Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO
Stand: 01.03.2026
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) gilt zwischen der fonder GmbH als Auftragsverarbeiter und dem jeweiligen Nutzer der Software („Auftraggeber“), der die Leistungen der fonder GmbH in Anspruch nimmt.
1. Gegenstand und Dauer des Auftrags
1.1 Gegenstand
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer: zeitlich begrenzte Bereitstellung einer Versicherungsvergleichs-Web-App, geschützt und limitiert durch personalisierte Accounts.
Die Verarbeitung umfasst insbesondere, jedoch nicht abschließend, das Erheben, Erfassen, Ordnen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln sowie Löschen personenbezogener Daten im Rahmen der Nutzung der Softwarelösung der fonder GmbH. Soweit und sofern Daten über angebundene Systeme, insbesondere Professional Works, bereitgestellt werden, erfolgt die Verarbeitung ausschließlich im Rahmen der durch den Auftraggeber erteilten Weisungen.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
1.2 Dauer
Diese Vereinbarung gilt für die Dauer der Nutzung der Software durch den Auftraggeber und ist integraler Bestandteil der Nutzungsbedingungen der fonder GmbH.
1.3 Geltungsbereich
Diese Vereinbarung gilt ausschließlich für den jeweiligen Nutzer der Software als Auftraggeber. Eine Einbeziehung weiterer verbundener Unternehmen des Auftraggebers bedarf einer gesonderten schriftlichen Vereinbarung zwischen den Parteien.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Die Verarbeitung dient dem Zweck der Bereitstellung einer webbasierten Softwarelösung zur Durchführung von Vergleichen, Berechnungen und Auswertungen im Bereich der Finanzberatung sowie zur Verwaltung von Benutzerkonten. Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Softwareleistungen (Software-as-a-Service). Eine darüberhinausgehende Verarbeitung erfolgt nicht.
2.2 Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/Kategorien:
- Kommunikationsdaten (z. B. Telefon, E-Mail)
- Planungs- und Steuerungsdaten
Darüber hinaus können Nutzungs- und Systemprotokolldaten verarbeitet werden, soweit dies zur Sicherstellung des Betriebs, der Systemsicherheit und der Nachvollziehbarkeit von Verarbeitungsvorgängen erforderlich ist.
2.3 Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Beschäftigte
2.4 Datenherkunft, Datenfluss und Verantwortungsabgrenzung
Die Verarbeitung erfolgt ausschließlich auf Grundlage der durch den Auftraggeber bereitgestellten Daten. Der Auftragnehmer übernimmt keine Verantwortung für die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität der Daten. Dies gilt insbesondere für Daten, die über Drittsysteme wie Professional Works übertragen werden.
3. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
3.1 Weisungsbefugnis des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
3.2 Vertraulichkeitsverpflichtung
3.2.1 Personenbezogene und sonstige Daten oder Informationen, die dem Auftragnehmer im Rahmen der Erfüllung dieses Vertrags bekannt werden, darf der Auftragnehmer nur für Zwecke der beauftragten Leistung verwenden. Der Auftragnehmer verpflichtet sich, die Vertraulichkeit und Integrität der personenbezogenen Daten zu wahren (Art. 28 Abs. 3 Satz 2 lit. b DS-GVO) und alle ihm im Zusammenhang mit der Übernahme und Abwicklung des Auftrages bekannt werdenden personenbezogenen Daten und sonstige unternehmensinterne Umstände, Daten und Informationen (Betriebsgeheimnisse) vertraulich zu behandeln sowie die im Rahmen dieses Vertrages tätig werdenden Mitarbeiter auch über die Beendigung des Beschäftigungsverhältnisses hinaus auf die Wahrung der Vertraulichkeit schriftlich zu verpflichten und über die Datenschutzpflichten aus diesem Vertrag, die Weisungsgebundenheit der Verarbeitung der Daten und deren Zweckbindung zu belehren. Diese Geheimhaltungspflicht gilt auch über die Beendigung des Vertragsverhältnisses hinaus.
3.2.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er für die Durchführung der Arbeiten nur eigenes Personal einsetzt und die mit der Auftragsdurchführung beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und einer regelmäßigen Schulung unterzieht.
