Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Version 1.0, Stand 2. Juli 2026
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird geschlossen zwischen:
Pik Production GmbH
Georgstraße 38, 30159 Hannover, Deutschland
Handelsregister: HRB 227341, Amtsgericht Hannover
Vertreten durch den Geschäftsführer Jan Pulfer
(im Folgenden „Auftragsverarbeiter")
und
[Name des Kunden]
[Adresse des Kunden]
[Handelsregisternummer, falls vorhanden]
(im Folgenden „Verantwortlicher")
(gemeinsam „Parteien")
Präambel
(1) Der Verantwortliche nutzt die webbasierte Software „unternio" (SaaS) des Auftragsverarbeiters zur Organisation seines Geschäftsbetriebs, insbesondere für Aufgaben- und Fristenverwaltung (Kontrollregister), Vertragsverwaltung (Vertragsregister), Kundenverwaltung (CRM mit Kontakten, Verkaufschancen und Kommunikationshistorie), Angebots- und Rechnungserstellung.
(2) Im Rahmen der Nutzung werden personenbezogene Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter verarbeitet. Diese Verarbeitung erfolgt gemäß der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") und den einschlägigen nationalen Datenschutzgesetzen.
(3) Die Parteien sind sich einig, dass der Kunde Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und die Pik Production GmbH Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist.
(4) Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien. Er ist Bestandteil des Hauptvertrags (Abo-Vertrag über die Nutzung von unternio).
1. Definitionen
Die verwendeten Begriffe haben die Bedeutung, die ihnen in der DSGVO zugewiesen wird (insbesondere Art. 4 DSGVO: personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter).
2. Gegenstand und Dauer der Verarbeitung
(1) Gegenstand: Bereitstellung und Betrieb der Web-Software unternio gemäß Anlage 1.
(2) Dauer: Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrags. Nach Beendigung gelten die Bestimmungen zur Löschung oder Rückgabe der Daten gemäß Ziffer 6.7.
3. Art und Zweck der Verarbeitung
(1) Art: Erheben, Speichern, Verändern, Übermitteln, Einschränken und Löschen von Daten im Rahmen der Bereitstellung und Nutzung der Software.
(2) Zweck: Ausschließlich die Erfüllung der vertraglichen Leistungen gemäß Hauptvertrag und den Weisungen des Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Art der Daten (abhängig davon, was der Verantwortliche in die Software eingibt):
- Stammdaten (Name, Firma, Adresse, E-Mail, Telefon von Kontakten des Verantwortlichen)
- Vertragsdaten (Vertragspartner, Laufzeiten, Kündigungsfristen, Konditionen)
- Angebots- und Rechnungsdaten (Empfänger, Positionen, Beträge, Zahlungsziele)
- Kommunikations- und Vertriebsdaten (Notizen, Interaktionshistorie, Verkaufschancen)
- Aufgaben- und Organisationsdaten (Aufgaben, Zuständigkeiten, Fristen)
- Nutzerdaten der Software-Nutzer des Verantwortlichen (Name, E-Mail, Rolle, Anmeldedaten)
- Nutzungsdaten (IP-Adressen, Log-Daten, Zugriffszeiten)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der vereinbarten Verarbeitung; der Verantwortliche verpflichtet sich, solche Daten nicht in die Software einzugeben, sofern nicht gesondert vereinbart.
(2) Kategorien betroffener Personen:
- Kunden und Interessenten des Verantwortlichen
- Ansprechpartner bei Geschäftspartnern und Lieferanten des Verantwortlichen
- Mitarbeiter und Nutzer der Software auf Seiten des Verantwortlichen
5. Pflichten und Rechte des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung, die Wahrung der Betroffenenrechte und die Erfüllung der Informationspflichten allein verantwortlich.
(2) Der Verantwortliche kann jederzeit Weisungen zur Verarbeitung erteilen, soweit sie im Rahmen des Hauptvertrags liegen. Weisungen erfolgen in Textform (E-Mail genügt). Standardweisung ist die vertragsgemäße Nutzung der Software über deren Funktionen (Anlegen, Ändern, Exportieren, Löschen von Daten durch den Verantwortlichen selbst).
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
6. Pflichten des Auftragsverarbeiters
6.1 Weisungsgebundenheit
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und der Weisungen des Verantwortlichen, sofern nicht Rechtsvorschriften der Union oder der Mitgliedstaaten eine andere Verarbeitung vorschreiben; in diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern rechtlich zulässig.
(2) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und darf die Ausführung bis zur Bestätigung oder Änderung aussetzen.
6.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden (schriftliche Verpflichtung auf das Datengeheimnis) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6.3 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die aktuellen TOMs sind in Anlage 3 (TOM-Dokument der Pik Production GmbH, jeweils aktuelle Fassung) beschrieben.
(2) Der Auftragsverarbeiter kann die TOMs anpassen, sofern das Schutzniveau nicht wesentlich unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.
6.4 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 2 aufgeführten Unterauftragsverarbeiter.
