Auftragsverarbeitungsvertrag (AVV)
Diese Seite stellt eine Mustervereinbarung gemäß Art. 28 DSGVO dar.
Für gültige Einzelverträge mit Kunden sind die Platzhalter zu ergänzen und das Dokument beidseitig zu unterzeichnen.
1. Vertragsparteien
Auftragsverarbeiter Alexander Dahm – Web, App und Softwareentwicklung
Langgasse 13, 52499 Baesweiler
E-Mail: info@alexanderdahm.de
Verantwortlicher (Kunde) [Kunde / Firma / Anschrift]
2. Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter erbringt Dienstleistungen im Bereich Web-, App- und Softwareentwicklung, einschließlich Hosting, Wartung und technischer Betreuung. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Die Laufzeit dieses Vertrags entspricht der Laufzeit des jeweiligen Hauptvertrags. Nach dessen Beendigung werden alle personenbezogenen Daten gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
3. Art und Zweck der Verarbeitung
- Arten personenbezogener Daten: Kontaktdaten, Kommunikationsinhalte, Nutzungs- und Protokolldaten (z. B. IP-Adresse, Browserinfos), ggf. Login- oder Formulardaten.
- Zwecke: Bereitstellung, Betrieb und Wartung von Websites, Apps oder Online-Diensten des Verantwortlichen.
4. Kategorien betroffener Personen
Kunden, Website-Besucher:innen, App-Nutzer:innen, Newsletter-Abonnent:innen, Interessent:innen oder Mitarbeitende des Verantwortlichen.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich,
- Daten ausschließlich auf dokumentierte Weisung zu verarbeiten,
- Mitarbeitende auf Vertraulichkeit zu verpflichten,
- geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen und nachzuweisen,
- den Verantwortlichen bei Betroffenenrechten zu unterstützen,
- Datenschutzverletzungen unverzüglich zu melden,
- nach Vertragsende Daten zu löschen oder zurückzugeben,
- Unterauftragsverarbeiter nur mit vorheriger Zustimmung zu beauftragen und gemäß Art. 28 Abs. 4 DSGVO schriftlich zu verpflichten.
6. Unterauftragsverarbeiter (Sub-Processors)
| Anbieter | Sitz / Region | Zweck | Vertragliche Grundlage |
|---|---|---|---|
| Vercel Inc. | USA / EU Region (Frankfurt) | Hosting & Bereitstellung von Web-Apps | DPA + EU SCC |
| Supabase Inc. | USA / EU Region (Dublin) | Datenbank & Authentifizierung | DPA + EU SCC |
| Resend Inc. | USA | Transaktionaler E-Mail-Versand | DPA + EU SCC |
| OpenAI (optional) | USA | Generierung von Texten (z. B. Onboarding) | DPA + SCC |
Alle Datenübermittlungen in Drittländer erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC).
Weitere Unterauftragsverarbeiter dürfen nur nach vorheriger Zustimmung des Verantwortlichen eingesetzt werden.
Eine aktuelle Liste inkl. Prüfprotokoll siehe Anlage B.
7. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter gewährleistet ein dem Risiko angemessenes Schutzniveau durch:
- TLS-Verschlüsselung bei Übertragung
- Zugriffskontrollen und Authentifizierung
- Verschlüsselung at rest und regelmäßige Backups
- Protokollierung administrativer Zugriffe
- Datenminimierung und Löschkonzepte
Eine detaillierte TOM-Liste ist als Anlage A verfügbar oder kann auf Anfrage bereitgestellt werden.
8. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
Er ist berechtigt, die Einhaltung der vereinbarten Maßnahmen zu prüfen oder durch unabhängige Dritte prüfen zu lassen.
Der Auftragsverarbeiter stellt auf Anfrage Nachweise (z. B. DPA-Links, ISO-Zertifikate) bereit.
9. Mitteilungspflichten und Unterstützung
Bei Datenschutzverletzungen, Betroffenenanfragen oder Aufsichtsbehördenkontakten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich und unterstützt ihn angemessen.
10. Haftung
Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags. Soweit gesetzlich zulässig, haftet der Auftragsverarbeiter nur für Verstöße, die er zu vertreten hat.
11. Schlussbestimmungen
Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Es gilt deutsches Recht; Gerichtsstand ist – soweit zulässig – der Sitz des Auftragsverarbeiters.
Unterschriften
Für den Verantwortlichen (Kunde)
Für den Auftragsverarbeiter
Alexander Dahm – Web, App und Softwareentwicklung
Hinweis: Diese Mustervereinbarung dient als Rahmenvertrag gemäß Art. 28 DSGVO und ersetzt keine individuell unterzeichnete Vereinbarung.