Auftragsverarbeitungsvereinbarung (AVV)

Diese Auftragsverarbeitungsvereinbarung (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Pflichten und Rechte zwischen

Rivus Media GmbH (Marke: Firmenadresse.com), Hamburger Allee 61, 30161 Hannover, HRB 228434, Amtsgericht Hannover, vertreten durch den Geschäftsführer Marcel Hampe-Soleinsky — im Folgenden „Auftragsverarbeiter“ —

und dem Kunden des Auftragsverarbeiters — im Folgenden „Verantwortlicher“ —

im Rahmen der Erbringung der Dienstleistungen gemäß den Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters, insbesondere der Services für virtuelle Geschäftsadressen, Postbearbeitung und Telefonservices. Diese AVV ist Bestandteil des Hauptvertrages und regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

Klarstellung zur datenschutzrechtlichen Rolle: Diese AVV regelt ausschließlich die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen. Soweit der Auftragsverarbeiter im Rahmen seiner Leistungen eigene gesetzliche Pflichten erfüllt (insbesondere nach dem Postgesetz, dem Strafgesetzbuch [Postgeheimnis], dem Geldwäschegesetz, dem Handelsgesetzbuch oder steuerrechtlichen Vorschriften), handelt er insoweit nicht als Auftragsverarbeiter, sondern als eigener Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Diese AVV gilt für diese Verarbeitungen nicht.

(1) Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen im Rahmen der Erbringung der im Hauptvertrag und in den Leistungsbeschreibungen der AGB definierten Dienstleistungen (z.B. Annahme und Scan von Postsendungen, Entgegennahme und Bearbeitung von Telefonanrufen).

(2) Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages. Mit Beendigung des Hauptvertrages endet auch diese AVV. Pflichten dieser AVV, die ihrer Natur nach über das Vertragsende hinauswirken — insbesondere die Vertraulichkeitspflichten (§ 4 Abs. 3), die Pflicht zur Löschung oder Rückgabe der Daten (§ 4 Abs. 6) sowie die gesetzlichen Aufbewahrungspflichten — bleiben hiervon unberührt und gelten fort.

(1) Art der Verarbeitung: Erhebung, Speicherung, Organisation, Strukturierung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung von Daten. Die Verarbeitung erfolgt automatisiert und/oder nicht-automatisiert, insbesondere durch manuelle Tätigkeiten (z.B. Öffnen und Sortieren von Post, Notizen bei Telefonanrufen). Telefongespräche werden nicht aufgezeichnet.

(2) Zweck der Verarbeitung: Bereitstellung der im Hauptvertrag vereinbarten Dienstleistungen, insbesondere:

• Postservice: Annahme, Sortierung, Öffnung, Digitalisierung (Scannen), Weiterleitung und/oder zeitlich begrenzte Aufbewahrung von Postsendungen im Auftrag des Verantwortlichen.
• Telefonservice: Entgegennahme von Anrufen, Erstellung von Anrufnotizen, Weiterleitung von Nachrichten und/oder Anrufen im Namen des Verantwortlichen.
• Bearbeitung von Kundenanfragen, administrative Verwaltung des Vertragsverhältnisses.

(3) Art der personenbezogenen Daten:

• Im Rahmen des Postservices: Absender- und Empfängerdaten auf Postsendungen (Namen, Adressen), Kommunikationsinhalte (Texte, Dokumente, Rechnungen, geschäftliche Korrespondenz), ggf. Bankverbindungsdaten oder sonstige Daten, die in den Postsendungen enthalten sind.
• Im Rahmen des Telefonservices: Namen von Anrufern, Telefonnummern, Anliegen des Anrufers, Uhrzeit und Dauer des Anrufs, Notizen zum Gesprächsinhalt.
• Stammdaten des Verantwortlichen und seiner Mitarbeiter: Namen, Adressen, Kontaktdaten (E-Mail, Telefonnummer), Vertragsdaten.

(4) Kategorien betroffener Personen:

• Kunden, Geschäftspartner und Lieferanten des Verantwortlichen.
• Mitarbeiter des Verantwortlichen.
• Anrufer, die den Telefonservice des Verantwortlichen nutzen.
• Sonstige Personen, deren Daten in den Postsendungen oder Telefonanrufen enthalten sind.

(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen — einschließlich in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation —, soweit nicht eine Ausnahme nach Art. 28 Abs. 3 lit. a DSGVO besteht (z.B. aufgrund gesetzlicher Pflichten des Auftragsverarbeiters). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Weisungen können in Textform (insbesondere per E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Verantwortliche ist berechtigt, die Einhaltung der Weisungen jederzeit gemäß § 7 zu überprüfen.

(4) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzvorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

(1) Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen und dieser AVV zu verarbeiten.

