Kostenloser Auftragsverarbeitungsvertrag (AVV) Vorlage

GEGENSTAND, ART, ZWECK UND DAUER DER VERARBEITUNG

Die nachfolgenden Angaben konkretisieren die in Art. 28 Abs. 3 Satz 1 DSGVO geforderten Angaben:

Gegenstand der Verarbeitung: Betrieb einer Newsletter- und E-Mail-Marketing-Plattform (SaaS). Der Auftragsverarbeiter stellt dem Verantwortlichen eine Software zur Verwaltung und zum Versand von E-Mail-Newslettern an dessen Kunden zur Verfuegung.
Zweck der Verarbeitung: Versand von Newslettern, Transaktions-E-Mails und Werbekommunikation an Kunden und Interessenten des Verantwortlichen; Tracking-Auswertung (Oeffnungs- und Klickraten); Abonnement-/Abmeldeverwaltung.
Art der Verarbeitung: Erhebung, Erfassung, Organisation, Speicherung, Abfrage, Offenlegung durch Uebermittlung, Loeschung und Vernichtung im Rahmen der vom Verantwortlichen beauftragten Dienstleistung.
Dauer der Verarbeitung: Fuer die Laufzeit des Hauptvertrags (SaaS-Lizenzvereinbarung vom 10.01.2025), zunaechst bis 31.12.2026, mit automatischer Verlaengerung um jeweils 12 Monate bei ausbleibender Kuendigung

ART DER DATEN UND KATEGORIEN BETROFFENER PERSONEN

Art der personenbezogenen Daten: Stammdaten (Name, Adresse, Kontaktdaten); Nutzungsdaten (IP-Adressen, Logdaten, Zugriffszeiten); E-Mail-Adressen, Anrede, Vorname/Nachname, Anmeldedatum, Einwilligungsnachweise (Double-Opt-In-Logs), Segmentierungsmerkmale, Klick- und Oeffnungsdaten

Kategorien betroffener Personen: Newsletter-Abonnenten, Kunden und Interessenten des Verantwortlichen

WEISUNGSBINDUNG DES AUFTRAGSVERARBEITERS

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Uebermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.

Muendliche Weisungen werden vom Auftragsverarbeiter schriftlich oder in Textform bestaetigt. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige Datenschutzvorschriften verstoesst, informiert er den Verantwortlichen hierueber unverzueglich (Art. 28 Abs. 3 UA 2 DSGVO).

VERTRAULICHKEIT DER MITARBEITER

Der Auftragsverarbeiter gewaehrleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO i.V.m. Art. 29 DSGVO).

Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung der Daten beschaeftigten Personen ausschliesslich nach Weisung des Verantwortlichen Daten verarbeiten duerfen (Art. 29 DSGVO). Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort. Ein Nachweis der Verpflichtungserklaerungen kann vom Verantwortlichen jederzeit eingefordert werden.

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMS)

Der Auftragsverarbeiter trifft alle gemaess Art. 32 DSGVO erforderlichen technischen und organisatorischen Massnahmen zur Gewaehrleistung eines dem Risiko angemessenen Schutzniveaus. Die Massnahmen umfassen insbesondere:

a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO): Zutritts-, Zugangs-, Zugriffs- und Trennungskontrolle.
b) Integritaet: Weitergabekontrolle, Eingabekontrolle.
c) Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO): Verfuegbarkeitskontrolle, rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO).
d) Verfahren zur regelmaessigen Ueberpruefung (Art. 32 Abs. 1 lit. d DSGVO): Datenschutz-Management, Incident-Response-Management, datenschutzfreundliche Voreinstellungen („Privacy by Design“ / „Privacy by Default“, Art. 25 DSGVO), Auftragskontrolle.
e) Pseudonymisierung und Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO), soweit angemessen.

Konkrete TOMs des Auftragsverarbeiters: Verschluesselung der Daten im Ruhezustand (AES-256) und bei Uebertragung (TLS 1.3); Multi-Faktor-Authentifizierung fuer alle administrativen Zugaenge; Role-Based-Access-Control (RBAC); taegliche Backups mit 30-Tage-Retention; ISO 27001-zertifiziertes Rechenzentrum; jaehrliche Penetrationstests; automatische Anomalieerkennung; dokumentierte Incident-Response-Prozesse

Eine detaillierte Beschreibung der TOMs wird als Anlage 1 beigefuegt und ist verbindlicher Vertragsbestandteil. Die TOMs unterliegen der Weiterentwicklung; der Auftragsverarbeiter darf alternative Massnahmen ergreifen, sofern das Sicherheitsniveau nicht unterschritten wird, und unterrichtet den Verantwortlichen ueber wesentliche Aenderungen.

UNTERAUFTRAGSVERARBEITER

Der Auftragsverarbeiter ist allgemein ermaechtigt, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Er informiert den Verantwortlichen jedoch ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wodurch der Verantwortliche die Moeglichkeit erhaelt, gegen derartige Aenderungen Einspruch zu erheben (Art. 28 Abs. 2 S. 2 DSGVO). Der Einspruch ist binnen 14 Tagen ab Mitteilung schriftlich zu erklaeren.

