Vertrag zur Auftragsverarbeitung (AVV)
| Auftragnehmer | NK IT Service – Nikolaj Kinas, Rauentaler Str. 22/1, 76437 Rastatt, Deutschland – Einzelunternehmen |
| support@nk-it.de | |
| Tätigkeitsbereich | Webhosting, Webentwicklung, IT-Wartung, Fernwartung, Monitoring, Lizenzverwaltung, IT-Service |
| Auftraggeber | Gemäß zugrunde liegendem Hauptvertrag bzw. Kundenportal |
| Vertragsversion | 4.0 |
| Gültig ab | Datum der digitalen Bestätigung im NK-IT-Kundenportal |
§ 1 – Gegenstand, Begriffe und Rangfolge
1.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers gemäß Art. 28 DSGVO, soweit dies für die vertraglich geschuldeten Leistungen erforderlich ist.
1.2 Im Sinne dieses Vertrages ist der Auftraggeber Verantwortlicher (Art. 4 Nr. 7 DSGVO) und der Auftragnehmer Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).
1.3 Dieser AVV ist Bestandteil des jeweiligen Hauptvertrages. Bei Widersprüchen gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Haftungsbegrenzungen und Service-Level des Hauptvertrages gelten ergänzend, soweit zwingendes Datenschutzrecht nicht entgegensteht.
1.4 Verarbeitet der Auftragnehmer Daten im Rahmen eigener gesetzlicher Pflichten – etwa für Abrechnung, Vertragsmanagement, Nachweis des Vertragsschlusses, Steuerpflichten oder Rechtsverfolgung – handelt er insoweit als eigener Verantwortlicher. Diese Eigenverarbeitungen sind nicht Gegenstand dieses AVV.
1.5 Die Anlagen 1 bis 5 sind wesentlicher Bestandteil dieses Vertrages. Aktualisierungen können in Textform mitgeteilt werden, sofern das Schutzniveau nicht wesentlich abgesenkt wird.
§ 2 – Art, Zweck und Dauer der Verarbeitung
2.1 Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Zusammenhang mit folgenden beauftragten IT-Dienstleistungen: Webhosting und Serverbetrieb, Webentwicklung und Websiteerstellung, IT-Wartung und technischer Support, Fernwartung und Remote-Support, Monitoring und Alarmierung, Lizenzverwaltung und Sicherheitssoftware, Allgemeine IT-Services.
2.2 Die Verarbeitung dient ausschließlich dem Zweck der Erfüllung des Hauptvertrages und des sicheren IT-Betriebs. Eine Verarbeitung zu eigenen Marketing-, Profiling- oder sonstigen sachfremden Zwecken findet nicht statt.
2.3 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages zuzüglich der in § 12 geregelten Aufbewahrungs- und Löschfristen.
§ 3 – Kategorien personenbezogener Daten und betroffener Personen
3.1 Die verarbeiteten Datenkategorien und betroffenen Personen sind in Anlage 2 im Detail aufgeführt.
3.2 Besondere Kategorien nach Art. 9 DSGVO sowie strafrechtliche und berufsgeheimnisgeschützte Daten sind nicht Gegenstand der Standardleistung. Der Auftraggeber ist verpflichtet, den Auftragnehmer vor Leistungsbeginn auf solche Daten hinzuweisen.
3.3 Soweit möglich sollen in Test- und Entwicklungsumgebungen anonymisierte oder pseudonymisierte Daten verwendet werden.
§ 4 – Pflichten und Verantwortungsbereich des Auftraggebers
4.1 Der Auftraggeber bleibt allein verantwortlich für die Rechtmäßigkeit der Verarbeitung, die Wahl der Rechtsgrundlagen, die Erfüllung von Informationspflichten sowie die datenschutzkonforme Nutzung der beauftragten Leistungen.
4.2 Der Auftraggeber benennt weisungsberechtigte Ansprechpartner und hält diese aktuell. Er informiert den Auftragnehmer unverzüglich bei Sicherheitsvorfällen oder kompromittierten Zugangsdaten.
4.3 Der Auftraggeber darf keine Weisungen erteilen, die gegen geltendes Recht verstoßen oder die Sicherheit der Systeme gefährden. Bei offenkundig rechtswidrigen Weisungen darf der Auftragnehmer die Ausführung verweigern.
4.4 Soweit der Auftraggeber bestimmte Cloud- oder Softwaredienste vorgibt, ist er auch für deren datenschutzrechtliche Zulässigkeit verantwortlich.
