Auftragsverarbeitungsvertrag (AVV / DPA)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO als Ergänzung zu den AGB. Inklusive technischer und organisatorischer Maßnahmen sowie Subunternehmer-Liste.

Geltungsbereich dieses AVV Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die AGB und regelt die Verarbeitung personenbezogener Daten durch PureTenant im Auftrag des Kunden gemäß Art. 28 DSGVO. Dieser AVV ist erforderlich für die im Bestellprozess erhobenen Daten (Name, E-Mail-Adresse des Lizenzinhabers etc.). Der eigentliche Audit-Lauf läuft lokal auf dem Audit-Host des Kunden — hier verarbeitet PureTenant keine Tenant-Daten und es liegt insoweit keine Auftragsverarbeitung vor.

§ 1Vertragsparteien und Vertragsgegenstand

(1) Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Kunde („Verantwortlicher", „Auftraggeber"). Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist:

PureTenant
Inhaber: Michael Bauer
Hauptstraße 12
90402 Nürnberg
nachfolgend „Auftragnehmer"

(2) Vertragsgegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der Software „PureTenant — Microsoft 365 License Insights".

§ 2Gegenstand, Art und Zweck der Verarbeitung

Gegenstand: Verarbeitung der für die Vertragsabwicklung erforderlichen personenbezogenen Daten zwischen Auftraggeber und Auftragnehmer.

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Aufbewahren, Auslesen, Übermitteln (an Subunternehmer Stripe und Mailgun), Löschen.

Zweck der Verarbeitung:

Erstellung und Verwaltung von Lizenzen
Versand der Lizenzdatei an den benannten Lizenzinhaber
Rechnungsstellung und steuerrechtliche Aufbewahrung
Abwicklung von Support-Anfragen
Zustellung notwendiger Mitteilungen (z. B. Erinnerung an Auto-Renewal)

§ 3Art der Daten und Kategorien betroffener Personen

Verarbeitete Datenkategorien:

Stammdaten des Auftraggebers: Firmenname, Anschrift, Land, USt-Identifikationsnummer
Identifikationsdaten des Lizenzinhabers: Vor- und Nachname, ggf. Funktion
Kommunikationsdaten: E-Mail-Adresse
Vertragsdaten: Tarifstufe, Bestelldatum, Bestellnummer, Microsoft-365-Tenant-ID
Zahlungsdaten (verarbeitet ausschließlich durch Stripe; PureTenant erhält nur Bestätigung des Zahlungseingangs ohne Karten-/Kontodaten)

Kategorien betroffener Personen:

Im Bestellprozess als „Lizenzinhaber" benannte Person
Mitarbeiter des Auftraggebers, die Support-Anfragen stellen
Vertretungsberechtigte des Auftraggebers

§ 4Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Beauftragung erfolgt durch den Abschluss des Lizenzvertrages und diesen AVV.

(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Die TOMs sind in Anlage 1 dieses Vertrages aufgeführt.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO sowie bei Anfragen betroffener Personen im Rahmen der technischen Möglichkeiten.

(5) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie auf Wunsch des Auftraggebers zurück, sofern nicht eine gesetzliche Aufbewahrungsverpflichtung besteht (insb. § 147 AO, § 257 HGB).

(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls eine Weisung gegen geltendes Datenschutzrecht verstößt (Art. 28 Abs. 3 lit. h DSGVO).

§ 5Pflichten des Auftraggebers

(1) Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.

(2) Der Auftraggeber teilt dem Auftragnehmer Anfragen betroffener Personen, die diesen direkt erreichen, unverzüglich mit, sofern eine Bearbeitung durch den Auftragnehmer erforderlich ist.

§ 6Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber stimmt dem Einsatz nachfolgender Subunternehmer zu (allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO):

Subunternehmer	Sitz	Zweck	Datenkategorien
Stripe Payments Europe Ltd.	Dublin, Irland (EU)	Zahlungsabwicklung	Bestellnummer, Betrag, E-Mail, Rechnungsanschrift
Sinch Email Ltd. (Mailgun EU)	Dublin, IE / Frankfurt, DE	Transaktions-E-Mails, Lizenzversand	E-Mail-Adresse, Inhalt der Nachricht
[Hosting-Anbieter]	DE (vermutlich Hetzner)	Hosting der Web-/DB-Server	Sämtliche oben genannten Daten

(2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig — mindestens 30 Tage im Voraus — über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter. Der Auftraggeber kann derartigen Änderungen aus wichtigem Grund widersprechen; in diesem Fall ist beiden Parteien das Recht zur außerordentlichen Kündigung vorbehalten.

(3) Der Auftragnehmer hat mit allen Subunternehmern AVV-Verträge mit gleichwertigen Schutzpflichten geschlossen.

