Auftragsverarbeitungsvertrag (AVV)

Allgemeine Geschäftsbedingungen (AGB) & Leistungsbeschreibung
|
Auftragsverarbeitungsvertrag (AVV)
|
Datenschutz (Europäische-Union)
|
Impressum

zwischen
[Name des Kunden] – im Folgenden „Auftraggeber / Verantwortlicher“ gemäß Art. 4 Nr. 7 DSGVO –
und
insiba Engineering, Käthe-Kollwitz-Ring 83, 76676 Graben-Neudorf – im Folgenden „Auftragnehmer / Auftragsverarbeiter“ gemäß Art. 4 Nr. 8 DSGVO

I. Präambel

Die Parteien sind durch den Abschluss der bei Vertragsschluss gültigen Allgemeinen Geschäftsbedingungen (AGB) über die Nutzung der SaaS-Lösung „eCommerce One“ miteinander verbunden. Im Rahmen dieses Vertragsverhältnisses verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers.

Dieser Auftragsverarbeitungsvertrag konkretisiert gemäß Art. 28 DSGVO die datenschutzrechtlichen Rechte und Pflichten der Parteien. Er regelt Art, Umfang und Zweck der Verarbeitung personenbezogener Daten sowie die Anforderungen an technische und organisatorische Maßnahmen und den Einsatz von Unterauftragsverarbeitern.

Dieser Vertrag ergänzt die bei Vertragsschluss gültigen Allgemeinen Geschäftsbedingungen (AGB). Im Falle von Widersprüchen gehen die Regelungen dieses Auftragsverarbeitungsvertrags vor.

II. Anwendungsbereich

(1) Dieser Vertrag findet Anwendung auf sämtliche Tätigkeiten des Auftragnehmers, bei denen personenbezogene Daten des Auftraggebers verarbeitet werden.

(2) Der Auftraggeber bleibt allein verantwortlich für die Einhaltung der datenschutzrechtlichen Bestimmungen.

(3) Dieser Vertrag gilt für alle Verarbeitungsvorgänge, die im Rahmen der Nutzung der SaaS-Plattform „eCommerce One“ erfolgen.

III. Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung sind personenbezogene Daten, die im Rahmen der Nutzung der Plattform eCommerce One verarbeitet werden, insbesondere im Zusammenhang mit Bestellimporten, Kunden- und Produktverwaltung, Dokumentenerstellung, Versandabwicklung sowie Automatisierungsfunktionen.

(2) Art der Verarbeitung umfasst insbesondere Erhebung, Speicherung, Organisation, Nutzung, Übermittlung, Einschränkung oder Löschung personenbezogener Daten.

(3) Zweck der Verarbeitung ist die Erbringung der vertraglich geschuldeten SaaS-Leistungen.

(4) Die Verarbeitung beginnt mit der Aktivierung des Kundenkontos und endet mit der vollständigen Löschung oder Rückgabe der personenbezogenen Daten nach Beendigung des Vertragsverhältnisses.

(5) Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Übermittlungen in Drittländer erfolgen nur unter Einhaltung der Art. 44 ff. DSGVO.

IV. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Alle zur Verarbeitung befugten Personen werden zur Vertraulichkeit verpflichtet.

(3) Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung der Betroffenenrechte gemäß Art. 12–23 DSGVO.

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO.

(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich bei datenschutzrechtlichen Bedenken hinsichtlich einer Weisung.

V. Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.

(2) Der Auftraggeber stellt sicher, dass er zur Verarbeitung personenbezogener Daten berechtigt ist.

(3) Der Auftraggeber prüft regelmäßig die technischen und organisatorischen Maßnahmen des Auftragnehmers.

(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich über festgestellte Datenschutzverstöße.

VI. Weisungen

(1) Weisungen sind grundsätzlich schriftlich oder in Textform zu erteilen.

(2) Der Auftragnehmer ist berechtigt, die Umsetzung einer Weisung auszusetzen, wenn diese gegen Datenschutzrecht verstößt.

(3) Weisungen außerhalb des vereinbarten Leistungsumfangs gelten als Änderungsanfrage.

VII. Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, insbesondere Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten.

VIII. Kontrollrechte

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen.

(2) Geeignete Nachweise können insbesondere Zertifizierungen, Prüfberichte unabhängiger Dritter oder Datenschutzaudits sein.

(3) Kontrollen sind rechtzeitig anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.

IX. Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

(2) Der Auftragnehmer verpflichtet Unterauftragsverarbeiter vertraglich zur Einhaltung der DSGVO.

(3) Änderungen bei Unterauftragsverarbeitern werden dem Auftraggeber mitgeteilt.

X. Löschung und Rückgabe von Daten

(1) Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten gelöscht oder auf Wunsch des Auftraggebers zurückgegeben.

(2) Gesetzliche Aufbewahrungspflichten bleiben unberührt.

XI. Haftung

Die Parteien haften gemäß den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

Stand: 02.03.2026