4.5 Der Auftraggeber ist verpflichtet, Daten vor risikobehafteten Änderungen oder Migrationen angemessen zu sichern, sofern eine Datensicherung nicht ausdrücklich zum Leistungsumfang gehört.
§ 5 – Allgemeine Pflichten des Auftragnehmers
5.1 Weisungsgebundenheit: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Als dokumentierte Weisung gelten dieser Vertrag, der Hauptvertrag, Leistungsbeschreibungen, Supporttickets, E-Mails und Freigaben im Kundenportal.
5.2 Vertraulichkeit: Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Der Zugriff erfolgt nach dem Need-to-know-Prinzip.
5.3 Keine Eigennutzung: Eine Nutzung der anvertrauten Daten für eigene Zwecke – insbesondere Werbung, Profiling oder Weitergabe an nicht genehmigte Dritte – ist ausdrücklich untersagt.
5.4 Sofortmaßnahmen: Der Auftragnehmer ist berechtigt, zur Wahrung der Sicherheit erforderliche Sofortmaßnahmen zu treffen, auch ohne vorherige Weisung. Der Auftraggeber wird unverzüglich informiert.
5.5 Unterstützungsleistungen: Der Auftragnehmer unterstützt den Auftraggeber bei Betroffenenrechten (Art. 15–22 DSGVO), Meldepflichten und Datenschutz-Folgenabschätzungen im Standardbetrieb. Umfangreiche Sonderleistungen erfolgen gegen gesonderte Vergütung.
§ 6 – Technische und organisatorische Maßnahmen (TOMs)
6.1 Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die zum Vertragsschluss maßgeblichen Maßnahmen sind in Anlage 3 beschrieben.
6.2 Soweit der Auftraggeber eigene Systeme, Endgeräte oder Konten verwaltet, bleibt er für die dortige sichere Grundeinstellung verantwortlich.
§ 7 – Unterauftragnehmer
7.1 Der Auftraggeber erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 4 genannten Unterauftragnehmer. Der Auftragnehmer stellt sicher, dass mit diesen Vereinbarungen bestehen, die den Anforderungen dieses AVV entsprechen.
7.2 Änderungen werden mindestens 14 Kalendertage vor Wirksamwerden in Textform mitgeteilt. Widerspruch ist innerhalb von 14 Tagen aus konkret dargelegtem datenschutzrechtlichem Grund möglich.
7.3 Für Drittlandübermittlungen (u.a. US-basierte Dienste) stützt sich der Auftragnehmer auf aktuelle Standardvertragsklauseln (SCC) und/oder das EU-US Data Privacy Framework.
§ 8 – Weisungen, Ansprechpartner und Änderungsmanagement
8.1 Weisungen bedürfen der Textform (E-Mail, Kundenportal, Ticketsystem). Mündliche Weisungen müssen unverzüglich schriftlich bestätigt werden.
8.2 Standardisierte Betriebsprozesse, Sicherheitsupdates, Monitoring und Backup-Routinen gelten als vorab dokumentierte Weisungen des Auftraggebers.
8.3 Weisungen, die zu Mehraufwand oder Sonderleistungen führen, werden gesondert vergütet.
§ 9 – Unterstützung bei Betroffenenrechten und Compliance
9.1 Betroffenenanfragen, die beim Auftragnehmer eingehen und den Verantwortungsbereich des Auftraggebers betreffen, werden unverzüglich weitergeleitet. Eine direkte Beantwortung erfolgt nur auf ausdrückliche Weisung.
9.2 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen von Art. 28 Abs. 3 lit. e–h DSGVO (Betroffenenrechte Art. 15–22, DSFA, Aufsichtsbehördenkonsultation) soweit seine Systeme betroffen sind.
9.3 Unterstützungsleistungen erfolgen während der regulären Geschäftszeiten. Umfangreiche Sonderleistungen werden gesondert vergütet.
§ 10 – Meldung von Datenschutzverletzungen
10.1 Bei Bekanntwerden einer Datenschutzverletzung meldet der Auftragnehmer diese dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach interner Erstqualifizierung. Unvollständige Informationen dürfen nachgereicht werden.
10.2 Die Meldung enthält soweit verfügbar: Art des Vorfalls, betroffene Systeme/Dienste, betroffene Datenkategorien, eingeschätzte Auswirkungen sowie ergriffene Maßnahmen.
10.3 Der Auftragnehmer ist berechtigt, erforderliche Sofortmaßnahmen zur Eindämmung auch ohne vorherige Einzelweisung zu ergreifen.