(2) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Diese Maßnahmen sind in Anhang 1 dieser AVV näher beschrieben. Der Auftragsverarbeiter ist berechtigt, die TOM im Laufe der Vertragsbeziehung an den jeweiligen Stand der Technik anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

(3) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen. Soweit die Tätigkeit Postsendungen betrifft, sind die eingesetzten Mitarbeiter zusätzlich zur Wahrung des Postgeheimnisses gemäß § 39 PostG und § 206 StGB verpflichtet. Diese Verpflichtungen bestehen auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen — im Rahmen seiner Möglichkeiten und unter Berücksichtigung der Art der Verarbeitung — bei der Erfüllung seiner Pflichten gemäß Art. 12–22 DSGVO (Rechte betroffener Personen) sowie Art. 32–36 DSGVO (Datensicherheit, Meldepflichten bei Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Soweit die Unterstützung einen über den vertraglichen Standardumfang hinausgehenden Aufwand erfordert (z.B. wiederholte oder besonders umfangreiche Auskunftsbegehren), kann der Auftragsverarbeiter eine angemessene Vergütung gemäß seiner jeweils gültigen Preisliste verlangen.

(5) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten des Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung muss mindestens die Informationen gemäß Art. 33 Abs. 3 DSGVO enthalten, soweit diese verfügbar sind. Soweit zu diesem Zeitpunkt noch nicht alle Informationen vorliegen, sind diese unverzüglich nachzureichen.

(6) Der Auftragsverarbeiter wird nach Beendigung des Hauptvertrages und dieser AVV alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere nach § 257 HGB, § 147 AO oder § 8 GwG). Die Wahl ist vom Verantwortlichen innerhalb von 30 Tagen nach Vertragsende in Textform mitzuteilen; erfolgt keine fristgerechte Mitteilung, werden die Daten gelöscht. Für die Speicherung von Daten zur Erfüllung eigener gesetzlicher Aufbewahrungspflichten des Auftragsverarbeiters gilt diese AVV nicht; insoweit ist der Auftragsverarbeiter eigener Verantwortlicher.

(7) Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

(1) Der Verantwortliche ist allein für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten verantwortlich, die er dem Auftragsverarbeiter zur Verfügung stellt oder zur Verarbeitung übergibt.

(2) Der Verantwortliche hat das Weisungsrecht gemäß § 3 dieser AVV auszuüben und den Auftragsverarbeiter unverzüglich über etwaige Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung zu informieren.

(3) Der Verantwortliche ist dafür verantwortlich, dass die erteilten Weisungen keine Verstöße gegen die DSGVO oder andere Datenschutzvorschriften darstellen.

(4) Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter die für die Erfüllung der vertraglichen Pflichten erforderlichen Daten und Informationen vollständig und korrekt zur Verfügung zu stellen.

(5) Der Verantwortliche ist verpflichtet, die betroffenen Personen über die Datenverarbeitung durch den Auftragsverarbeiter in dem nach Art. 13 und 14 DSGVO erforderlichen Umfang zu informieren.

(1) Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) heranziehen. Der Verantwortliche erteilt hiermit eine allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 1 DSGVO zur Heranziehung der in Anhang 2 dieser AVV aufgeführten Sub-Auftragsverarbeiter.

(2) Beabsichtigt der Auftragsverarbeiter, einen neuen Sub-Auftragsverarbeiter hinzuzuziehen oder einen bestehenden Sub-Auftragsverarbeiter zu ersetzen, wird er den Verantwortlichen mindestens 30 Tage vor der geplanten Änderung in Textform (E-Mail genügt) informieren.

(3) Der Verantwortliche kann der geplanten Änderung innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform aus wichtigem datenschutzrechtlichen Grund widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt. Bei einem berechtigten Widerspruch werden die Parteien sich um eine einvernehmliche Lösung bemühen. Kommt eine solche nicht zustande, ist der Verantwortliche berechtigt, den Hauptvertrag mit Wirkung zum Zeitpunkt des Wirksamwerdens der Änderung außerordentlich zu kündigen.

(4) Der Auftragsverarbeiter stellt sicher, dass Sub-Auftragsverarbeiter durch Vertrag oder andere Rechtsinstrumente nach dem Recht der Union oder dem Recht der Mitgliedstaaten denselben Datenschutzpflichten unterliegen, die in dieser AVV festgelegt sind. Er gewährleistet insbesondere, dass die Sub-Auftragsverarbeiter hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Anforderungen der DSGVO entspricht.

(5) Der Auftragsverarbeiter haftet für die Einhaltung der Datenschutzpflichten durch die von ihm eingesetzten Sub-Auftragsverarbeiter wie für eigenes Handeln.

