Auftragsverarbeitungs-Vereinbarung (AVV)

Gemäß Art. 28 DSGVO — Vereinbarung zwischen Kunde (Verantwortlicher) und aqm3 (Auftragsverarbeiter).

⚠ PLATZHALTER — JURIST-PRÜFUNG ZWINGEND
Dieses Muster dient als Vertragsentwurf. Vor Verwendung muss es von einem IT-Rechts-Juristen / Datenschutzbeauftragten auf den konkreten Anbieter zugeschnitten werden.

Präambel

Die Parteien haben einen Nutzungsvertrag über die aqm3-Plattform abgeschlossen. Im Rahmen dieser Nutzung verarbeitet aqm3 personenbezogene Daten im Auftrag des Kunden. Diese AVV regelt die Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch aqm3 im Auftrag des Kunden zum Zweck der Bereitstellung der Plattform-Dienste (QM-Dokumentenlenkung, Audit-Verwaltung, Compliance-Kennzahlen, KI-gestützte Auswertungen).

(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags.

§ 2 Art der Daten und Kategorien Betroffener

Verarbeitet werden u. a.:

  • Stammdaten (Name, E-Mail, Position) von Mitarbeitenden des Kunden
  • Inhaltsdaten (QM-Dokumente, Audit-Antworten, Risiken, Vorfälle)
  • Nutzungsmetadaten (Login-Zeiten, IPs, User-Agent)
  • Optional: Sprachaufzeichnungen (Voice-to-Answer) — verbleiben auf Servern in Deutschland

Betroffene sind: Mitarbeitende, Kunden, Lieferanten des Auftraggebers.

§ 3 Pflichten des Auftragsverarbeiters

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Kunden.
  2. Verpflichtung aller Mitarbeitenden zur Vertraulichkeit.
  3. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe § 5).
  4. Unterstützung des Kunden bei Betroffenen-Rechten, Meldungen und Folgenabschätzungen.
  5. Unverzügliche Meldung von Datenschutzverletzungen.
  6. Löschung/Rückgabe der Daten nach Ende der Verarbeitung.

§ 4 Unterauftragsverarbeiter

Der Kunde erteilt die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:

  • Hetzner Online GmbH, Gunzenhausen, Deutschland — Infrastruktur-Hosting
  • Mollie B.V., Amsterdam, Niederlande — Zahlungsabwicklung (nur Zahlungsdaten)
  • KAS All-Inkl., Friedersdorf, Deutschland — E-Mail-Versand
  • (nur ggf.) Cloudflare, Inc. — DNS/Proxy, EU-Datenzentren

Änderungen werden dem Kunden mindestens 30 Tage vorher angekündigt. Der Kunde hat ein Widerspruchsrecht aus wichtigem Grund.

§ 5 Technische und organisatorische Maßnahmen (TOM)

  • Verschlüsselung im Transport (TLS 1.2+), Verschlüsselung sensibler Daten at-rest (AES-256-GCM für Integrationen + SMTP-Credentials)
  • Rollenbasiertes Zugriffsmodell (RBAC) + Row-Level-Security auf Datenbank-Ebene
  • Zwei-Faktor-Authentifizierung verfügbar
  • Tägliche verschlüsselte Backups, 14 Tage Retention
  • Logische Mandantentrennung auf DB-Ebene
  • Strukturiertes Error-Logging + Monitoring
  • Auftragsverarbeiter verpflichten sich zur DSGVO-Konformität
  • Keine Weitergabe an externe KI-Anbieter; alle KI-Verarbeitung self-hosted in DE

§ 6 Kontrollrechte des Kunden

Der Kunde hat das Recht, die Einhaltung dieser AVV zu überprüfen. aqm3 stellt dafür auf Anforderung eine aktuelle TOM-Dokumentation bereit. Eine Vor-Ort-Prüfung kann mit angemessener Vorlaufzeit (30 Tage) und auf Kosten des Kunden erfolgen.

§ 7 Löschung / Rückgabe

Nach Beendigung der Auftragsverarbeitung werden die Daten nach Wahl des Kunden zurückgegeben (Export) oder innerhalb von 90 Tagen datenschutzkonform gelöscht. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 8 Sonstiges

Ergänzend gelten die AGB und die Datenschutzerklärung. Bei Widersprüchen geht diese AVV vor.

Stand: TODO · Version 0.1 (Rahmentext)