10.4 Die Bewertung der Meldepflicht gegenüber Aufsichtsbehörden (72-Stunden-Frist, Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO) bleibt Sache des Auftraggebers als Verantwortlichem.
§ 11 – Kontrollrechte, Nachweise und Audits
11.1 Nachweis erfolgt vorrangig durch geeignete Unterlagen: diesen AVV, TOM-Beschreibungen, Selbstauskunft oder Zertifizierungsnachweise (bevorzugte und kostenfreie Methode).
11.2 Vor-Ort-Kontrollen sind zulässig, wenn Unterlagen nicht ausreichen oder ein konkreter Anhaltspunkt für schwerwiegende Verstöße besteht. Sie müssen mindestens 20 Werktage vorab angekündigt werden und während der regulären Geschäftszeiten stattfinden.
11.3 Kosten eines Vor-Ort-Audits trägt der Auftraggeber. Bei fehlendem Anlass ist ein Vor-Ort-Audit auf einmal jährlich begrenzt.
11.4 Penetrationstests oder aktive technische Eingriffe bedürfen der gesonderten schriftlichen Zustimmung.
§ 12 – Löschung, Rückgabe und Aufbewahrung nach Vertragsende
12.1 Nach Beendigung des Hauptvertrages werden die verarbeiteten Daten nach Wahl des Auftraggebers zurückgegeben oder gelöscht. Die Wahl ist innerhalb von 30 Tagen nach Vertragsende in Textform mitzuteilen.
12.2 Rückgaben erfolgen in einem gängigen, technisch verfügbaren Format. Aufwand für Sonderexporte wird gesondert vergütet.
12.3 Aufbewahrungsfrist: Daten, die handels- und steuerrechtlichen Aufbewahrungspflichten unterliegen, werden 8 Jahre aufbewahrt (§ 147 AO, § 257 HGB). Danach erfolgt unwiderrufliche sichere Löschung.
12.4 Backup-Kopien dürfen bis zum regulären Ablauf der Rotationszyklen fortbestehen, sofern sie nicht produktiv weitergenutzt werden.
12.5 Eine Löschbestätigung wird auf Anfrage in Textform erteilt.
§ 13 – Vertraulichkeit, Personal und Fernzugriff
13.1 Alle eingesetzten Personen erhalten Zugriff nur im Rahmen ihrer Aufgaben, werden auf Vertraulichkeit verpflichtet und für Datenschutz sensibilisiert.
13.2 Fernzugriffe und Administrationszugriffe sind zulässig, soweit sie für die Leistungserbringung erforderlich sind. Der Auftraggeber erkennt an, dass moderne IT-Services ohne solche Zugriffsmöglichkeiten nicht erbracht werden können.
13.3 Die Leistungserbringung darf unter Einhaltung des Sicherheitsniveaus gemäß Anlage 3 auch aus Homeoffice- oder Remote-Situationen erfolgen.
§ 14 – Besondere Schutzobjekte und Hochrisiko-Verarbeitungen
14.1 Verarbeitet der Auftraggeber Daten, die beruflichen Geheimhaltungspflichten oder spezialgesetzlichen Schutzvorschriften unterliegen (z.B. Gesundheitsdaten, anwaltliche Daten), hat er dies vor Leistungsbeginn in Textform offenzulegen.
14.2 Für Umgebungen mit besonders hohem Schutzbedarf kann der Auftragnehmer zusätzliche Schutzmaßnahmen oder gesonderte Projektanhänge verlangen.
14.3 Wird dem Auftragnehmer erst während der Leistungserbringung bekannt, dass Daten mit besonderem Schutzbedarf verarbeitet werden, darf er die Leistung bis zur Klärung vorläufig aussetzen.
§ 15 – Haftung, Freistellung und Innenverhältnis
15.1 Die zwingenden Haftungsregelungen der DSGVO (Art. 82) bleiben unberührt. Im Übrigen gilt ergänzend der Hauptvertrag.
15.2 Der Auftraggeber stellt den Auftragnehmer auf erstes Anfordern frei von Ansprüchen Dritter, die auf rechtswidrigen Weisungen, fehlenden Rechtsgrundlagen, rechtswidrigen Dateninhalten oder Sicherheitsmängeln im Verantwortungsbereich des Auftraggebers beruhen.
15.3 Der Auftragnehmer haftet nicht für Störungen, die durch vom Auftraggeber verwaltete Systeme, ungesicherte Zugangsdaten, vom Auftraggeber vorgegebene Drittanbieter oder externe Ausfälle (höhere Gewalt) verursacht werden.
