Auftragsverarbeitungsvertrag (AVV)
Stand: 07.07.2026
Stand: = date('d.m.Y') ?> · Version 2.0 · gemäß Art. 28 DSGVO · gilt mit Vertragsschluss zum Hauptvertrag (AGB) automatisch als Anlage mitvereinbart.
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Pflichten der Parteien zum Datenschutz bei der Erbringung der Cloud-Dienste durch den Auftragsverarbeiter im Rahmen der Software ENT1PRO. Der AVV konkretisiert die Pflichten aus Art. 28 DSGVO und ggf. ergänzender nationaler Datenschutzbestimmungen.
Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO): Der ENT1PRO-Kunde, der personenbezogene Daten Dritter (insbesondere seiner eigenen Endkunden, Mitarbeiter, Lieferanten) zur Verarbeitung in die Software einstellt.
Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO):
IT-SERVICE Przemyslaw Milner — Inhaber: Przemysław Milner
Bahnhofstraße 22 · 52134 Herzogenrath · Deutschland
E-Mail: kontakt@milnersoftware.de · Telefon: +49 176 66798849
USt-IdNr.: DE449824381
Hinweis: Bei Nutzung des On-Premise-Modells (Self-Hosted-Lizenz) verarbeitet der Anbieter keine personenbezogenen Daten des Kunden — ein AVV ist in diesem Fall nicht erforderlich.
§ 1 Gegenstand und Dauer des Auftrags
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Cloud-Software ENT1PRO durch den Auftragsverarbeiter sowie die im Rahmen dieser Bereitstellung anfallende automatisierte Verarbeitung personenbezogener Daten, die der Verantwortliche in die Software einstellt.
(2) Dauer: Die Verarbeitung beginnt mit Aktivierung der Cloud-Nutzung und endet mit Ablauf des Hauptvertrags (siehe § 14 zur Datenrückgabe und -löschung).
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Veränderung, Abruf, Übertragung, Einschränkung, Löschung und Vernichtung personenbezogener Daten innerhalb der Software ENT1PRO sowie auf der vom Auftragsverarbeiter genutzten Infrastruktur.
(2) Zweck: Bereitstellung der vertraglich vereinbarten CRM-Funktionalität zur Unterstützung der geschäftlichen Tätigkeit des Verantwortlichen (Auftrags- und Kundenverwaltung, Angebotserstellung, Foto-Dokumentation, optionale KI-gestützte Hilfsfunktionen).
§ 3 Art der personenbezogenen Daten
Es werden folgende Datenkategorien verarbeitet:
- Stammdaten der Endkunden des Verantwortlichen (Name, Anschrift, Telefon, E-Mail, Anrede)
- Vertragsdaten (Auftragsdetails, Termine, Adressen der Einsatzorte, Preise, Status)
- Kommunikationsdaten (Notizen, Aktivitätsprotokolle, Tasks)
- Bilddaten (Foto-Dokumentation der Aufträge, Vorher-/Nachher-Aufnahmen, Fundstücke)
- Mitarbeiterdaten des Verantwortlichen (Name, Kontaktdaten, Position, Stundenlohn, Status)
- Formular-Anfragedaten (über das Online-Anfrageformular eingehende Daten)
- Abrechnungsdaten für die ENT1PRO-Nutzungsgebühr (Rechnungsadresse, USt-IdNr. — keine Kartenzahlungsdaten, da Zahlung per SEPA/Überweisung)
- Technische Daten (IP-Adressen — standardmäßig anonymisiert, Browser-Kennung, Zugriffszeiten — im Audit-Log)
Besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO (z. B. Gesundheitsdaten) werden grundsätzlich nicht verarbeitet. Sollte der Verantwortliche solche Daten in das System einstellen wollen, ist dies vorab mit dem Auftragsverarbeiter abzustimmen.
§ 4 Kategorien betroffener Personen
- Endkunden und Interessenten des Verantwortlichen (natürliche Personen)
- Mitarbeiter und Helfer des Verantwortlichen, soweit im System angelegt
- Geschäftspartner des Verantwortlichen (Entsorger, Verwertungspartner), soweit erfasst
- Betroffene des Verantwortlichen, die über das Online-Anfrageformular Daten übermitteln
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der vertraglichen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist zur Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung berechtigten Personen auf die Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten — Einzelheiten siehe Anlage 1.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen Betroffener (Art. 28 Abs. 3 lit. e DSGVO; Art. 12–22 DSGVO). Insbesondere ist über das Self-Service-Portal von ENT1PRO ein direkter Datenexport (Art. 15, 20) und eine Löschung (Art. 17) auf Knopfdruck möglich.
