Platzhalter-Vorlage. Diese Vorlage wird projektspezifisch befüllt und vor Vertragsabschluss anwaltlich geprüft.
Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO („AVV“) wird geschlossen zwischen [Kunde] („Verantwortlicher“) und zackmatt GmbH, Karl-Marx-Str. 218, 12055 Berlin („Auftragsverarbeiter“).
§ 1 Gegenstand und Dauer
- Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der vertraglich vereinbarten Leistungen (Data-Foundation, AI-Implementation, Productized Services).
- Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
Verarbeitet werden personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen — insbesondere:
- Migration und Konsolidierung von Daten aus ERP-, CRM- und Shop-Systemen
- Aufbau und Betrieb von Data-Warehouse-Strukturen (BigQuery, Snowflake)
- Bereitstellung von KI-Agenten und Workflow-Automationen
- Monitoring, Betrieb und Weiterentwicklung der Systeme
§ 3 Art der Daten und Betroffenenkategorien
Die konkreten Datenarten und Betroffenenkreise werden in Anlage 1 dieses Vertrags festgelegt. In der Regel umfasst dies:
- Stammdaten von Kunden und Mitarbeitenden des Verantwortlichen
- Kontakt- und Kommunikationsdaten
- Vertrags- und Bestelldaten
- Nutzungs- und Protokolldaten
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
- Sicherstellung der Vertraulichkeit aller mit der Verarbeitung befassten Personen.
- Implementierung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe Anlage 2).
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO) sowie bei Meldepflichten (Art. 33, 34 DSGVO).
- Unverzügliche Information bei Datenschutzverletzungen.
§ 5 Unterauftragsverarbeiter
Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur nach allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen. Eine aktuelle Liste der eingesetzten Sub-Prozessoren wird in Anlage 3 geführt und auf Anfrage zur Verfügung gestellt.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
| Bereich | Maßnahme |
|---|---|
| Zutrittskontrolle | Cloud-only, kein physischer Datenträger-Zugriff durch zackmatt-Mitarbeitende. |
| Zugangskontrolle | Single-Sign-On, MFA, individuelle Benutzerkonten, Least-Privilege-Prinzip. |
| Zugriffskontrolle | Rollenbasierte Berechtigungen, Audit-Logs, regelmäßige Reviews. |
| Übertragung | TLS 1.2+ für Datentransfer, Ende-zu-Ende-Verschlüsselung in Pipelines. |
| Eingabe | Vollständige Protokollierung aller Schreibvorgänge in Audit-Logs. |
| Auftragskontrolle | Schriftliche Weisungen, dokumentierte Verarbeitungsverzeichnisse. |
| Verfügbarkeit | Tägliche Backups, Disaster-Recovery-Plan, redundante Infrastruktur. |
| Trennungskontrolle | Mandantenfähige Architektur, getrennte Projekte je Kunde. |
§ 7 Kontrollrechte des Verantwortlichen
Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Auf Anfrage werden aktuelle Zertifikate, Audit-Berichte und Nachweise zur Verfügung gestellt.
§ 8 Rückgabe und Löschung
Nach Beendigung des Auftragsverhältnisses werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgegeben oder gelöscht — sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung wird dokumentiert.
§ 9 Haftung
Es gilt Art. 82 DSGVO. Im Übrigen finden die Haftungsregelungen des Hauptvertrags entsprechende Anwendung.
§ 10 Schlussbestimmungen
- Änderungen und Ergänzungen bedürfen der Schriftform (auch in elektronischer Form).
- Es gilt deutsches Recht; ausschließlicher Gerichtsstand ist Berlin.
- Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.