15.4 Eine Erfolgshaftung für die Anerkennung datenschutzrechtlicher Konzepte durch Aufsichtsbehörden wird nicht übernommen.
§ 16 – Schlussbestimmungen
16.1 Änderungen bedürfen der Textform. Der Auftragnehmer kann diesen AVV bei wesentlichen rechtlichen oder technischen Änderungen anpassen; der Auftraggeber wird mindestens 30 Tage vor Inkrafttreten informiert.
16.2 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragnehmers.
16.3 Salvatorische Klausel: Unwirksame Bestimmungen berühren die Wirksamkeit der übrigen Bestimmungen nicht.
16.4 Dieser AVV kann digital geschlossen werden. Zeitstempel, Nutzerkennung und IP-Adresse gelten als geeigneter Nachweis des Vertragsschlusses.
Anlage 1 – Konkretisierung der beauftragten Verarbeitungen
| Leistungsmodul | Verarbeitungsvorgänge | Datenbeispiele |
|---|---|---|
| Webhosting / Serverbetrieb | Speichern, Sichern, Protokollieren, Administrieren | Betriebs-/Nutzungsdaten, Kontaktanfragen, Logs |
| Webentwicklung | Erheben, Testen, Migrieren, Versionieren | CMS-Inhalte, Formulardaten, Benutzerkonten |
| IT-Support / Wartung | Auslesen, Ändern, Dokumentieren, Wiederherstellen | Benutzer-/Kontaktdaten, Tickets, Systemkonfigurationen |
| Fernwartung | Zugreifen, Anzeigen, Bearbeiten, Protokollieren | Alle technisch erreichbaren Daten in betroffenen Systemen |
| Monitoring | Erheben, Protokollieren, Auswerten, Alarmieren | IP-Adressen, Hostnamen, Ereignisprotokolle |
| Backup / Restore | Kopieren, Archivieren, Wiederherstellen, Löschen | Sicherungsabbilder der produktiven Daten |
| Sicherheitssoftware / Lizenzen | Installieren, Konfigurieren, Aktualisieren, Protokollieren | Geräte-, Benutzer-, Lizenz-, Sicherheitsereignisdaten |
Anlage 2 – Kategorien personenbezogener Daten und betroffener Personen
| Datenkategorie | Beispiele | Betroffene Personen |
|---|---|---|
| Kontaktdaten | Name, Firma, Anschrift, E-Mail, Telefon | Mitarbeiter, Kunden, Ansprechpartner |
| Vertrags- & Abrechnungsdaten | Kundennummern, Rechnungsdaten, IBAN, Vertragsdaten | Auftraggeber, Vertragspartner |
| Zugangs- & Berechtigungsdaten | Benutzernamen, Passwort-Hashes, MFA-Infos, SSH-Schlüssel | Mitarbeiter, Admins, Nutzer |
| Nutzungs- & Kommunikationsdaten | E-Mail-Inhalte, Tickets, Supportdok., Formulare | Mitarbeiter, Kunden, Endnutzer |
| Inhaltsdaten in Kundenumgebungen | Website-Inhalte, Datenbankeinträge, CMS-/Shop-Daten | Endkunden, Nutzer, Mitglieder |
| Protokoll- & Telemetriedaten | IP-Adressen, Zeitstempel, Browserdaten, Logdateien | Nutzer, Besucher, Admins |
| Geräte- & Bestandsdaten | Inventar-, Serien-, Lizenznummern, Konfigurationsinfos | Mitarbeiter, Admins |
Nicht erfasst sind besondere Kategorien nach Art. 9 DSGVO sowie berufsgeheimnisgeschützte Daten, sofern nicht vorab ausdrücklich vereinbart.
