Vertrag über die Verarbeitung von Daten im Auftrag zur Softwarenutzung sowie Wartung und Pflege von IT-Systemen
Präambel
0.1 Zwischen den Parteien besteht ein Vertragsverhältnis über Nutzung einer Software, welche die Wartung und Pflege von IT-Systemen beinhaltet („Hauptvertrag“).
0.2 Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutz-rechtlichen Regelungen des Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen den Parteien getroffen.
1. Allgemeines
Der Auftragnehmer führt nach Maßgabe des Hauptvertrages für den Auftraggeber Wartungs- und/oder Pflegearbeiten an IT-Systemen des Auftraggebers durch. In diesem Zusammenhang ist nicht ausgeschlossen, dass der Auftragnehmer personenbezogene Daten verarbeitet, um die Wartung und Pflege von IT-Systemen durchzuführen oder durchführen zu können.
2. Dauer und Beendigung des Auftrags
2.1 Der Auftragnehmer führt für den Auftraggeber Leistungen (Wartung und/oder Pflege von IT-Systemen) durch. Zwischen den Parteien besteht diesbezüglich ein Vertragsverhältnis, das entweder auf individuellen vertraglichen Vereinbarungen, allgemeinen Geschäftsbedingungen oder auf gesetzlichen Regelungen basiert. Diese Vereinbarung beginnt mit Abschluss des Hauptvertrages und gilt für die Dauer des jeweiligen Hauptvertrages.
2.2 Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
3. Gegenstand des Auftrags
3.1 Der Auftrag des Auftraggebers an den Auftragnehmer umfasst auch folgende Arbeiten und/oder Leistungen:
- Anlegen von Benutzern auf Server- oder Applikationsebene
- Einrichtung/Einräumung, Änderung und/oder Löschung von Benutzerberechtigungen
- Eingabe, Änderung oder Löschung von Datenbankfeldern
- Fernwartung von IT-Systemen
3.2 Der Auftrag kann auch die Verarbeitung folgender Arten von personenbezogenen Daten beinhalten:
- Name und Kontaktdaten des Auftraggebers
- weitere Daten von Betroffenen, die im jeweiligen IT-System des Auftraggebers gespeichert sind.
3.3 Kreis der von der Datenverarbeitung Betroffenen:
- Beschäftigte des Auftraggebers
- Kunden des Auftraggebers
- Dritte
4. Rechte und Pflichten des Auftraggebers
4.1 Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Wartung und Pflege von IT-Systemen gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
4.2 Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
4.3 Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Wartung und Pflege durch den Auftragnehmer feststellt.
5. Allgemeine Pflichten des Auftragnehmers
5.1 Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Zusammenhang mit den Wartungs-/Pflegearbeiten im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.
5.2 Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
5.3 Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist.
5.4 Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO im Falle einer Datenschutzverletzung bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere und unverzüglich über unbefugte Zugriffe auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, informieren.
5.5 Der Auftragnehmer wird seinen Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.
5.6 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 33-36 DSGVO genannten Pflichten, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
6. Kontrollbefugnisse
6.1 Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
6.2 Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
6.3 Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, sofern die Betriebsabläufe des Auftragnehmers durch die Kontrollen gestört werden könnten.
6.4 Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.
7. Fernwartung
Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten auf einem Monitor o.ä. Gerät zu verfolgen.
8. Unterauftragsverhältnisse
8.1 Die Beauftragung von Unterauftragnehmer durch den Auftragnehmer ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig.
8.2 Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln. Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten benannt hat, sofern dies nach Art. 37 DSGVO i.V.m. § 38 BDSG erforderlich ist.
8.3 Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten. Der Auftragnehmer hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren.
8.4 Die Verpflichtung des Unterauftragnehmers muss den Anforderungen von Art. 28 Abs. 4 DSGVO entsprechen.
8.5 Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff.6 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
8.6 Dem Einsatz der in Anlage 1 genannten Unterauftragnehmer stimmt der Auftraggeber mit Abschluss dieses Vertrages ausdrücklich zu.
9. Vertraulichkeit und Geheimhaltung
9.1 Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Dies gilt insbesondere in den Fällen, in denen der Auftraggeber zur Einhaltung der Schweigepflicht aus § 203 StGB verpflichtet ist. Der Auftraggeber wird dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitteilen.
9.2 Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und diese zur Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet hat, sofern diese nicht schon anderweitig einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
10. Wahrung von Betroffenenrechten
10.1 Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.
