— Rechtliches
AVV
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Stand: Juni 2026
Wann du diesen Vertrag brauchst: Immer dann, wenn mkconcept in deinem Auftrag personenbezogene Daten verarbeitet — etwa bei WordPress-Wartung, Hosting, Zugriff auf Formular- und Kontaktdaten, Tracking-Einrichtung oder technischer Betreuung mit Systemzugriff. Die AGB ersetzen den AVV nicht.
Bei laufenden Wartungs-, Hosting- oder Betreuungsverträgen schließen wir den AVV vor Beginn der Verarbeitung gesondert in Textform ab. Diese Seite zeigt die verbindliche Vorlage.
Diese AVV-Vorlage sollte vor dem produktiven Einsatz von einem Rechtsanwalt geprüft werden. Sie ersetzt keine individuelle Rechtsberatung.
§ 1 Gegenstand und Dauer
(1) Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien für diejenigen Leistungen, bei denen mkconcept – Martin Klosowski, Anschrift gemäß Impressum (nachfolgend „Auftragnehmer"), im Auftrag des Auftraggebers personenbezogene Daten gemäß Art. 28 DSGVO verarbeitet.
(2) Der AVV gilt für alle Leistungen, in deren Rahmen der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers erhält oder solche in seinem Auftrag verarbeitet. Dazu zählen insbesondere Hosting und technische Betreuung, WordPress-Wartung und -Pflege, Zugriff auf Kontakt- und Formulardaten, Tracking- und Analyse-Einrichtung sowie Support- und Fehlerbehebungsleistungen mit Systemzugriff.
(3) Der AVV gilt für die Dauer des jeweils zugrunde liegenden Hauptvertrags (z. B. Wartungs-, Hosting- oder Betreuungsvertrag) und endet automatisch mit dessen Beendigung, soweit nicht gesetzliche Aufbewahrungspflichten eine längere Speicherung erfordern.
(4) Verantwortlicher im Sinne der DSGVO bleibt der Auftraggeber. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers, soweit er nicht gesetzlich zu einer abweichenden Verarbeitung verpflichtet ist.
§ 2 Art, Umfang und Zweck der Verarbeitung
(1) Gegenstand der Verarbeitung ist die technische Bereitstellung, Pflege, Wartung und Betreuung der vom Auftraggeber beauftragten Websites, Systeme und digitalen Anwendungen sowie damit verbundene Support-, Analyse- und Optimierungsleistungen.
(2) Art der verarbeiteten Daten: Bestands- und Kontaktdaten (z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummer aus Formularen), Nutzungs- und Verbindungsdaten (z. B. IP-Adressen, Server-Logfiles, Zeitstempel), Inhaltsdaten (z. B. in das System eingegebene Texte, Uploads, Kommentare) sowie ggf. weitere Daten, die im Rahmen der beauftragten Leistung über die betreuten Systeme verarbeitet werden.
(3) Kategorien betroffener Personen: Websitebesucher, Interessenten, Kunden und Geschäftspartner des Auftraggebers, Nutzer der betreuten Anwendungen sowie ggf. Beschäftigte des Auftraggebers, soweit deren Daten über die betreuten Systeme verarbeitet werden.
(4) Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers. Eine Verarbeitung der Daten zu anderen Zwecken oder in einem über den Auftrag hinausgehenden Umfang ist nicht zulässig.
(2) Der Auftragnehmer verpflichtet die zur Verarbeitung eingesetzten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer setzt die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen um (siehe § 5) und unterstützt den Auftraggeber bei der Einhaltung seiner datenschutzrechtlichen Pflichten im erforderlichen und zumutbaren Umfang.
(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung einer solchen Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
(5) Verarbeitungen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums finden nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln).
§ 4 Weisungsrecht des Auftraggebers
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der Weisungen des Auftraggebers. Die Reichweite der Weisungen ergibt sich aus diesem Vertrag, dem jeweiligen Hauptvertrag und der konkreten Leistungsbeschreibung.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in Textform. Weisungen, die über die vereinbarte Leistung hinausgehen, können beim Auftragnehmer zu zusätzlichem Aufwand führen, der gesondert vergütet werden kann.
(3) Weisungsberechtigte Personen des Auftraggebers und Ansprechpartner des Auftragnehmers werden bei Vertragsschluss benannt oder ergeben sich aus der laufenden Kommunikation der Parteien.
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Maßgeblich ist der Stand zum Zeitpunkt der Leistungserbringung; die Maßnahmen können im Verlauf an den Stand der Technik angepasst werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
(2) Vertraulichkeit: Zugriff auf Systeme und Daten ausschließlich für befugte Personen, individuelle Zugangsdaten, gesicherte Passwörter, verschlüsselte Verbindungen (TLS/SSL) und Zugriff nach dem Prinzip der minimalen Rechtevergabe.
(3) Integrität: nachvollziehbare Änderungen an betreuten Systemen, Schutz vor unbefugter Veränderung, Einsatz aktueller Software und zeitnahe Sicherheitsupdates im Rahmen der beauftragten Wartung.