Anlage 3 – Technische und organisatorische Maßnahmen (TOMs)
| Nr. | Bereich | Maßnahmen |
|---|---|---|
| 1 | Organisation & Governance | Dokumentierte Verantwortlichkeiten, Need-to-know-Prinzip, Verpflichtung aller Personen auf Vertraulichkeit und Datenschutz |
| 2 | Zutrittskontrolle | Zugang zu Büroräumen und lokalen Systemen nur für Berechtigte; bei externen RZ gelten Maßnahmen des RZ-Betreibers |
| 3 | Zugangskontrolle | Personalisierte Konten, starke Passwörter (mind. 12 Zeichen), Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Systeme |
| 4 | Zugriffskontrolle | Rollenbasierte Rechtevergabe, Beschränkung auf erforderliche Systeme, regelmäßige Überprüfung |
| 5 | Weitergabekontrolle | Datenübertragungen über TLS/HTTPS (mind. 1.2), VPN, SSH; Fernwartung über gesicherte Werkzeuge |
| 6 | Speicherkontrolle | Backup-Speicher soweit möglich verschlüsselt; Passwörter als Hash gespeichert, nicht im Klartext |
| 7 | Eingabekontrolle | Protokollierung sicherheitsrelevanter Ereignisse; Logs nach Fristen gelöscht oder rotiert |
| 8 | Mandantentrennung | Logische Trennung von Kundendaten durch getrennte Accounts, Verzeichnisse, Datenbanken |
| 9 | Verfügbarkeit | Regelmäßige Backups, 24/7-Monitoring via Pulseway, Patch-Management, GDATA/Bitdefender Endpoint-Schutz, Firewalls |
| 10 | Wiederherstellbarkeit | Wiederherstellungsverfahren für beauftragte Backup-/Systemdienste, dokumentierte Notfallprozesse |
| 11 | Schutz vor Schadsoftware | Aktuelle Sicherheitsupdates, GDATA CyberDefense und/oder Bitdefender, automatische Definitionsupdates |
| 12 | Homeoffice / Mobile Arbeit | Gesicherte Endgeräte, verschlüsselte Kommunikation, Bildschirmsperre, restriktive lokale Datenkopien |
| 13 | Löschung | Löschung nach Prozess, Frist oder Kundenweisung; Datenträger sicher gelöscht oder physisch vernichtet |
| 14 | Überprüfung | Regelmäßige Überprüfung der Schutzmaßnahmen, Bewertung neuer Risiken, Anpassung an Stand der Technik |
Anlage 4 – Unterauftragnehmer
| Anbieter | Leistung | Standort | Drittlandbezug |
|---|---|---|---|
| HostEurope GmbH | Webhosting, Serverinfrastruktur | DE / EU | Kein Drittlandbezug |
| Hetzner Online GmbH | Server, Cloud, Storage | DE / EU | Kein Drittlandbezug |
| IONOS SE | Hosting, Domains, Cloud | DE / EU | Kein Drittlandbezug |
| Microsoft Ireland / Corp. | Microsoft 365, Azure, Exchange | EU / int. | SCC + Data Privacy Framework |
| Google Ireland / LLC | Workspace, Cloud, Sicherheitstools | EU / int. | SCC + Data Privacy Framework |
| Amazon Web Services EMEA | Cloud, Compute, Storage, Backup | EU / int. | SCC + Data Privacy Framework |
| G DATA CyberDefense AG | Endpoint-Protection, Lizenzen | DE / EU | Kein Drittlandbezug |
| Bitdefender SRL | Endpoint-Protection, EDR/XDR | EU (RO) | Ggf. Telemetrie, SCC |
| Pulseway (MMSOFT Design) | Monitoring, RMM, Automatisierung | EU / int. | Ggf. SCC / DPF |
| TeamViewer Germany GmbH | Fernwartung, Remote-Zugriff | DE / EU | Je nach Routing, SCC |
| Meta / WhatsApp Business | Kommunikation (soweit beauftragt) | EU / int. | Drittlandbezug möglich, SCC |
Anlage 5 – Ansprechpartner, Weisungswege und Standardprozesse
| Thema | Festlegung |
|---|---|
| Weisungsberechtigte (Auftraggeber) | Gemäß Hauptvertrag / Kundenportal |
| Empfangsstelle (Auftragnehmer) | NK IT Service – Nikolaj Kinas | support@nk-it.de | Portal/Ticketsystem |
| Standard-Weisungswege | E-Mail, Kundenportal, Ticketsystem; mündliche Weisungen unverzüglich schriftlich bestätigen |
| Sicherheits-/Incident-Meldungen | Primär über bekannte Support-Kontakte; in dringenden Fällen zusätzlich telefonisch |
| Audit- und Auskunftsanfragen | Textform mit Angabe von Zweck und Umfang; Remote-Nachweise sind vorrangig |
| Betroffenenanfragen | Weiterleitung an Auftraggeber; keine unmittelbare Beantwortung ohne Weisung |
| Rückgabe / Export nach Vertragsende | Anforderung in Textform innerhalb von 30 Tagen nach Vertragsende |
| Datenpannen-Meldung | Erstmeldung an Auftraggeber innerhalb 24h; Auftraggeber meldet an Behörde (72h-Frist, Art. 33 DSGVO) |