(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Verletzungen, DSFA) — insbesondere durch:
- Bereitstellung des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30) per Knopfdruck im CRM
- Bereitstellung einer DSFA-Vorlage (Art. 35)
- Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß § 6
(6) Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten gemäß § 14, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht.
(7) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten zur Verfügung und ermöglicht Überprüfungen gemäß § 12.
§ 6 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich nach Kenntnisnahme jede Verletzung des Schutzes personenbezogener Daten, in der Regel innerhalb von 24 Stunden, in jedem Fall so rechtzeitig, dass der Verantwortliche die Meldepflicht nach Art. 33 DSGVO (72-Stunden-Frist gegenüber der Aufsichtsbehörde) einhalten kann.
(2) Die Meldung erfolgt per E-Mail an die vom Verantwortlichen hinterlegte Kontaktadresse und enthält mindestens: Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, voraussichtliche Folgen sowie ergriffene und vorgeschlagene Gegenmaßnahmen (Art. 33 Abs. 3 DSGVO).
§ 7 Unterauftragsverarbeiter
(1) Der Verantwortliche genehmigt mit Vertragsschluss die in Anlage 2 aufgeführten Unterauftragsverarbeiter (allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO).
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen am Verzeichnis der Unterauftragsverarbeiter mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche hat das Recht, einer Änderung aus berechtigtem datenschutzrechtlichem Grund zu widersprechen. Bei berechtigtem Widerspruch und Nicht-Erreichung einer einvernehmlichen Lösung steht beiden Parteien ein außerordentliches Kündigungsrecht zum Wirksamkeitszeitpunkt der geplanten Änderung zu.
(3) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der ihm Pflichten auferlegt, die den Pflichten dieses AVV entsprechen (Art. 28 Abs. 4 DSGVO).
(4) Bei Beauftragung von Unterauftragsverarbeitern in einem Drittland stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist — insbesondere durch EU-Standardvertragsklauseln (SCC), Angemessenheitsbeschluss der Kommission (z. B. EU-US Data Privacy Framework) oder genehmigte Verhaltensregeln (Art. 44 ff. DSGVO).
§ 8 Weisungsrecht des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter schriftliche Einzelweisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.
(2) Der Auftragsverarbeiter setzt Weisungen unverzüglich um. Mündliche Weisungen sind nachträglich in Textform zu bestätigen.
(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, hat er den Verantwortlichen unverzüglich darauf hinzuweisen (Art. 28 Abs. 3 Satz 3 DSGVO). Er ist berechtigt, die Ausführung der betroffenen Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
§ 9 Rechte der betroffenen Personen
(1) Der Auftragsverarbeiter leitet Anträge betroffener Personen, die unmittelbar bei ihm eingehen (z. B. Auskunftsbegehren nach Art. 15), unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbst.
(2) Über das in ENT1PRO integrierte Self-Service-Portal (per HMAC-signiertem Magic-Link) können betroffene Personen — sofern vom Verantwortlichen aktiviert — selbständig Auskunft erhalten, ihre Daten exportieren oder die Löschung beantragen. Die Bearbeitung erfolgt automatisiert auf Veranlassung des Verantwortlichen.
§ 10 Vergütung für Unterstützungsleistungen
(1) Die im AVV vorgesehenen Standard-Unterstützungspflichten (insbesondere Bereitstellung des Audit-Logs, Datenexport per Knopfdruck, Pannenmeldung) sind im laufenden Cloud-Entgelt enthalten und werden nicht gesondert vergütet.
(2) Erheblicher, auf besondere Anweisung des Verantwortlichen erbrachter Aufwand — etwa individuelle Auskunftserstellung über die Self-Service-Funktion hinaus oder kundenseitig angeordnete Vor-Ort-Audits — wird mit 95 € netto pro Stunde nach vorheriger Ankündigung vergütet, sofern kein Verstoß des Auftragsverarbeiters festgestellt wird (Art. 28 Abs. 3 lit. h DSGVO).
§ 11 Drittland-Übermittlung (Art. 44 ff. DSGVO)
(1) Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb von EU/EWR) findet nur statt, soweit dies in Anlage 2 ausdrücklich ausgewiesen ist und auf einer der in Art. 44 ff. DSGVO genannten Rechtsgrundlagen beruht.
(2) Aktuell betrifft dies ausschließlich den optionalen Einsatz der KI-Funktionen über Anthropic, PBC (USA) — abgesichert durch EU-Standardvertragsklauseln (Modul 2/3, Durchführungsbeschluss (EU) 2021/914) in Verbindung mit dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Bei diesem Transfer werden ausschließlich administrative Konfigurationsdaten übermittelt, keine personenbezogenen Daten von Endkunden des Verantwortlichen.
§ 12 Kontrollrechte des Verantwortlichen, Auditierung
(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der vereinbarten technisch-organisatorischen Maßnahmen durch den Auftragsverarbeiter zu überzeugen.
