Software Manufaktur Logo
Gespräch starten

Auftragsverarbeitung

Vertrag zur Auftragsverarbeitung

Muster nach Art. 28 DSGVO – Stand: 15.05.2026

Vertragsparteien

Verantwortlicher (im Folgenden „Auftraggeber“ oder „Kunde“):
[Firma / Anschrift / Vertretungsberechtigte/r – pro Einzelvertrag einzutragen]

Auftragsverarbeiter (im Folgenden „Auftragnehmer“ oder „Anbieter“):
Roy Heppner
Software Manufaktur
Rochlitzer Straße 33
04651 Bad Lausick
E-Mail: kontakt@diesoftwaremanufaktur.de

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

(2) Die Verarbeitung erfolgt im Rahmen der zwischen den Parteien geschlossenen Haupt-/Projektverträge (insbesondere Hosting, Wartung, Support, Entwicklungsleistungen).

(3) Die Dauer dieses Vertrages entspricht der Dauer des jeweiligen Hauptvertrages, in dessen Rahmen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen

(1) Art der Verarbeitung: Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten, jeweils im Rahmen der vereinbarten Leistungen.

(2) Zweck der Verarbeitung: Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:

  • Hosting und Betrieb von Websites, Webanwendungen und Datenbanken;
  • Wartung, Support und Fehlerbehebung an den vom Auftraggeber betriebenen Systemen;
  • Entwicklungs- und Anpassungsarbeiten mit Zugriff auf Produktivdaten;
  • Backup und Wiederherstellung.

(3) Art der personenbezogenen Daten: Die genaue Art der Daten ergibt sich aus dem jeweiligen Hauptvertrag. Typischerweise können folgende Datenkategorien betroffen sein:

  • Stammdaten (z. B. Name, Anschrift, Geburtsdatum);
  • Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer);
  • Nutzungsdaten (z. B. Logdaten, IP-Adressen, Zeitstempel);
  • Kommunikationsdaten (z. B. Nachrichteninhalte aus Kontaktformularen);
  • Vertrags- und Abrechnungsdaten;
  • weitere, im Einzelvertrag konkret benannte Daten.

(4) Kategorien betroffener Personen:

  • Kunden, Interessenten und Lieferanten des Auftraggebers;
  • Besucher und Nutzer der Websites / Anwendungen des Auftraggebers;
  • Beschäftigte, freie Mitarbeiter und Ansprechpartner des Auftraggebers;
  • weitere, im Einzelvertrag konkret benannte Personengruppen.

§ 3 Weisungsbefugnis des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Weisungen werden grundsätzlich in Textform (z. B. E-Mail) erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Die konkret umgesetzten TOMs sind in Anlage 1 dokumentiert und Bestandteil dieses Vertrages.

(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Betroffenenrechte (Art. 12 bis 23 DSGVO), insbesondere bei Auskunftsersuchen, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Datenübertragbarkeit.

(4) Der Auftragnehmer unterstützt den Auftraggeber ferner bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(5) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung.

§ 5 Unterauftragsverarbeiter

(1) Der Auftragnehmer darf Unterauftragsverarbeiter nur mit vorheriger, dokumentierter Zustimmung des Auftraggebers einsetzen. Die Zustimmung für die in Anlage 2 aufgeführten Unterauftragsverarbeiter wird mit Vertragsschluss erteilt (allgemeine Zustimmung nach Art. 28 Abs. 2 DSGVO).

(2) Bei beabsichtigten Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter informiert der Auftragnehmer den Auftraggeber mindestens zwei Wochen vor Wirksamwerden, sodass der Auftraggeber gegen solche Änderungen Einspruch erheben kann. Im Fall eines berechtigten Einspruchs gilt § 9 dieses Vertrages (Kündigungsrecht).

(3) Der Auftragnehmer verpflichtet Unterauftragsverarbeiter schriftlich zur Einhaltung derselben Datenschutzpflichten, wie sie in diesem Vertrag festgelegt sind.

§ 6 Kontrollrechte des Auftraggebers

(1) Der Auftragnehmer stellt dem Auftraggeber alle zur Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen.

(2) Der Auftraggeber ist berechtigt, sich von der Einhaltung der Pflichten des Auftragnehmers durch angemessene Kontrollen zu überzeugen. Überprüfungen sind mit angemessener Vorankündigung (mindestens 14 Tage), zu üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen und in der Regel auf einmal jährlich begrenzt, sofern kein besonderer Anlass besteht.

(3) Der Nachweis kann auch durch geeignete Zertifikate, Prüfberichte anerkannter Stellen oder aktuelle Testate eines neutralen Datenschutzbeauftragten geführt werden (z. B. ISO 27001, SOC 2).

§ 7 Pflichten des Auftraggebers

(1) Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung im Rahmen dieses Vertrages verantwortlich.