§ 7Datenübermittlung in Drittländer

Sämtliche Datenverarbeitungen finden ausschließlich in Mitgliedstaaten der Europäischen Union statt. Eine Datenübermittlung in Drittländer im Sinne von Art. 44 ff. DSGVO findet nicht statt.

§ 8Mitteilung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, von jeder Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

(2) Die Meldung umfasst mindestens:

Beschreibung der Art der Verletzung (sofern möglich Anzahl der Betroffenen, Datensätze)
Beschreibung der wahrscheinlichen Folgen der Verletzung
Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen

§ 9Kontroll- und Auditrechte

(1) Der Auftraggeber ist berechtigt, sich von der Einhaltung der gesetzlichen und vertraglichen Pflichten zum Datenschutz beim Auftragnehmer durch Kontrollen zu überzeugen.

(2) Der Auftragnehmer stellt auf Anforderung folgende Nachweise zur Verfügung:

Aktuelle Fassung der TOMs (Anlage 1)
Aktuelle Liste der Subunternehmer (§ 6)
Bescheinigungen über durchgeführte Datenschutz-Audits (sofern vorhanden)

(3) Vor-Ort-Kontrollen sind unter Einhaltung einer Vorankündigungsfrist von mindestens 30 Tagen während der üblichen Geschäftszeiten möglich. Sie sind für den Auftraggeber kostenfrei, sofern sie nicht die zumutbare Häufigkeit von einer Kontrolle pro Kalenderjahr übersteigen.

§ 10Vertragsdauer und Kündigung

(1) Dieser AVV ist an die Laufzeit des Hauptvertrags (Lizenzvertrag) gekoppelt und endet automatisch mit dessen Beendigung.

(2) Eine Kündigung dieses AVV bei fortbestehendem Hauptvertrag ist nur aus wichtigem Grund möglich. Ein wichtiger Grund liegt insbesondere bei schweren Verstößen gegen die Pflichten aus § 4 vor.

§ 11Schlussbestimmungen

(1) Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien — insbesondere den AGB — gehen die Regelungen dieses AVV vor.

(2) Es gilt deutsches Recht. Gerichtsstand ist Nürnberg.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen unberührt.

Anlage 1Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO setzt der Auftragnehmer die folgenden technischen und organisatorischen Maßnahmen ein:

1.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Server-Hosting beim Auftragnehmer findet ausschließlich in Rechenzentren mit zertifizierten Sicherheitsmaßnahmen (ISO 27001) statt. Physischer Zutritt nur durch authentifiziertes Personal des Hosting-Anbieters.
Zugangskontrolle: Authentifizierung an Server ausschließlich per SSH-Key; keine Passwort-basierte Anmeldung. Multi-Faktor-Authentifizierung für administrative Zugänge.
Zugriffskontrolle: Rollen- und rechtebasierte Zugriffsverwaltung. Datenbankzugriffe werden protokolliert.
Trennungskontrolle: Trennung von Web-Tier und Datenbank-Tier in eigene Netzwerk-Zonen. Datenbank ist nicht öffentlich erreichbar.
Pseudonymisierung: Anonymisierung von IP-Adressen in Server-Logs (letztes Oktett auf 0).

1.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: TLS 1.2/1.3 für sämtliche Datenübertragungen. HSTS mit Preload-Liste.
Eingabekontrolle: Audit-Logs aller Bestell-, Änderungs- und Löschvorgänge in der Datenbank.

1.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Verfügbarkeitskontrolle: Tägliche Datenbank-Backups, 30 Tage Retention. Snapshots gegen versehentliche Löschung.
Wiederherstellbarkeit: Dokumentierte Restore-Prozedur. Wiederherstellungs-Tests mindestens halbjährlich.
Schutz vor Schadsoftware: Regelmäßige Patches der Server-Komponenten; automatisierte Updates für Sicherheits-relevante Pakete.

1.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Jährliche Überprüfung dieser TOMs durch den Inhaber.
Incident-Response: Dokumentierter Prozess für Datenschutzvorfälle, einschließlich Meldepflichten gemäß Art. 33/34 DSGVO.
Auftragskontrolle: AVV mit allen Subunternehmern (siehe § 6 Hauptvertrag).

Hinweis zur Vorlage Dieser AVV ist ein Gerüst nach Art. 28 DSGVO. Der konkrete Hosting-Anbieter ist in § 6 und in der TOM-Liste zu ergänzen. Auch die TOMs (Anlage 1) sind anhand der tatsächlichen technischen Realität nochmal zu überprüfen — z. B. Backup-Frequenz, Wiederherstellungs-Tests, Incident-Response-Prozess. Empfohlen: anwaltliche Endprüfung sowie ggf. Abstimmung mit dem internen oder externen Datenschutzbeauftragten des Auftraggebers.