Aktuell eingesetzte Unterauftragsverarbeiter:
Amazon Web Services EMEA SARL (Frankfurt/DE — Hosting); Hetzner Online GmbH (Nuernberg/DE — Backup-Storage); Postmark (ActiveCampaign LLC) — E-Mail-Zustelldienst mit SCC

Vertragliche Kaskade (Art. 28 Abs. 4 DSGVO): Zieht der Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, werden diesem dieselben Datenschutzpflichten auferlegt, die in diesem AVV festgelegt sind — insbesondere in Bezug auf die Gewaehrleistung hinreichender technisch-organisatorischer Massnahmen. Der Auftragsverarbeiter haftet gegenueber dem Verantwortlichen fuer die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO).

UNTERSTUETZUNG BEI DEN BETROFFENENRECHTEN

Der Auftragsverarbeiter unterstuetzt den Verantwortlichen angesichts der Art der Verarbeitung nach Moeglichkeit mit geeigneten technisch-organisatorischen Massnahmen dabei, seiner Pflicht zur Beantwortung von Antraegen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen (Art. 28 Abs. 3 lit. e DSGVO).

Dies betrifft insbesondere folgende Betroffenenrechte:
• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Loeschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenuebertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht im Hinblick auf automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Richten sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser solche Anfragen unverzueglich (spaetestens innerhalb von 48 Stunden) an den Verantwortlichen weiter und beantwortet sie nicht selbst.

MELDUNG VON DATENSCHUTZVERLETZUNGEN UND DSFA-UNTERSTUETZUNG

Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten unter Beruecksichtigung der Art der Verarbeitung und der ihm zur Verfuegung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO). Dies umfasst insbesondere:

a) Meldung einer Datenschutzverletzung (Art. 33 DSGVO): Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzueglich, spaetestens innerhalb von 24 Stunden nach Kenntnisnahme (strenger als die 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO, um dem Verantwortlichen eine fristgerechte Aufsichtsbehoerde-Meldung zu ermoeglichen). Die Meldung enthaelt mindestens: (i) Beschreibung der Art der Verletzung, (ii) Kategorien und ungefaehre Zahl betroffener Personen und Datensaetze, (iii) Name und Kontaktdaten des DSB, (iv) wahrscheinliche Folgen, (v) ergriffene oder vorgeschlagene Abhilfemassnahmen.

b) Benachrichtigung betroffener Personen (Art. 34 DSGVO): Sofern erforderlich, unterstuetzt der Auftragsverarbeiter bei der Benachrichtigung.

c) Datenschutz-Folgenabschaetzung (DSFA, Art. 35 DSGVO): Unterstuetzung bei der Erstellung der DSFA, sofern die Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.

d) Vorherige Konsultation der Aufsichtsbehoerde (Art. 36 DSGVO): Bereitstellung der erforderlichen Informationen.

RUECKGABE UND LOESCHUNG NACH ENDE DER VERARBEITUNG

Nach Abschluss der Erbringung der Verarbeitungsleistungen loescht der Auftragsverarbeiter saemtliche personenbezogene Daten oder gibt sie nach Wahl des Verantwortlichen zurueck und loescht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

Die Loeschung erfolgt unter Beachtung der anerkannten Standards (z.B. DIN 66398, NIST SP 800-88) und wird dem Verantwortlichen schriftlich bestaetigt. Die Bestaetigung beinhaltet Datum, Art und Umfang der geloeschten Daten sowie das eingesetzte Loeschverfahren.

NACHWEIS- UND KONTROLLPFLICHTEN

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen — einschliesslich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Pruefer durchgefuehrt werden (Art. 28 Abs. 3 lit. h DSGVO).

Vor-Ort-Audits koennen nach vorheriger Ankuendigung mit einer Frist von mindestens 14 Tagen waehrend ueblicher Geschaeftszeiten und ohne Stoerung des Betriebsablaufs durchgefuehrt werden. Die Audits beschraenken sich auf die fuer die Ueberpruefung der Einhaltung der DSGVO-Pflichten erforderlichen Bereiche.

Zertifizierung: Der Auftragsverarbeiter verfuegt ueber folgende Zertifizierungen und Audits: ISO/IEC 27001:2022; BSI C5 Testat 2024; TUEV Rheinland DSGVO-konform. Entsprechende Zertifikate und Auditberichte koennen als Nachweis anerkannt werden und reduzieren den Umfang der Vor-Ort-Pruefung.

Kosten: Reguliere Audits traegt der Verantwortliche; Audits aufgrund eines konkreten Verdachts auf Pflichtverletzung und entsprechendem Feststellung traegt der Auftragsverarbeiter.

