Datenschutz · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.
Stand: 14.03.2026

§ 1–2

Gegenstand und Geltung

1. Gegenstand der Vereinbarung

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäß Art. 28 DSGVO. Sie gilt für alle Tätigkeiten, bei denen Beschäftigte der upbyte® e.K. (nachfolgend „Auftragnehmer") oder durch den Auftragnehmer beauftragte Unterauftragnehmer personenbezogene Daten des Auftraggebers verarbeiten.

2. Dauer und Geltung

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages. Sie endet automatisch mit Beendigung des Hauptvertrages, sofern sich aus den nachfolgenden Regelungen keine darüber hinausgehenden Pflichten ergeben. Es gelten ergänzend die Allgemeinen Geschäftsbedingungen der upbyte® e.K.

§ 3–4

Umfang und Weisungen

3. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen des Hauptvertrages und umfasst insbesondere:

  • Hosting und Betrieb von Webanwendungen
  • Speicherung und Verwaltung von Kontaktformular-Daten
  • Betrieb von Login- und Benutzerverwaltungssystemen
  • Erstellung und Verwaltung von Datensicherungen
  • Wartung und technischer Support

Kategorien betroffener Personen: Kunden, Interessenten, Mitarbeiter und Geschäftspartner des Auftraggebers.

Arten personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer, IP-Adressen, Login-Daten, Nachrichteninhalte aus Kontaktformularen sowie weitere im Rahmen der Nutzung der Webanwendung anfallende Daten.

4. Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

Weisungen können schriftlich oder per E-Mail erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

§ 5–6

Pflichten des Auftragnehmers

5. Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

6. Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

  • Verschlüsselung der Datenübertragung (TLS/SSL)
  • Zugangs- und Zugriffskontrolle (SSH-Key-Only, Firewall)
  • Regelmäßige Datensicherungen mit definierter Rotation
  • Zeitnahe Installation von Sicherheitsupdates
  • Server-Monitoring und Protokollierung sicherheitsrelevanter Ereignisse
  • Trennung von Mandanten-Daten durch separate Datenbanken

Die Maßnahmen unterliegen dem technischen Fortschritt und werden vom Auftragnehmer fortlaufend angepasst. Das Schutzniveau darf dabei nicht unterschritten werden.

§ 7–8

Unterauftragnehmer und Betroffenenrechte

7. Unterauftragnehmer

Der Auftragnehmer darf Unterauftragnehmer nur mit vorheriger schriftlicher Zustimmung des Auftraggebers einsetzen. Der Auftragnehmer verpflichtet jeden Unterauftragnehmer vertraglich auf die in dieser Vereinbarung festgelegten Datenschutzpflichten.

Aktuell eingesetzte Unterauftragnehmer:

  • netcup GmbH — Serverhosting (Rechenzentrum Deutschland)

Bei Wechsel oder Hinzunahme von Unterauftragnehmern wird der Auftraggeber vorab informiert. Er hat die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben.

8. Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte nach Art. 12–23 DSGVO, insbesondere bei:

  • Auskunftserteilung (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)

Richtet eine betroffene Person ein Ersuchen direkt an den Auftragnehmer, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter.

§ 9–10

Meldepflichten und Löschung

9. Meldepflichten bei Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung umfasst mindestens:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und vorgeschlagene Maßnahmen

10. Löschung und Rückgabe

Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

Die Löschung erfolgt gemäß § 8.5 der AGB innerhalb von 30 Tagen nach Vertragsende. Auf Wunsch werden die Daten zuvor in einem gängigen, maschinenlesbaren Format an den Auftraggeber übergeben.

Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen schriftlich.

§ 11–12

Prüfrechte und Schlussbestimmungen

11. Kontroll- und Prüfrechte

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorgaben und der in dieser Vereinbarung getroffenen Regelungen zu überprüfen — auch durch Inspektionen vor Ort nach angemessener Vorankündigung.

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

12. Schlussbestimmungen

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

Diese Vereinbarung wird Bestandteil des Hauptvertrages zwischen Auftraggeber und Auftragnehmer und tritt mit Unterzeichnung des Hauptvertrages in Kraft.

upbyte® e.K. · Schleswig-Holstein
Stand: 14.03.2026

Weitere Informationen

Rechtliche Dokumente

AGB

Geschäftsbedingungen

Impressum

Rechtliche Angaben

Datenschutz

Datenschutzerklärung

Verantwortung

Ethische Standards