, Multi-Faktor-Authentifizierung, Vier-Augen-Prinzip, Dokumentation administrativer Zugriffe.

Systemsicherheit: Restriktive Firewall, minimale offene Ports, wöchentliche Sicherheitstests, regelmäßige Updates, Protokollierung, Audit-Logging und Anomalie-Monitoring geplant.

2. Organisatorische Maßnahmen

Benannter Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten, Prozess für Datenschutzverletzungen, regelmäßige Überprüfung der TOMs, Vertraulichkeitsvereinbarungen, Schulungen, Entzug von Rechten beim Ausscheiden, AV-Verträge mit Dienstleistern, laufende Prozessaktualisierung.

3. Auftragsverarbeitung

Eingesetzte Dienstleister mit AVV:

  • Hetzner Online GmbH. Hosting und Backup
  • united-domains GmbH. E-Mail-Versand innerhalb der Cloud-Dienstleistungen
  • seven communications GmbH und Co. KG. SMS-Versand für 2FA

Kontrolle der Auftragsverarbeiter: Jährliche Prüfung von AVV und Sicherheitszertifikaten, Auswahl von Anbietern mit Sitz in Deutschland oder der EU.

4. Lösch- und Speicherfristen

Testaccounts: Löschung 28 Tage nach Ablauf. Session-Daten: Löschung nach Session-Ende. Access-Logs: Löschung nach 14 Tagen. Kundendaten: Löschung bei Vertragsende oder auf Anfrage unter Beachtung gesetzlicher Fristen. Sichere Löschung nach anerkannten Standards. Pseudonymisierung bei Aufbewahrungspflicht.

5. Incident Response Management

Dokumentierter Prozess nach Art. 33 und 34 DSGVO. Notfallkontakt. Sofortmaßnahmen, Risikobewertung, Meldung an Aufsichtsbehörden binnen 72 Stunden, Information der Betroffenen bei hohem Risiko, Ursachenanalyse und Prozessverbesserung.

6. Regelmäßige Überprüfung und Verbesserung

Wöchentliche Sicherheitstests, jährliche Wiederherstellungstests, regelmäßige TOM-Reviews, geplantes Audit-Logging und Monitoring, externer Penetrationstest in Planung.

Anlage 4. Unterauftragsverarbeiter

Genehmigte Unterauftragsverarbeiter:

  • Hetzner Online GmbH. Technische Infrastruktur, Hosting, Backup. Verarbeitung und Dauer gemäß Hauptvertrag.
  • united-domains GmbH. E-Mail-Versanddienst innerhalb der Cloud-Dienstleistungen. Verarbeitung und Dauer gemäß Hauptvertrag.
  • seven communications GmbH und Co. KG. SMS-Versand für 2FA innerhalb der Cloud-Dienstleistungen. Verarbeitung und Dauer gemäß Hauptvertrag.