UEBERMITTLUNG IN DRITTLAENDER

Eine Uebermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation findet nicht statt. Saemtliche Daten werden ausschliesslich innerhalb der EU bzw. des EWR verarbeitet. Eine Aenderung dieses Grundsatzes bedarf der ausdruecklichen schriftlichen Zustimmung des Verantwortlichen.

DATENSCHUTZBEAUFTRAGTE (ART. 37 DSGVO)

Datenschutzbeauftragter des Verantwortlichen: RA Dr. Jens Weber, dsb@hamburg-fashion.de
Datenschutzbeauftragter des Auftragsverarbeiters: Maren Schneider, privacy@newsletterpro.de

Die Parteien haben soweit gesetzlich erforderlich (Art. 37 DSGVO, § 38 BDSG) einen Datenschutzbeauftragten benannt. Die Kontaktdaten sind den Aufsichtsbehoerden gemeldet und den betroffenen Personen zugaenglich.

HAFTUNG UND SCHADENSERSATZ

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den allgemeinen gesetzlichen Vorschriften.

Art. 82 DSGVO: Jede Person, der wegen eines Verstosses gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter (gesamtschuldnerisch, Art. 82 Abs. 4 DSGVO). Im Innenverhaeltnis haftet die Partei entsprechend dem Anteil ihrer Verantwortung fuer den Schaden (Art. 82 Abs. 5 DSGVO).

Ausgleich im Innenverhaeltnis: Hat eine Partei den vollen Schadensersatz an die betroffene Person gezahlt, kann sie von der anderen Partei den Anteil am Schadensersatz zurueckfordern, der ihrem Anteil an der Verantwortung entspricht (Art. 82 Abs. 5 DSGVO).

Freistellung: Der Auftragsverarbeiter stellt den Verantwortlichen von allen Anspruechen Dritter, Bussgeldern und Aufwendungen frei, die auf eine vom Auftragsverarbeiter zu vertretende Verletzung dieses AVV oder der DSGVO zurueckzufuehren sind.

Bussgelder (Art. 83 DSGVO): Bei Verstoessen gegen Art. 28 DSGVO und den AVV drohen Bussgelder bis zu 10 Millionen EUR oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschaeftsjahrs (je nachdem, welcher Betrag hoeher ist; Art. 83 Abs. 4 DSGVO). Bei Verstoessen gegen andere DSGVO-Grundsaetze (Art. 5, 6, 7, 9, 12-22) drohen Bussgelder bis zu 20 Millionen EUR oder 4% des Jahresumsatzes (Art. 83 Abs. 5 DSGVO).

LAUFZEIT UND KUENDIGUNG

Dieser AVV gilt fuer die gesamte Laufzeit des zugrundeliegenden Hauptvertrags („Leistungsvertrag“) und endet mit dessen Beendigung, unabhaengig vom Grund.

Ausserordentliche Kuendigung: Der Verantwortliche kann diesen AVV jederzeit aus wichtigem Grund ohne Einhaltung einer Frist kuendigen, insbesondere wenn der Auftragsverarbeiter gegen wesentliche Pflichten aus diesem AVV oder der DSGVO verstoesst oder nicht in der Lage oder nicht willens ist, eine Weisung des Verantwortlichen umzusetzen. Die Kuendigung bedarf der schriftlichen Form.

Nach Beendigung dieses AVV gelten die Pflichten aus § 9 (Rueckgabe / Loeschung) und § 4 (Vertraulichkeit) fort.

ANWENDBARES RECHT UND GERICHTSSTAND

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Kollisionsnormen des Internationalen Privatrechts. Die Bestimmungen der DSGVO sowie erganzend des BDSG bleiben unberuehrt. Gerichtsstand ist der Sitz des Verantwortlichen, soweit eine solche Gerichtsstandsvereinbarung nach § 38 ZPO zulaessig ist.

SCHLUSSBESTIMMUNGEN

Vorrang des AVV: Im Falle von Widerspruechen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien (insb. dem Leistungsvertrag) hat dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten Vorrang. Anlagen: Bestandteil dieses AVV sind: (Anlage 1) Technisch-organisatorische Massnahmen, (Anlage 2) Liste der Unterauftragsverarbeiter, (Anlage 3 — optional) Standardvertragsklauseln bei Drittlandtransfer. Schriftform: Aenderungen und Ergaenzungen dieses AVV beduerfen der Schriftform (Art. 28 Abs. 9 DSGVO); die elektronische Form ist ausdruecklich zugelassen. Salvatorische Klausel: Sollte eine Bestimmung dieses AVV ganz oder teilweise unwirksam sein oder werden, so bleibt die Wirksamkeit der uebrigen Bestimmungen hiervon unberuehrt. Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am naechsten kommt. Ausfertigung: Dieser AVV wird in zweifacher Ausfertigung erstellt; jede Partei erhaelt eine unterzeichnete Ausfertigung. Die elektronische Form (inkl. qualifizierte elektronische Signatur) ist zugelassen.