Bluefield
Kontakt Produkte ansehen
Start / Auftragsverarbeitung (AVV)
Rechtlichesgemäß Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026 · gemäß Art. 28 DSGVO

Vertragsparteien

Auftragsverarbeiter Bluefield IT Solutions GmbH Gauss Allee 1, 82008 Unterhaching, Deutschland E-Mail: datenschutz@bluefield-solutions.de

Auftraggeber Das jeweilige Kundenunternehmen, das Leistungen des Auftragsverarbeiters in Anspruch nimmt, in deren Rahmen personenbezogene Daten im Auftrag verarbeitet werden (nachfolgend „Auftraggeber").

Dieser Vertrag ergänzt die zwischen den Parteien geschlossene Hauptvereinbarung (z. B. Dienst-, Werk- oder Nutzungsvertrag bzw. die jeweiligen AGB) und wird in Textform geschlossen.

Inhaltsverzeichnis

  1. Gegenstand, Dauer und Art der Verarbeitung
  2. Zweck der Verarbeitung
  3. Art der personenbezogenen Daten und Kategorien betroffener Personen
  4. Pflichten und Rechte des Auftraggebers
  5. Weisungsgebundenheit des Auftragsverarbeiters
  6. Vertraulichkeitspflichten
  7. Technische und organisatorische Maßnahmen (TOMs)
  8. Unterauftragsverarbeiter
  9. Unterstützung bei Betroffenenrechten und Meldepflichten
  10. Löschung und Rückgabe nach Vertragsende
  11. Nachweispflichten und Kontrollrechte
  12. Haftung
  13. Schlussbestimmungen

1. Gegenstand, Dauer und Art der Verarbeitung

Dieser Auftragsverarbeitungsvertrag („AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers gemäß Art. 28 Abs. 3 DSGVO.

Gegenstand der Auftragsverarbeitung ist die Erbringung der in der Hauptvereinbarung beschriebenen Leistungen (z. B. Bereitstellung und Betrieb von Software bzw. digitalen Produkten, Entwicklungs- und Betriebsleistungen), soweit hierbei personenbezogene Daten im Auftrag des Auftraggebers verarbeitet werden.

Die Verarbeitung erfolgt für die Dauer der Hauptvereinbarung. Nach deren Beendigung gelten die Regelungen in Ziffer 10 (Löschung und Rückgabe).

Die Art der Verarbeitung umfasst insbesondere: Erhebung, Erfassung, Organisation, Speicherung, Strukturierung, Anpassung, Auslesen, Verwendung, Übermittlung im vereinbarten Umfang sowie Löschung der überlassenen Daten.

2. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich im Auftrag und nach Weisung des Auftraggebers zum Zweck der Erbringung der in der Hauptvereinbarung vereinbarten Leistungen.

Eine Verarbeitung der Daten zu anderen Zwecken — insbesondere zu eigenen Zwecken des Auftragsverarbeiters — erfolgt nicht. Eine Zusammenführung mit Daten anderer Auftraggeber ist ausgeschlossen.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen (je nach beauftragter Leistung, abschließend im Einzelvertrag bzw. in einer Anlage zu konkretisieren):

  • Ansprechpartner und Nutzer des Auftraggebers
  • ggf. Beschäftigte des Auftraggebers
  • ggf. Kunden, Interessenten oder sonstige Kontakte des Auftraggebers

Verarbeitete Datenkategorien (je nach beauftragter Leistung, abschließend im Einzelvertrag bzw. in einer Anlage zu konkretisieren):

  • Stammdaten (z. B. Name, Unternehmenszugehörigkeit)
  • Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
  • Nutzungs- und Protokolldaten im Rahmen der Leistungserbringung
  • weitere im Einzelvertrag beschriebene Datenkategorien

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nur verarbeitet, soweit dies im Einzelvertrag ausdrücklich vorgesehen ist und der Auftraggeber das Vorliegen einer geeigneten Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherstellt.

4. Pflichten und Rechte des Auftraggebers

Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO. Er trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung und insbesondere für die Zulässigkeit der Übermittlung der Daten an den Auftragsverarbeiter.

Dem Auftraggeber obliegen insbesondere:

  • Sicherstellung einer geeigneten Rechtsgrundlage für die Verarbeitung
  • Information der betroffenen Personen, soweit gesetzlich erforderlich
  • unverzügliche Mitteilung von Änderungen an Weisungen und Datenkategorien
  • Dokumentation erteilter Weisungen

Der Auftraggeber hat das Recht, die Einhaltung der DSGVO und dieses Vertrags durch den Auftragsverarbeiter nach Maßgabe von Ziffer 11 zu überprüfen.

5. Weisungsgebundenheit des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Weisungen können in Textform (einschließlich E-Mail) oder über die im Rahmen der Leistung vorgesehenen Konfigurationsmöglichkeiten erteilt werden. Die im Rahmen der Nutzung vorgenommenen Einstellungen sowie die Überlassung von Daten gelten als dokumentierte Weisung.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder sonstiges Datenschutzrecht verstößt, informiert er den Auftraggeber unverzüglich.