3.2.3 Der Auftragnehmer verpflichtet sich zur Beachtung aller sonstigen Geheimnisse, soweit diese für die Verarbeitung einschlägig sind, wie des Sozialgeheimnisses, des Fernmeldegeheimnisses und sonstiger Berufsgeheimnisse gem. § 203 StGB sowie zur Verpflichtung und Belehrung der Beschäftigten zur Sicherstellung der Wahrung dieser Geheimnisse.
3.2.4 Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über administrative Zugangsdaten und Datensicherheitsmaßnahmen des Auftraggebers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen. Von den ihm eingeräumten Zugriffsrechten darf der Auftragnehmer nur in dem Umfang Gebrauch machen, der für die Durchführung der Datenverarbeitung erforderlich ist. Die Verpflichtung zur Wahrung der Vertraulichkeit und der sonstigen Geheimnisse gilt auch über die Beendigung dieses Vertrages hinaus.
3.3 Unterstützungspflichten des Auftragnehmers
3.3.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO sowie der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Benachrichtigung betroffener Personen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u. a.
- die Verpflichtung, den Auftraggeber im Rahmen seiner Informations- und Auskunftspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
- die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
- die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
3.3.2 Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
3.3.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
3.3.4 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
3.3.5 Der Auftragnehmer unterstützt den Auftraggeber insbesondere bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungsansprüchen betroffener Personen sowie bei der Durchführung von Datenschutz-Folgenabschätzungen.
3.4 Mitteilung bei Verstößen des Auftragnehmers
3.4.1 Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit.
3.4.2 Dem Auftragnehmer ist bekannt, dass der Auftraggeber nach Art. 33, 34 DSGVO verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DS-GVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen dem Auftraggeber ohne Ansehen der Verursachung unverzüglich an die vom Auftraggeber benannte Kontaktadresse melden und hierbei zumindest folgende Informationen mitteilen:
- eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
- Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
- eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
3.5 Benennung eines Datenschutzbeauftragten
Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird benannt:
Herr Marius Petersen, Geschäftsführer
+49 (0) 176 966 02314
marius.petersen@fonder-vergleiche.de
Ein Wechsel des Ansprechpartners ist dem Auftraggeber unverzüglich mitzuteilen.
3.6 Berichtigung, Einschränkung und Löschung von Daten
3.6.1 Nach Abschluss der jeweiligen Verarbeitung oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
3.6.2 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
3.6.3 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
3.6.4 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
4. Kontrollrechte des Auftraggebers
4.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Die Durchführung von Vor-Ort-Kontrollen ist auf begründete Einzelfälle beschränkt und erfolgt unter angemessener Vorankündigung.
4.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
4.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO.
4.4 Weisungen können in schriftlicher oder elektronischer Form erfolgen und sind durch den Auftragnehmer zu dokumentieren, soweit und sofern dies zur Nachweisführung erforderlich ist.
5. Technisch-organisatorische Maßnahmen
5.1 Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].
5.2 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
5.3 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
5.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
5.5 Die Verarbeitung im Homeoffice erfolgt unter Einhaltung angemessener technischer und organisatorischer Maßnahmen.
5.6 Die Verpflichtung zur Vertraulichkeit erstreckt sich auf sämtliche im Rahmen der Leistungserbringung erlangten Informationen und gilt zeitlich unbeschränkt über die Beendigung dieses Vertrages hinaus.
6. Unterauftragsverhältnisse
6.1 Die Beauftragung oder der Wechsel von Unterauftragnehmern (weitere Auftragsverarbeiter) zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer auf Grundlage einer allgemeinen Genehmigung (mind. Textform) des Auftraggebers gestattet (Art. 28 Abs. 2 DS-GVO).
Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit/Leistung des Unterauftragnehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
Sofern eine Verarbeitung in Drittländern erfolgt, stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 44 ff. DS-GVO (insbesondere Standardvertragsklauseln) bestehen.
Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO:
| Unterauftragnehmer | Zweck | Standort / Garantien |
|---|---|---|
| Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland | Hosting und Cloud-Infrastruktur (Cloud Run, Cloud SQL, Cloud Storage) | EU (Irland); Google Cloud DPA |
| Google LLC (via Google Tag Manager / Google Analytics) | Website-Analyse und Conversion-Tracking (nur bei Einwilligung des Endnutzers) | USA; EU-Standardvertragsklauseln (SCCs), Google Ads Data Processing Terms |
| Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland | Zahlungsabwicklung (Abonnementverwaltung, Rechnungsstellung) | EU (Irland); Stripe DPA |
| Brevo (Sendinblue) GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland | Transaktionale E-Mails und CRM-Kontaktverwaltung | EU (Deutschland); Brevo AVV |
| Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland | Bereitstellung von Marketingtechnologie im Rahmen der Unternehmenskommunikation (nur bei Einwilligung des Endnutzers) | EU (Irland); EU-Standardvertragsklauseln für US-Transfer, Meta Data Processing Terms |
| OpenAI Ireland Ltd. | Optionale KI-gestützte Funktionen (Support-Chat, Kostenextraktion) | USA; EU-Standardvertragsklauseln (SCCs), OpenAI DPA, Zero-Retention API |
| Wix.com Ltd., Nemal St. 40, Tel Aviv, Israel | Website-Hosting und -Bereitstellung (Unternehmenswebsite) | Israel (Angemessenheitsbeschluss); Wix DPA |
6.2 Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Unterauftragnehmern gelten. In dem Vertrag mit dem Unterauftragnehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Unterauftragnehmers deutlich voneinander abgegrenzt werden. Werden mehrere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Unterauftragnehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Unterauftragnehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
Der Vertrag mit dem Unterauftragnehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO). Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn der Unterauftragnehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
6.3 Der Auftragnehmer haftet im Rahmen der gesetzlichen Vorschriften. Für Schäden, die auf einer leicht fahrlässigen Verletzung wesentlicher Vertragspflichten beruhen, ist die Haftung der Höhe nach auf den typischerweise vorhersehbaren Schaden begrenzt. Im Übrigen ist die Haftung für leicht fahrlässige Pflichtverletzungen ausgeschlossen. Die Haftung für Schäden aus der Verletzung von Leben, Körper oder Gesundheit sowie nach dem Produkthaftungsgesetz bleibt unberührt. Soweit Daten durch den Auftraggeber oder durch Drittsysteme bereitgestellt werden, übernimmt der Auftragnehmer keine Haftung für deren inhaltliche Richtigkeit, Vollständigkeit oder Rechtmäßigkeit.
6.4 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Unterauftragnehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
6.5 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.6 Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet.
7. Schlussbestimmungen
7.1 Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
7.2 Für Nebenabreden ist die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
7.3 Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
7.4 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen der Vereinbarung nicht.
7.5 Bei Widersprüchen haben die Bestimmungen dieser Vereinbarung Vorrang vor den Bestimmungen der Leistungsvereinbarung.
Anlage – Technisch-organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Der Auftragnehmer stellt sicher, dass der Zugriff auf personenbezogene Daten ausschließlich durch berechtigte Personen auf Grundlage eines Rollen- und Berechtigungskonzepts erfolgt. Zugriffe werden protokolliert und regelmäßig überprüft. Die Übertragung personenbezogener Daten erfolgt verschlüsselt (z. B. TLS). Die genannten Maßnahmen werden durch den Einsatz etablierter Cloud-Infrastrukturen ergänzt, deren Sicherheitsstandards den Anforderungen der DS-GVO entsprechen (Google Cloud DPA).
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Der Auftragnehmer stellt sicher, dass personenbezogene Daten während der Verarbeitung vor unbefugter oder unbeabsichtigter Veränderung geschützt sind. Hierzu werden geeignete technische und organisatorische Maßnahmen eingesetzt, insbesondere Maßnahmen zur Sicherstellung der Datenintegrität, der Nachvollziehbarkeit von Verarbeitungsvorgängen sowie der Protokollierung von Zugriffen und Änderungen. Die Übertragung personenbezogener Daten erfolgt unter Einsatz anerkannter Verschlüsselungsverfahren. Darüber hinaus werden geeignete Verfahren zur Eingabekontrolle eingesetzt, um nachvollziehen zu können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Siehe DPA von Google Cloud (Compute Engine): cloud.google.com/terms/data-processing-addendum/
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO): Wird durch alle 24 Stunden wiederholende Backups sichergestellt. Nach 30 Tagen werden diese Backups wieder gelöscht.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO).
fonder GmbH · Gewerbering 4 · 31608 Marklohe · Stand: 01.03.2026