(4) Verfügbarkeit und Belastbarkeit: regelmäßige Datensicherungen im vereinbarten Umfang, Schutzmaßnahmen gegen Datenverlust sowie Verfahren zur Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall.
(5) Verfahren zur regelmäßigen Überprüfung: Kontrolle und Bewertung der Wirksamkeit der getroffenen Maßnahmen sowie deren Anpassung bei geänderten Anforderungen. Soweit der Auftragnehmer Hosting- oder Infrastrukturanbieter einsetzt, gelten ergänzend deren dokumentierte technische und organisatorische Maßnahmen.
§ 6 Unterauftragsverhältnisse
(1) Der Auftraggeber stimmt dem Einsatz von Unterauftragsverarbeitern grundsätzlich zu. Der Einsatz erfolgt insbesondere für Hosting- und Infrastrukturleistungen, technische Dienste des betreuten Systems sowie ggf. ein eingespieltes Partner-/Entwicklungsteam zur Leistungserbringung.
(2) Der Auftragnehmer wählt Unterauftragsverarbeiter sorgfältig aus und stellt durch vertragliche Vereinbarungen sicher, dass diese den Anforderungen der DSGVO entsprechende Datenschutzpflichten einhalten, insbesondere nach Art. 28 DSGVO.
(3) Eine aktuelle Übersicht der eingesetzten Unterauftragsverarbeiter stellt der Auftragnehmer dem Auftraggeber auf Anfrage zur Verfügung. Über beabsichtigte Änderungen (Hinzuziehung oder Austausch) informiert der Auftragnehmer den Auftraggeber rechtzeitig in Textform; der Auftraggeber kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb angemessener Frist widersprechen.
(4) Eine Auftragsverarbeitung im Drittland erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO.
§ 7 Unterstützung des Auftraggebers
(1) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sowie bei der Beantwortung entsprechender Anfragen.
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter und beantwortet sie nicht eigenständig, sofern er hierzu nicht vom Auftraggeber angewiesen wurde.
(3) Der Auftragnehmer unterstützt den Auftraggeber zudem bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), soweit dies erforderlich ist und unter Berücksichtigung der dem Auftragnehmer vorliegenden Informationen.
(4) Unterstützungsleistungen, die über den vereinbarten Leistungsumfang hinausgehen, können gesondert nach Aufwand vergütet werden.
§ 8 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten im Verantwortungsbereich der Auftragsverarbeitung bekannt geworden ist.
(2) Die Meldung enthält, soweit möglich, eine Beschreibung der Art der Verletzung, die voraussichtlich betroffenen Kategorien und die ungefähre Zahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Risikominderung.
(3) Die Pflicht zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung betroffener Personen (Art. 34 DSGVO) verbleibt beim Auftraggeber als Verantwortlichem. Der Auftragnehmer unterstützt ihn dabei im erforderlichen Umfang.
§ 9 Kontroll- und Nachweisrechte
(1) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten zur Verfügung, insbesondere zu den getroffenen technischen und organisatorischen Maßnahmen.
(2) Der Auftraggeber ist berechtigt, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Der Nachweis kann durch geeignete Dokumentation, Selbstauskünfte, Testate oder Zertifizierungen erfolgen. Vor-Ort-Kontrollen sind rechtzeitig anzukündigen, auf das erforderliche Maß zu beschränken und so durchzuführen, dass der Geschäftsbetrieb des Auftragnehmers möglichst wenig beeinträchtigt wird.
(3) Der Auftragnehmer kann für einen über das übliche Maß hinausgehenden Aufwand bei Kontrollen und Nachweisen eine angemessene Vergütung verlangen.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung der beauftragten Leistung löscht oder übergibt der Auftragnehmer nach Wahl des Auftraggebers sämtliche im Auftrag verarbeiteten personenbezogenen Daten, soweit keine gesetzliche Pflicht zur weiteren Speicherung besteht.
(2) Datensicherungen werden im Rahmen der üblichen Aufbewahrungs- und Rotationszyklen gelöscht. Soweit gesetzliche Aufbewahrungspflichten bestehen, werden die betroffenen Daten gesperrt bzw. in der Verarbeitung eingeschränkt und nach Ablauf der Frist gelöscht.
(3) Der Auftragnehmer bestätigt dem Auftraggeber auf Wunsch die Löschung in Textform.
§ 11 Haftung und Schlussbestimmungen
(1) Für die Haftung gelten die Regelungen des Hauptvertrags bzw. der Allgemeinen Geschäftsbedingungen ergänzend, soweit dieser AVV keine abweichenden Regelungen trifft. Die Haftungsregelungen der DSGVO (Art. 82) bleiben unberührt.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung treten die gesetzlichen Vorschriften.
(3) Bei Widersprüchen zwischen diesem AVV und den Regelungen des Hauptvertrags oder der AGB gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
AVV als unterschriftsreife Vorlage anfordern
Du startest eine Wartung, ein Hosting oder eine laufende Betreuung? Ich schicke dir die ausgefüllte AVV passend zu deinem Vertrag — beidseitig unterschriftsreif, inklusive der konkreten Liste eingesetzter Unterauftragsverarbeiter.