10.2 Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, der Pflicht des Auftraggeber zur Beantwortung von Anfragen von Betroffenen nach den Art. 12-23 DSGVO nachzukommen, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
11. Technische und organisatorische Maßnahmen zur Datensicherheit
11.1 Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.
11.2 Für den Fall, dass der Auftragnehmer die Wartung und Pflege von IT-Systemen für den Auftraggeber auch außerhalb der Geschäftsräume des Auftraggebers durchführt (z.B. im Falle der Fernwartung), sind vom Auftragnehmer zwingend die in der Anlage 2 zu diesem Vertrag genannten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten einzuhalten.
12. Beendigung
12.1 Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Die Löschung ist in geeigneter Weise zu dokumentieren. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder physisch zu löschen.
12.2 Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.
13. Schlussbestimmungen
13.1 Dieser Vertrag unterliegt deutschem Recht unter Ausschluss der Bestimmungen des UN-Kaufrechts (CISG) sowie des Kollisionsrechts.
13.2 Gerichtsstand für Streitigkeiten zwischen den Parteien ist der Sitz von Agvolution, derzeit Göttingen. Agvolution kann jedoch nach ihrer freien Wahl auch die Gerichte am Sitz des Auftraggebers anrufen. Ausschließliche gerichtliche Zuständigkeiten bleiben unberührt.
13.3 Mündliche Nebenabreden zu diesem Vertrag bestehen nicht.
13.4 Sollte eine der Bestimmungen dieses Vertrages aus irgendeinem Grunde rechtsunwirksam oder undurchführbar sein oder werden oder sollte dieser Vertrag eine Lücke aufweisen, so soll die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt werden. Anstelle der unwirksamen oder undurchführbaren Bestimmungen oder in Ausfüllung der Lücke soll eine angemessene Regelung gelten, die im Rahmen des rechtlich Zulässigen dem am nächsten kommt, was die Parteien gewollt haben oder gewollt haben würden, wenn sie den Punkt bedacht hätten.
13.5 Beruht die Ungültigkeit einer Bestimmung auf einem darin angegebenen Maß der Leistung oder Zeit (Frist oder Termin), so soll ein dem Gewollten möglichst nahekommendes rechtlich zulässiges Maß der Leistung oder Zeit an die Stelle des Vereinbarten treten..
Anlagen:
1 Aufstellung der eingesetzten Unterauftragnehmer
2 Technisch-organisatorische Maßnahmen der Agvolution GmbH, Stand: 13.02.2026
Anlage 1: Aufstellung der vom Auftragnehmer eingesetzten Unterauftragnehmer
Unterauftragnehmer | Anschrift | Leistung |
Clerk, Inc. | 660 King St Unit 345, San Francisco, CA 94107, USA | Benutzerverwaltung, Authentifizierung und Autorisierung von Nutzern |
Vercel Inc. | 440 N Barranca Ave #4133, Covina, CA 91723, USA | Hosting, Deployment und Auslieferung der Webanwendung (Platform as a Service) |
Neon, Inc. | 2261 Market Street STE 22601, San Francisco, CA 94114, USA | Bereitstellung und Betrieb der Datenbankinfrastruktur (Database as a Service) |
Upstash, Inc. | 6202 Via De Adrianna, San Jose, CA 95120, USA | Caching- und Datenspeicherdienste (Redis/KV as a Service) |
Functional Software, Inc. dba Sentry | 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA | Fehlerüberwachung und Performance-Monitoring (Error Tracking) |
Cloudflare Inc. | 101 Townsend St, San Francisco, USA | Content Delivery Network (CDN), Web Application Firewall, Sicherheit und Erreichbarkeit |
Zoho Corporation Pvt. Ltd. | 4141 Hacienda Drive, Pleasanton, CA 94588, USA | CRM-System zur Kundenverwaltung und Kundenkommunikation |
Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Hosting / Server-Infrastruktur / Rechenzentrum |
Termly Inc. | 906 W 2nd Ave, Suite 100, Spokane, WA 99201, USA | Cookie-Consent-Management / Einwilligungsverwaltung |
DATA TILLAGE S.R.L. | Strada DREPTĂŢII, Nr. 3, Bloc M22, Scara 1, Etaj 2, Ap. 36. Bucharest, 060881, Romania | Entwicklung und Weiterentwicklung von Softwareanwendungen |
Pava Popcons SRL | Str. 1 Decembrie 112 CAM. 5 Cod 235100, Bals, Romania | Entwicklung und Testung von Softwareanwendungen |
VDX CUSTOM CONSULTING SRL | Ilfov, Sat Tunari, Str. Randunicii 19 B Romania | Entwicklung und Weiterentwicklung von Softwareanwendungen |
DRAGOMIR V. L. RADU PERSOANĂ FIZICĂ AUTORIZATĂ | B-dul Bucureștii Noi, 136, et. Parter, ap. 5, SECTOR 1, BUCURESTI
| Entwicklung und Weiterentwicklung von Softwareanwendungen |
CONSTANTINESCU V. VLAD-MIHAI PERSOANĂ FIZICĂ AUTORIZATĂ | Strada TÂRGU NEAMŢ, Nr. 16A, Bl. B36, Scara 1, Etaj 2, Ap. 8
| Entwicklung und Weiterentwicklung von Softwareanwendungen |
Anlage 2:
Technische und organisatorische Maßnahmen des Auftragnehmers zum Datenschutz gemäß Art. 32 DSGVO
Der Auftragnehmer ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO einzuhalten:
1. Vertraulichkeit
1.1. Zutrittskontrolle
1.1.1 Der Auftragnehmer trägt Sorge dafür, dass seine Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind.
1.1.2 Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.
1.1.3 Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.
1.2 Zugangskontrolle
1.2.1 Um Zugang zu IT-Systemen zu erhalten, müssen der Auftragnehmer und seine Beschäftigten über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von einem oder mehreren Administratoren vergeben.
1.2.2 Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 14 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
1.2.3 Ein Passwortwechsel wird nicht erzwungen.
1.2.4 Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht noch einmal verwendet werden können.
1.2.5 Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe innerhalb von 24 Stunden erfolgt eine Sperrung des jeweiligen Benutzer-Accounts für 24 Stunden.
1.2.6 Remote-Zugriffe auf IT-Systeme des Auftragnehmers erfolgen stets über verschlüsselte Verbindungen.
1.2.7 Alle Server und Client-Systeme, die bei der Erbringung von Leistungen für den Auftraggeber im Einsatz sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches versorgt werden.
1.2.8 Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
1.2.9 Passwörter, die der Auftragnehmer vom Auftraggeber erhält oder für dessen IT-Systeme verwendet, werden grundsätzlich verschlüsselt gespeichert und sind nur den Beschäftigten zugänglich zu machen, die konkret mit der Erbringung von Leistungen für den Auftraggeber betraut sind.
1.3 Zugriffskontrolle
1.3.1 Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.
1.3.2 Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.
1.4 Pseudonymisierung & Verschlüsselung
Ein administrativer Zugriff auf IT-Systeme des Auftraggebers erfolgt grundsätzlich über verschlüsselte Verbindungen, soweit dieser nicht innerhalb der Räumlichkeiten des Auftraggebers erfolgt.
2. Integrität
2.1 Eingabekontrolle
Der Auftragnehmer wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die er im Auftrag des Auftraggebers durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt.
2.2 Weitergabekontrolle
2.2.1 Eine Weitergabe von personenbezogenen Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur in dem Umfang erfolgen, wie und soweit dies mit dem Auftraggeber abgestimmt ist.
2.2.2 Die Nutzung von privaten Datenträgern ist dem Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung für den Auftraggeber untersagt.
2.2.3 Verfügbarkeit und Belastbarkeit
Soweit der Auftragnehmer personenbezogene Daten oder Zugangsdaten für den Auftraggeber speichert oder verwaltet, trägt er Sorge dafür, dass diese Daten mindestens täglich inkrementell und wöchentlich „voll“ gesichert werden. Es gibt ein Datensicherungskonzept, dass auch das erfolgreiche Testen der Wiederherstellung von Daten beinhaltet.
3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
3.1 Der Auftragnehmer trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforderungen der DSGVO entspricht.
3.2 Dies beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen zum Schutz personenbezogener Daten und ggf. der Anpassung.
3.3 Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und unverzüglich dem Auftraggeber gemeldet werden, wenn dies Daten betrifft, die im Rahmen der Auftragsverarbeitung für den Auftraggeber verarbeitet werden.
3.4 Auftragskontrolle
Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
3.5 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Etwaige nach Art. 25 DSGVO erforderliche Maßnahmen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch den Auftraggeber sind vom Auftraggeber zu treffen bzw. durch ergänzende Weisungen des Auftraggebers an den Auftragnehmer festzulegen.