(6) Nicht als Sub-Auftragsverarbeiter im Sinne dieses Paragraphen gelten Nebenleistungen, die der Auftragsverarbeiter bei Dritten zur Erbringung seiner Tätigkeit in Anspruch nimmt (z.B. Telekommunikations-, Post- und Versanddienstleistungen, Reinigungskräfte, Bewachungsleistungen, Wirtschaftsprüfer). Der Auftragsverarbeiter ist jedoch verpflichtet, auch insoweit angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen und Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Verantwortlichen zu gewährleisten.

(1) Der Verantwortliche hat das Recht, nach vorheriger Absprache mit angemessener Vorankündigung (in der Regel mindestens 14 Tage) und während der üblichen Geschäftszeiten des Auftragsverarbeiters Kontrollen zur Einhaltung dieser AVV und der Datenschutzvorschriften durchzuführen oder durch beauftragte Dritte durchführen zu lassen, die in keinem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen. Die Kontrolle darf den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

(2) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten und dieser AVV notwendig sind. Der Nachweis kann auch durch aktuelle Zertifikate, Berichte oder Auszüge anerkannter unabhängiger Auditoren (z.B. ISO 27001, BSI-Grundschutz, SOC 2) sowie Selbstauskünfte erbracht werden.

(3) Die Kosten einer vom Verantwortlichen veranlassten Kontrolle trägt der Verantwortliche selbst. Stellt eine Kontrolle einen erheblichen Verstoß des Auftragsverarbeiters gegen seine Pflichten aus dieser AVV oder aus zwingenden Datenschutzvorschriften fest, trägt der Auftragsverarbeiter die angemessenen Kosten der Kontrolle.

(1) Eine Übermittlung der vom Verantwortlichen anvertrauten personenbezogenen Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (Drittländer) erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist und mit dem Verantwortlichen in dieser AVV (insbesondere durch Anhang 2) vereinbart oder vom Verantwortlichen anderweitig in Textform genehmigt wurde.

(2) Bei einer Übermittlung in Drittländer stellt der Auftragsverarbeiter sicher, dass die Anforderungen der Art. 44 ff. DSGVO eingehalten werden. Dies geschieht insbesondere durch:

• Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), insbesondere durch den Beitritt des jeweiligen Empfängers zum EU-US Data Privacy Framework, oder
• Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) in ihrer jeweils gültigen Fassung, oder
• andere geeignete Garantien gemäß Art. 46 DSGVO.

(3) Der Auftragsverarbeiter dokumentiert die für jeden Datentransfer verwendete Übermittlungsgarantie und stellt dem Verantwortlichen auf Anfrage Nachweise zur Verfügung.

Die Haftung für Schäden aus oder im Zusammenhang mit dieser AVV richtet sich nach den Regelungen des § 7 der Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters sowie nach Art. 82 DSGVO. Im Verhältnis der Parteien gilt insbesondere die in § 7 Abs. 4 der AGB vereinbarte Haftungshöchstgrenze (12 Monatsentgelte, max. 5.000,00 € je Schadensfall), soweit nicht zwingende gesetzliche Vorschriften (insbesondere Art. 82 DSGVO im Verhältnis zur betroffenen Person) eine weitergehende Haftung anordnen.

(1) Änderungen und Ergänzungen dieser AVV bedürfen der Textform (E-Mail genügt); dies gilt auch für die Abänderung dieser Klausel.

(2) Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen dadurch nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Im Falle von Widersprüchen zwischen dieser AVV und sonstigen Vereinbarungen der Parteien (insbesondere den AGB) gehen die Regelungen dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.

(4) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (Schutz vor unbefugtem Zutritt zu Verarbeitungsanlagen):

• Geschäftsräume durch elektronisches Schließsystem mit personalisierter Chipkarte gesichert
• Alarmanlage mit Aufschaltung auf Sicherheitsdienst außerhalb der Geschäftszeiten
• Besucherregelung mit Anmeldung und Begleitung durch Mitarbeiter
• Schlüsselverwaltung mit dokumentierter Schlüsselausgabe

Zugangskontrolle (Schutz vor unbefugter Nutzung der Systeme):

• Personalisierte Benutzerkonten für alle Mitarbeiter
• Passwortrichtlinie mit Mindestlänge und Komplexitätsanforderungen
• Zwei-Faktor-Authentifizierung für administrative Zugänge und Remote-Zugriffe
• Automatische Bildschirmsperre bei Inaktivität
• Sichere Anmeldeverfahren mit Sperrung nach Fehlversuchen

Zugriffskontrolle (Schutz vor unbefugtem Zugriff auf Daten):