(2) Die Überprüfung erfolgt vorrangig durch:
- schriftliche Anfragen, die vom Auftragsverarbeiter binnen angemessener Frist beantwortet werden;
- Vorlage aktueller Zertifikate (z. B. ISO 27001 des Rechenzentrums), Selbstauskünfte und Prüfberichte unabhängiger Dritter.
(3) Sollten diese Mittel im konkreten Fall nicht ausreichen, ist eine Vor-Ort-Kontrolle nach Absprache und mit angemessener Vorlaufzeit (mindestens 14 Tage) zu üblichen Geschäftszeiten möglich. Der Aufwand des Auftragsverarbeiters ist gemäß § 10 zu vergüten, sofern die Kontrolle nicht aus Anlass eines konkreten Verdachts eines Verstoßes erfolgt.
§ 13 Haftung
(1) Es gelten die im Hauptvertrag (AGB § 14) vereinbarten Haftungsregeln, soweit Art. 82 DSGVO und §§ 31, 32 BDSG nicht zwingend etwas anderes vorschreiben.
(2) Im Außenverhältnis zur betroffenen Person haftet der Verantwortliche (Art. 82 Abs. 1 DSGVO). Im Innenverhältnis greift die im Hauptvertrag vereinbarte Haftungsverteilung; soweit ein Schaden auf einem Pflichtverstoß des Auftragsverarbeiters beruht, hat dieser den Verantwortlichen entsprechend freizustellen.
§ 14 Beendigung, Datenrückgabe und Löschung
(1) Nach Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter dem Verantwortlichen alle personenbezogenen Daten nach dessen Wahl zurückzugeben oder zu löschen (Art. 28 Abs. 3 lit. g DSGVO).
(2) Der Verantwortliche kann die Daten jederzeit über die Software-Oberfläche exportieren (SQLite-Datenbankdatei und CSV pro Modul).
(3) Standardmäßig bewahrt der Auftragsverarbeiter die Daten 30 Tage nach Vertragsende als Wiederherstellungs-Backup auf. Anschließend werden alle personenbezogenen Daten unwiderruflich gelöscht.
(4) Ausgenommen sind Daten, deren Aufbewahrung der Auftragsverarbeiter gesetzlich verpflichtet ist (insbesondere § 257 HGB, § 147 AO). Diese werden für die Dauer der gesetzlichen Aufbewahrungsfrist gesperrt und nicht für andere Zwecke verwendet.
§ 15 Schlussbestimmungen
(1) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie die Datenverarbeitung betreffen (Art. 28 Abs. 3 DSGVO).
(2) Bei Beendigung des Hauptvertrags endet auch dieser AVV automatisch. Die Pflichten nach § 14 gelten fort.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem mit der unwirksamen Bestimmung verfolgten Zweck am nächsten kommt.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Aachen.
Anlage 1 — Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle (zum Rechenzentrum)
- Hosting in zertifiziertem Rechenzentrum (TÜV-zertifiziert, ISO 27001) der All-Inkl.com Neue Medien Münnich, Lehrte
- Mehrstufige Zutrittskontrolle: Empfangspersonal, Vereinzelungsanlagen, Chip-/Schlüsselkarten, Videoüberwachung 24/7
- Brandschutz, USV, redundante Stromversorgung, Klimatisierung
1.2 Zugangskontrolle (Verhinderung unbefugter Systemnutzung)
- Verschlüsselte Datenübertragung per TLS 1.2+ (HTTPS) für alle Zugriffe auf die Software
- Passwort-Authentifizierung mit Mindestlänge und Komplexitätsanforderungen; Speicherung ausschließlich als bcrypt-Hash (Cost-Faktor 12)
- Rate-Limiting gegen Brute-Force-Angriffe (max. 5 fehlgeschlagene Logins / 5 Minuten / IP)
- Session-Timeout nach 2 Stunden Inaktivität; Session-IDs werden bei Login regeneriert
- Optionale Zwei-Faktor-Authentifizierung (in Planung für Q4/2026)
1.3 Zugriffskontrolle (Datentrennung und Rollenkonzept)
- Multi-Tenant-Isolation: jeder Kunde hat eine separate Datenbank — keine geteilten Tabellen
- Rollenbasiertes Berechtigungskonzept im CRM (Administrator / Mitarbeiter / Leser)
- Audit-Log aller administrativen Zugriffe (Logins, Datenänderungen, Exports) gemäß Art. 5 Abs. 2 DSGVO, Aufbewahrung 365 Tage (konfigurierbar)
- Sensible Datenbankfelder (IBAN, Steuernummer, API-Schlüssel, SMTP-Passwort) zusätzlich AES-256-GCM verschlüsselt mit pro-Tenant abgeleitetem Schlüssel
1.4 Trennungsgebot
- Strikte Mandantentrennung auf Datenbankebene
- Test-, Staging- und Produktivumgebungen logisch und physisch getrennt