(2) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der die Datenschutzpflichten dieses AVV im Wesentlichen abbildet.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern) in Textform mit einer Frist von mindestens 4 Wochen. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht des Hauptvertrags zu.
(4) Der Auftragsverarbeiter bleibt für die Einhaltung der Pflichten durch Unterauftragsverarbeiter voll verantwortlich.
6.5 Unterstützungspflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Beantwortung von Betroffenenanfragen (Art. 12 bis 22 DSGVO). Die Software stellt hierfür Export- und Löschfunktionen bereit.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei den Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
(3) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten, die dessen Daten betreffen, unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, mit den Informationen gemäß Art. 33 Abs. 3 DSGVO.
6.6 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche kann die Einhaltung dieses AVV überprüfen: vorrangig durch Anforderung von Nachweisen (aktuelle TOM-Dokumentation, Zertifikate, Auditberichte, Selbstauskünfte), nachrangig durch Kontrollen in Absprache mit dem Auftragsverarbeiter zu üblichen Geschäftszeiten mit angemessener Ankündigungsfrist (mindestens 14 Tage).
(2) Der Auftragsverarbeiter stellt auf Anforderung alle zur Kontrolle erforderlichen Informationen bereit.
6.7 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück (Export in einem gängigen, maschinenlesbaren Format, z. B. CSV), sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Löschung oder Rückgabe erfolgt unverzüglich, spätestens innerhalb von 30 Tagen nach Beendigung des Vertrags. Daten in Backups werden spätestens mit der regulären Backup-Rotation, spätestens nach weiteren 35 Tagen, überschrieben bzw. gelöscht. Die Löschung wird auf Anforderung in Textform bestätigt.
7. Haftung
(1) Die Parteien haften einander nach den gesetzlichen Vorschriften (Art. 82 DSGVO).
(2) Die Haftung des Auftragsverarbeiters für einfache Fahrlässigkeit wird auf die Höhe der in den letzten 12 Monaten gezahlten Vergütung, mindestens 10.000 Euro, pro Schadensfall begrenzt. Diese Begrenzung gilt nicht bei Vorsatz, grober Fahrlässigkeit, Schäden an Leben, Körper oder Gesundheit sowie soweit Art. 82 DSGVO zwingend entgegensteht.
(3) Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die auf einer rechtswidrigen Verarbeitung durch den Verantwortlichen beruhen (insbesondere Eingabe von Daten ohne Rechtsgrundlage).
8. Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hannover, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(4) Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft.
Anlage 1: Beschreibung der Verarbeitung
1. Gegenstand: Bereitstellung und Betrieb der Web-Software „unternio" (SaaS) durch die Pik Production GmbH mit den Modulen Kontrollregister (Aufgaben und Fristen), Vertragsregister, CRM (Kontakte, Verkaufspipeline, Kommunikationshistorie), Angebote und Rechnungen.
2. Art der Daten: siehe Ziffer 4 Abs. 1 dieses AVV.
3. Kategorien betroffener Personen: siehe Ziffer 4 Abs. 2 dieses AVV.
4. Zweck: Erfüllung der vertraglichen Leistungen gemäß Hauptvertrag, insbesondere Bereitstellung, Wartung, Support und Weiterentwicklung der Software sowie Sicherstellung ihrer Funktionalität und Sicherheit.
5. TOMs: siehe Anlage 3 (TOM-Dokument der Pik Production GmbH, aktuelle Fassung).
6. Ort der Datenverarbeitung: Ausschließlich Rechenzentren in Deutschland (Hetzner Online GmbH). Es findet keine Übermittlung in Drittländer statt.
Anlage 2: Aktuelle Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Leistung | Ort der Verarbeitung | Vertragliche Grundlage |
|---|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland | Hosting/Serverbetrieb (Infrastruktur, auf der die Software und die Datenbank laufen) | Deutschland | AVV gemäß Art. 28 DSGVO (Hetzner-AV-Vertrag, im Hetzner-Konto abgeschlossen) |
| Brevo (Sendinblue SAS), 7 rue de Madrid, 75008 Paris, Frankreich | Transaktionaler E-Mail-Versand (Bestätigungs-, System- und Servicemails an Nutzer der Software) | EU | AVV/DPA gemäß Art. 28 DSGVO (Bestandteil der Brevo-Vertragsbedingungen) |
Hinweis: Der Zahlungsdienstleister Mollie B.V. (Amsterdam, Niederlande) verarbeitet Zahlungsdaten des Verantwortlichen bei Abschluss des Abos. Mollie handelt dabei als eigenständiger Verantwortlicher (regulierter Zahlungsdienstleister) und ist daher kein Unterauftragsverarbeiter im Sinne dieser Anlage.
Das Quellcode-Hosting (GitHub) enthält keine personenbezogenen Daten der Kunden und ist daher kein Unterauftragsverarbeiter.
Anlage 3: Technische und organisatorische Maßnahmen
Es gilt das TOM-Dokument der Pik Production GmbH in der jeweils aktuellen Fassung. Auf Anforderung wird die aktuelle Fassung in Textform bereitgestellt (Anfrage an info@pikproduction.com).
