DSGVO · Art. 28

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand: März 2026

Dieser AV-Vertrag wird durch aktive Zustimmung des Kunden im Rahmen der Registrierung bzw. des Vertragsschlusses abgeschlossen. Die Zustimmung erfolgt durch ausdrückliche Bestätigung (Checkbox) im Registrierungsprozess. Ohne diese Zustimmung kann der Dienst nicht genutzt werden.

Präambel

Der Kunde (nachfolgend „Verantwortlicher") nutzt die SaaS-Plattform InfraSys IT-Service des Anbieters Basel Müller (nachfolgend „Auftragsverarbeiter") und verarbeitet dabei personenbezogene Daten Dritter (insbesondere seiner eigenen Kunden). Dieser Vertrag regelt die Rechte und Pflichten beider Parteien im Rahmen dieser Auftragsverarbeitung gemäß Art. 28 DSGVO.

Art. 1 – Gegenstand und Dauer

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform InfraSys IT-Service.

(2) Die Dauer der Auftragsverarbeitung richtet sich nach dem Hauptvertrag (AGB). Dieser AVV tritt mit aktiver Zustimmung des Kunden im Registrierungsprozess in Kraft und endet mit Beendigung des Hauptvertrags.

Art. 2 – Art und Zweck der Datenverarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Änderung, Abfrage, Verwendung, Übermittlung, Löschung

Zweck: Bereitstellung der SaaS-Funktionen (Kundenverwaltung, Auftragsverwaltung, Rechnungsstellung, Angebotserstellung)

Kategorien betroffener Personen:

Kunden des Verantwortlichen (Endkunden)
Ansprechpartner bei Geschäftskunden
Weitere vom Verantwortlichen eingegebene Kontaktpersonen

Kategorien personenbezogener Daten:

Name, Vorname, Firmenname
Adressdaten (Straße, PLZ, Ort, Land)
Kontaktdaten (E-Mail, Telefon)
Steuerliche Daten (USt-IdNr.)
Vertrags- und Zahlungsdaten (Rechnungen, Zahlungsvermerke)

Art. 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Zur Verschwiegenheit über alle verarbeiteten personenbezogenen Daten
Alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu ergreifen und aufrechtzuerhalten
Nur Unterauftragnehmer einzusetzen, die ausreichende Garantien bieten, und diese vertraglich nach Art. 28 Abs. 4 DSGVO zu verpflichten
Den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen
Den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, über Datenschutzverletzungen zu informieren
Nach Vertragsende alle Daten auf Wunsch zurückzugeben oder zu löschen
Dem Verantwortlichen alle erforderlichen Informationen zur Nachweisführung gemäß Art. 28 Abs. 3 lit. h DSGVO zur Verfügung zu stellen

Art. 4 – Technisch-organisatorische Maßnahmen (TOMs)

Maßnahme	Umsetzung
Zutrittskontrolle	Server in gesichertem Rechenzentrum (netcup GmbH, Deutschland); kein physischer Zugang für Unbefugte
Zugangskontrolle	Authentifizierung mittels E-Mail + Passwort (bcrypt-Hash); JWT-Token mit Ablaufzeit; keine Weitergabe von Zugangsdaten
Zugriffskontrolle	Rollenbasiertes Berechtigungssystem; vollständige Mandantentrennung (separate Datenbank je Kunde); minimales Berechtigungsprinzip
Weitergabekontrolle	Ausschließliche HTTPS-Übertragung (TLS 1.2+); keine unverschlüsselte Datenübertragung; keine Weitergabe an nicht autorisierte Dritte
Eingabekontrolle	Protokollierung von sicherheitsrelevanten Zugriffen; Authentifizierungspflicht für alle schreibenden Aktionen
Integritätskontrolle	Schutz vor unbefugter Veränderung durch Zugriffskontrollen, serverseitige Validierung aller Eingaben sowie geeignete Integritätsmaßnahmen auf Datenbankebene
Auftragskontrolle	Datenverarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen; kein eigenständiger Zugriff des Auftragsverarbeiters auf Kundendaten ohne Weisung
Verfügbarkeitskontrolle	Tägliche automatisierte Datensicherungen; mindestens 7 Tage Aufbewahrung; Systemmonitoring
Trennungsgebot	Vollständige logische und technische Datentrennung zwischen Mandanten durch isolierte Datenbankinstanzen je Kunde

Art. 5 – Unterauftragnehmer

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, die vertraglich nach Art. 28 Abs. 4 DSGVO verpflichtet sind:

netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe – Server-Hosting, Standort Deutschland
Datenschutz: netcup.de
Brevo SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich – Transaktions-E-Mail-Versand, Serverstandort EU
Datenschutz: brevo.com

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragnehmer mit Abschluss dieses Vertrags zu.

Über Änderungen im Kreis der eingesetzten Unterauftragnehmer (Hinzufügen oder Ersetzen) wird der Verantwortliche mindestens 14 Tage im Voraus per E-Mail informiert. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Zugang der Information schriftlich zu widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Bei berechtigtem Widerspruch können die Parteien eine einvernehmliche Lösung suchen; gelingt dies nicht, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht zu.

Art. 6 – Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des technisch Möglichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Löschung, Berichtigung, Datenportabilität gemäß Art. 15–20 DSGVO). Anfragen sind an info@infra-sys.de zu richten.

Art. 7 – Datenpannen (Art. 33, 34 DSGVO)

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, über Datenschutzverletzungen. Die Meldung enthält soweit verfügbar: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder geplante Abhilfemaßnahmen.

Art. 8 – Audit und Nachweisführung

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen.

(2) Audits durch den Verantwortlichen oder von ihm beauftragte, zur Verschwiegenheit verpflichtete Dritte sind unter folgenden Bedingungen möglich:

Ankündigung mit einer Frist von mindestens 14 Tagen in Textform
Durchführung ausschließlich während der üblichen Geschäftszeiten (Mo–Fr, 09:00–17:00 Uhr)
Audits dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen
Kosten des Audits trägt der Verantwortliche, sofern keine schwerwiegenden Verstöße festgestellt werden

(3) Der Auftragsverarbeiter kann anstelle einer Vor-Ort-Prüfung geeignete Nachweise (z.B. aktuelle Zertifizierungen, Prüfberichte, Eigenerklärungen zu TOMs) vorlegen, sofern diese den Prüfzweck angemessen erfüllen. Der Verantwortliche kann eine Vor-Ort-Prüfung nur verlangen, wenn die vorgelegten Nachweise den Prüfzweck nachweislich nicht erfüllen.

Art. 9 – Löschung nach Vertragsende

Nach Beendigung des Hauptvertrags werden alle verarbeiteten personenbezogenen Daten auf Wunsch des Verantwortlichen zurückgegeben oder innerhalb von 30 Tagen vollständig und unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen (insbesondere § 147 AO). Eine schriftliche Bestätigung der Löschung wird auf Anfrage ausgestellt.

Art. 10 – Schlussbestimmungen

(1) Dieser Vertrag unterliegt deutschem Recht.

(2) Dieser AVV wird durch aktive Zustimmung des Kunden im Rahmen der Registrierung bzw. des Vertragsschlusses abgeschlossen und ist Bestandteil des Hauptvertrags.

(3) Änderungen bedürfen der Textform. Bei Widersprüchen zwischen AVV und AGB geht dieser AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.

(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.