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabe-/Eingabe-Kontrolle: Protokollierung aller schreibenden Zugriffe im Audit-Log (User-ID, Modul, Datensatz-ID, Aktion, anonymisierte IP)
- Prepared Statements bei sämtlichen Datenbankzugriffen (Schutz vor SQL-Injection)
- CSRF-Token-Schutz für alle administrativen Formulare
- Input-Validation auf Server-Seite (Längenbeschränkung, Zeichenfilter, MIME-Type-Prüfung bei Uploads)
- Anonymisierung der IP-Adressen im Audit-Log (letztes Oktett auf 0 gesetzt) — Aktivierung der vollständigen IP nur bei begründetem Sicherheitsvorfall mit dokumentierter Einwilligung
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Tägliche automatische Backups; Aufbewahrung 14 Tage rollierend
- Wöchentliche Vollsicherung mit Aufbewahrung von 4 Wochen
- Backup-Test mindestens vierteljährlich (Wiederherstellung in Test-Umgebung)
- Disaster-Recovery-Plan: RTO (Recovery-Time) 24 Stunden, RPO (Recovery-Point) 24 Stunden
- Angestrebte Verfügbarkeit 99,9 % im Jahresmittel; Monitoring durch externes Uptime-Tool
- Redundante Stromversorgung und USV im Rechenzentrum, Brandschutz
4. Verfahren regelmäßiger Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Jährliches Security-Review der Anwendung inkl. Dependency-Audit
- Penetrations-Tests bei größeren Releases (mindestens jährlich)
- Logging und Auswertung von sicherheitsrelevanten Ereignissen
- Schulungen / Sensibilisierung der zur Verarbeitung berechtigten Personen
5. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
- Datenschutzfreundliche Voreinstellungen (Privacy by Default): IP-Anonymisierung aktiv, Cookie-Banner mit gleichwertigen Optionen, automatische Daten-Löschung nach 3 Jahren (konfigurierbar)
- Self-Service-Portal für Betroffenenrechte (Art. 15, 17, 20) per HMAC-signiertem Magic-Link
- Automatische Generierung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) sowie einer DSFA-Vorlage (Art. 35)
Anlage 2 — Verzeichnis der Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt zur Erbringung der Vertragsleistungen folgende Unterauftragsverarbeiter ein (Stand: = date('d.m.Y') ?>):
| Anbieter | Sitz / Standort der Verarbeitung | Zweck | Rechtsgrundlage Drittland |
|---|---|---|---|
| All-Inkl.com — Neue Medien Münnich Hauptstraße 68, 02742 Friedersdorf |
Rechenzentrum Lehrte (Hannover), Deutschland | Hosting der Anwendung und Datenbanken (Cloud-Infrastruktur, Backups) | EU — kein Drittland |
| bunny.net (BunnyWay d.o.o.) Cesta komandanta Staneta 4a, 1215 Medvode, Slowenien |
EU (Slowenien) | Bereitstellung von Web-Schriftarten (kein IP-Tracking durch den Anbieter, datenschutzfreundliche Alternative zu Google Fonts) | EU — kein Drittland |
| Anthropic, PBC 548 Market Street, PMB 90375, San Francisco, CA 94104, USA |
USA | Optional, nur bei aktiver Nutzung des KI-Assistenten — Verarbeitung administrativer Texteingaben des Verantwortlichen (Formular-Generator, Google-Posts, E-Mail-Vorlagen). Keine Übermittlung personenbezogener Daten von Endkunden des Verantwortlichen. | Drittland (USA) — abgesichert durch EU-Standardvertragsklauseln (Modul 2/3, Beschluss (EU) 2021/914) und EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023, Anthropic gelistet unter dpf.gov) |
Bei der Konfiguration des SMTP-Servers durch den Verantwortlichen wird zusätzlich der vom Verantwortlichen ausgewählte SMTP-Anbieter (z. B. All-Inkl, IONOS, ein eigener Mail-Server) zum technischen Mittel der E-Mail-Übermittlung. Da der Verantwortliche den SMTP-Anbieter selbst wählt und vertraglich bindet, ist dieser kein Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO.
Hinweis: Dieser AVV basiert auf der Muster-Vereinbarung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) und der GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.) und wurde an den ENT1PRO-Kontext angepasst. Er ersetzt keine individuelle Rechtsberatung. Vor produktivem Einsatz wird eine anwaltliche Prüfung empfohlen. Stand: = date('d.m.Y') ?> · Version 2.0.