(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er in den Ergebnissen der Auftragsverarbeitung Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.

§ 8 Beendigung, Rückgabe und Löschung von Daten

(1) Nach Beendigung der Erbringung der Verarbeitungsleistungen – d. h. nach Beendigung des Hauptvertrages – löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Die Löschung / Rückgabe erfolgt innerhalb einer Frist von 30 Tagen nach Vertragsende. Der Auftragnehmer bestätigt die Löschung in Textform.

(3) Sicherungskopien (Backups), die nach planmäßigen Rotationszyklen überschrieben werden, sind von der Sofortlöschung ausgenommen und werden im Rahmen der regulären Backup-Rotation gelöscht.

§ 9 Kündigung

(1) Der Auftraggeber kann diesen Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen datenschutzrechtliche Vorschriften oder gegen die Bestimmungen dieses Vertrages vorliegt und der Auftragnehmer den Verstoß trotz angemessener Fristsetzung nicht abgestellt hat.

(2) Die Kündigung des Hauptvertrages beendet automatisch auch diesen Auftragsverarbeitungsvertrag.

§ 10 Schlussbestimmungen

(1) Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages vor.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(4) Es gilt deutsches Recht. Gerichtsstand ist das Amtsgericht Grimma.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Die folgenden Maßnahmen werden vom Auftragnehmer umgesetzt:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

  • Serverstandort: Rechenzentrum ALL-INKL.COM – Neue Medien Münnich in Deutschland – zertifiziert nach ISO 27001;
  • Arbeitsplatz des Auftragnehmers: abschließbare Bürotüren, kein öffentlicher Zugang, Clean-Desk-Policy.

Zugangskontrolle:

  • Verschlüsselte Festplatten auf allen Arbeitsgeräten;
  • Zugriff auf Systeme ausschließlich über persönliche, starke Passwörter;
  • Zwei-Faktor-Authentifizierung (2FA) wo technisch verfügbar;
  • automatische Bildschirmsperre nach Inaktivität.

Zugriffskontrolle:

  • Berechtigungskonzept nach dem Prinzip der minimalen Rechte (Need-to-know);
  • Zugriffe auf Kundensysteme werden protokolliert;
  • getrennte Benutzerkonten für administrative und tägliche Arbeit.

Trennungskontrolle:

  • logische Trennung der Daten unterschiedlicher Auftraggeber auf Datenbank- und Dateisystemebene;
  • getrennte Test- und Produktivumgebungen.

Pseudonymisierung / Verschlüsselung:

  • Datentransport ausschließlich über verschlüsselte Verbindungen (TLS/SSH);
  • Verschlüsselung von Backups;
  • Pseudonymisierung personenbezogener Daten in Testumgebungen, sofern technisch möglich.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: verschlüsselte Übertragung aller Daten (TLS 1.2/1.3, SSH).

Eingabekontrolle: Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen durch Systemprotokolle / Versionierung (Git).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Regelmäßige, automatisierte Backups;
  • RAID-Systeme im Rechenzentrum;
  • unterbrechungsfreie Stromversorgung (USV) und Notstromversorgung im Rechenzentrum;
  • Monitoring der Systemverfügbarkeit und Alerting bei Ausfällen.

4. Verfahren zur regelmäßigen Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • regelmäßige Updates und Sicherheits-Patches;
  • Datenschutzmanagement: Prüfung der Wirksamkeit der Maßnahmen mindestens einmal jährlich;
  • Auftragskontrolle: klare Weisungsstruktur, Dokumentation aller Verarbeitungsvorgänge.

Anlage 2 – Genehmigte Unterauftragsverarbeiter

1. ALL-INKL.COM – Neue Medien Münnich

  • Anschrift: Hauptstraße 68, 02742 Friedersdorf, Deutschland
  • Leistung: Webhosting, Serverbetrieb, Datenbank- und Mailserver-Bereitstellung, Rechenzentrumsleistungen
  • Ort der Verarbeitung: Deutschland
  • Zertifizierungen: ISO/IEC 27001

2. Google Ireland Limited (Google Workspace)

  • Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
  • Leistung: Geschäfts-E-Mail-Hosting (Google Workspace), Versand und Empfang von E-Mails im Rahmen der Auftragsabwicklung und Onboarding-Kommunikation
  • Ort der Verarbeitung: EU/EWR (Google Workspace Datenstandort EU)
  • Rechtsgrundlage: Google Workspace Data Processing Amendment (Art. 28 DSGVO)
  • Zertifizierungen: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2/3

Weitere Unterauftragsverarbeiter werden nur nach Zustimmung des Auftraggebers gemäß § 5 eingesetzt.

Stand: 15.05.2026 – Roy Heppner / Software Manufaktur – Rochlitzer Straße 33 – 04651 Bad Lausick