6. Vertraulichkeitspflichten

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugang zu personenbezogenen Daten ist auf diejenigen Personen beschränkt, die ihn zur Erfüllung der vertraglichen Leistungen benötigen (Need-to-know-Prinzip). Die Vertraulichkeitspflicht gilt über die Beendigung des Vertragsverhältnisses hinaus.

7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft, bewertet und aktualisiert. Hierzu gehören insbesondere:

Vertraulichkeit - Verschlüsselung in der Übertragung: Datentransfers zwischen Client und Server erfolgen über TLS 1.2 oder höher (HTTPS); unverschlüsselte Verbindungen werden auf HTTPS umgeleitet. - Verschlüsselung im Ruhezustand: Datenbankvolumes und Backups werden mittels AES-256 verschlüsselt abgelegt. - Zugriffskontrolle: rollenbasierte Zugriffsrechte (RBAC) nach dem Prinzip der minimalen Rechtevergabe (Least Privilege); Multi-Faktor-Authentifizierung für administrative Zugänge. - Pseudonymisierung, soweit technisch möglich und sachlich sinnvoll. - Passwortsicherheit: Speicherung von Nutzerpasswörtern ausschließlich als gesalzener Hash (bcrypt); keine Klartextspeicherung.

Integrität - Protokollierung sicherheitsrelevanter Ereignisse (Audit-Logs: Login, Fehlversuche, Datenexporte, Statusänderungen) mit Aufbewahrung für mindestens 90 Tage. - serverseitige Eingabevalidierung.

Verfügbarkeit und Belastbarkeit - automatisierte, verschlüsselte Backups mit definierter Aufbewahrung und geografischer Redundanz. - Systemüberwachung mit automatisierten Alarmen. - dokumentierte Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.

Überprüfung und Evaluierung - regelmäßige interne Überprüfung der Sicherheitsmaßnahmen und Zugriffsrechte. - zeitnahes Einspielen sicherheitsrelevanter Updates. - Verfahren zur regelmäßigen Bewertung der Wirksamkeit der TOMs.

8. Unterauftragsverarbeiter

Genehmigte Unterauftragsverarbeiter. Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter ein, denen der Auftraggeber hiermit generell zustimmt. Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter vertraglich auf die Einhaltung der datenschutzrechtlichen Anforderungen dieser Vereinbarung.

Anbieter Geschäftssitz Verarbeitungsort Zweck Drittlandtransfer
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland Deutschland (EU) Hosting der Server und Datenbankbetrieb Nein
1&1 Internet SE (IONOS) Elgendorfer Str. 57, 56410 Montabaur, Deutschland Deutschland (EU) SMTP-Relay für transaktionale E-Mails Nein

(Weitere Unterauftragsverarbeiter werden hier ergänzt, sofern sie im Rahmen der konkreten Leistung eingesetzt werden. IONOS-Auftragsverarbeitungsvertrag: www.ionos.de/terms-gtc/auftragsverarbeitung/)

Änderungsverfahren. Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung neuer oder die Auswechslung bestehender Unterauftragsverarbeiter spätestens 4 Wochen vor dem geplanten Einsatz in Textform, sodass dem Auftraggeber die Möglichkeit zum Widerspruch verbleibt. Der Auftraggeber kann einer Änderung aus wichtigem, datenschutzrechtlich begründetem Grund innerhalb von 2 Wochen nach Zugang der Benachrichtigung in Textform widersprechen.

9. Unterstützung bei Betroffenenrechten und Meldepflichten

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung). Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung gegenüber den betroffenen Personen im Sinne von Art. 22 DSGVO trifft der Auftragsverarbeiter nicht; Analyse- und Scoring-Ergebnisse dienen ausschließlich der Entscheidungsunterstützung des Auftraggebers.

Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers bekannt, informiert er den Auftraggeber unverzüglich — spätestens innerhalb von 24 Stunden nach Kenntnisnahme — in Textform. Die Mitteilung enthält zumindest die Art der Verletzung, die betroffenen Datenkategorien und -mengen (soweit bekannt), die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

10. Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht. Kontobezogene Daten werden auf ausdrücklichen Wunsch des Auftraggebers oder spätestens innerhalb von 30 Tagen nach Vertragsende bzw. Kontoauflösung aus den aktiven Systemen gelöscht. Verschlüsselte Sicherungskopien werden spätestens 37 Tage nach Vertragsende vollständig gelöscht (7-tägiger Backup-Rotationszyklus zuzüglich 30-tägiger Aufbewahrung); während dieser Übergangszeit werden die enthaltenen Daten nicht aktiv verarbeitet und sind nicht über die Plattform zugänglich.

11. Nachweispflichten und Kontrollrechte

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Überprüfungen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Der Nachweis kann auch durch geeignete Zertifizierungen, Testate oder aktuelle Prüfberichte erbracht werden.

12. Haftung

Für die Haftung der Parteien gelten die Regelungen der DSGVO (insbesondere Art. 82 DSGVO) sowie die in der Hauptvereinbarung getroffenen Haftungsregelungen.

13. Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und der Hauptvereinbarung gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — soweit gesetzlich zulässig — München.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Bluefield IT Solutions GmbH · Gauss Allee 1 · 82008 Unterhaching

ImpressumDatenschutzAGB