• Rollen- und Berechtigungskonzept nach dem Prinzip der minimalen Rechte (Need-to-know)
• Mandantentrennung in den eingesetzten Systemen (logische Trennung der Kundendaten)
• Protokollierung sicherheitsrelevanter Zugriffe und administrativer Tätigkeiten
• Regelmäßige Überprüfung und Anpassung der Berechtigungen
• Sichere Entsorgung von Datenträgern und Dokumenten (DIN 66399)

Trennungsgebot:

• Logische Mandantentrennung in IT-Systemen
• Physisch getrennte Aufbewahrung von Postsendungen unterschiedlicher Kunden
• Getrennte Verarbeitung von Produktiv- und Testdaten

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Verschlüsselte Datenübertragung mittels TLS 1.2 oder höher
• Verschlüsselte Speicherung sensibler Daten (Verschlüsselung mindestens AES-256 für ruhende Daten)
• VPN-Zugang für Remote-Verbindungen mit Zwei-Faktor-Authentifizierung
• Sichere Übergabe physischer Postsendungen an Versanddienstleister gegen Empfangsnachweis

Eingabekontrolle:

• Protokollierung von Änderungen an personenbezogenen Daten in den zentralen Systemen
• Nachvollziehbarkeit von Eingaben über Benutzeridentifikation (Audit-Trail)
• Versionierung relevanter Datenbestände

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle:

• Regelmäßige automatisierte Backups (mindestens täglich)
• Verschlüsselte Speicherung der Backups
• Redundante Systemarchitektur in einem zertifizierten Rechenzentrum (AWS Frankfurt, eu-central-1)
• USV-Anlage und Notstromversorgung im Rechenzentrum
• Schutz vor Schadsoftware durch aktuelle Virenschutzlösungen und Firewalls
• Patch-Management für Betriebssysteme und eingesetzte Software

Wiederherstellbarkeit:

• Dokumentierte Notfall- und Wiederherstellungspläne (Disaster Recovery)
• Regelmäßige Tests der Wiederherstellbarkeit der Backups
• Zielwiederherstellungszeit (RTO) und Zielwiederherstellungspunkt (RPO) definiert

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

Auftragskontrolle:

• Vertragliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis sowie auf das Postgeheimnis (§ 39 PostG, § 206 StGB)
• Regelmäßige Datenschutz- und Datensicherheitsschulungen der Mitarbeiter
• Schriftliche Verfahrensanweisungen und Arbeitsanweisungen zur Datenverarbeitung
• Sorgfältige Auswahl und Überprüfung von Auftragsverarbeitern

Datenschutz-Management:

• Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
• Etablierter Prozess zur Bearbeitung von Anfragen betroffener Personen
• Dokumentierter Prozess zur Meldung von Datenschutzverletzungen
• Regelmäßige Überprüfung und Aktualisierung der TOM (mindestens jährlich)
• Risikobewertung bei neuen oder geänderten Verarbeitungstätigkeiten

Der Verantwortliche genehmigt mit Abschluss dieser AVV den Einsatz folgender Sub-Auftragsverarbeiter durch den Auftragsverarbeiter:

1. Amazon Web Services EMEA SARL

Adresse: 38 Avenue John F. Kennedy, L-1855 Luxembourg. Land der Datenverarbeitung: Luxemburg (Datenspeicherung in Frankfurt am Main / Deutschland, Region eu-central-1). Zweck: Hosting und verschlüsselte Speicherung der Kundendaten und Anwendungsdaten. Übermittlungsgarantie: Verarbeitung innerhalb der EU; ergänzend Standardvertragsklauseln und EU-US Data Privacy Framework (Konzernzugriff).

2. Vercel Inc.

Adresse: 440 N Barranca Ave #4133, Covina, CA 91723, USA. Land: USA (Webseiten-Auslieferung über EU-Region Frankfurt). Zweck: Webhosting und Auslieferung der Webseite. Übermittlungsgarantie: EU-US Data Privacy Framework, ergänzend Standardvertragsklauseln.

3. Jotform Inc.

Adresse: 4 Embarcadero Center, Suite 780, San Francisco, CA 94111, USA. Land: USA. Zweck: Bereitstellung des Formularsystems zur Erfassung und Speicherung von Anrufnotizen im Telefonservice. Übermittlungsgarantie: EU-US Data Privacy Framework, ergänzend Standardvertragsklauseln.

Die Liste wird vom Auftragsverarbeiter aktuell gehalten. Die jeweils aktuelle Fassung wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt. Änderungen der Liste werden gemäß § 6 dieser AVV mitgeteilt.

Nicht als Sub-Auftragsverarbeiter im Sinne dieser AVV gelten Zahlungsdienstleister (PayPal, Stripe, Banken), Versanddienstleister (Deutsche Post, DHL, UPS etc.), Telekommunikationsanbieter sowie Berater (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer), da diese ihre Leistungen als eigene Verantwortliche bzw. unter eigener Berufsverschwiegenheit erbringen.