Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO

1. Gegenstand der Vereinbarung und Geltungsbereich

Diese Auftragsverarbeitungsvereinbarung wird geschlossen zwischen der VENAX UG (haftungsbeschränkt), Pestalozzistraße 25, 22305 Hamburg, vertreten durch die Geschäftsführerin Amida Mukanda Mputu, nachfolgend „VENAX“ oder „Auftragsverarbeiter“, und dem jeweiligen Vertragspartner, nachfolgend „Kunde“ oder „Verantwortlicher“.

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden gemäß Art. 28 DSGVO. Sie gilt ergänzend zu dem jeweils zugrunde liegenden Hauptvertrag sowie zu den Allgemeinen Geschäftsbedingungen der VENAX UG (haftungsbeschränkt).

Diese Auftragsverarbeitungsvereinbarung findet ausschließlich Anwendung auf Vertragsverhältnisse mit Unternehmern im Sinne des § 14 BGB.

2. Gegenstand und Zweck der Verarbeitung

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten, die im Rahmen der vertraglich vereinbarten Leistungen durch VENAX im Auftrag des Kunden erfolgt.

Die Verarbeitung dient ausschließlich der ordnungsgemäßen Erfüllung der vom Kunden beauftragten Leistungen, insbesondere in den Bereichen Webdesign, Webentwicklung, Hosting, technischer Betrieb, Wartung, digitale Betreuung, Suchmaschinenoptimierung, Integration externer Dienste, Zusatzmodule, KI-gestützte Systeme, Übersetzungs- und Inhaltsdienste sowie vergleichbare digitale Leistungen.

VENAX verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden und nicht zu eigenen Zwecken. Eine Verarbeitung zu anderen Zwecken erfolgt nur, sofern eine gesetzliche Verpflichtung besteht.

3. Art der Daten und Kategorien betroffener Personen

Die Art der verarbeiteten personenbezogenen Daten richtet sich nach dem jeweiligen Vertragsverhältnis und kann insbesondere folgende Datenarten umfassen:

  • Bestands- und Kontaktdaten

  • Kommunikations- und Inhaltsdaten

  • Nutzungs- und Zugriffsdaten

  • Vertrags- und Abrechnungsdaten

  • technisch bedingte Protokoll- und Metadaten

Betroffene Personen können insbesondere Kunden, Interessenten, Mitarbeiter, Geschäftspartner oder sonstige Nutzer der vom Kunden betriebenen Websites, Anwendungen oder digitalen Systeme sein.

4. Dauer der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt für die Dauer des zugrunde liegenden Hauptvertrages.

Diese Auftragsverarbeitungsvereinbarung endet automatisch mit Beendigung des Hauptvertrages, ohne dass es einer gesonderten Kündigung bedarf. Eine darüberhinausgehende Speicherung oder Verarbeitung erfolgt ausschließlich, soweit VENAX hierzu gesetzlich verpflichtet ist oder berechtigte Interessen bestehen, insbesondere zur Einhaltung gesetzlicher Aufbewahrungs-, Nachweis- oder Verteidigungspflichten.

5. Pflichten des Auftragsverarbeiters

VENAX verpflichtet sich, personenbezogene Daten ausschließlich im Einklang mit der DSGVO, dem BDSG sowie den Bestimmungen dieser Vereinbarung zu verarbeiten.

VENAX trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen insbesondere:

  • Zugriffsbeschränkungen und Berechtigungskonzepte

  • Verschlüsselung und Datensicherung

  • Protokollierung und Systemüberwachung

  • physische und organisatorische Sicherheitsmaßnahmen

  • Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit

Alle mit der Verarbeitung personenbezogener Daten befassten Personen sind auf Vertraulichkeit verpflichtet und datenschutzrechtlich sensibilisiert.

6. Pflichten des Verantwortlichen

Der Kunde ist als Verantwortlicher allein für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er gewährleistet insbesondere, dass sämtliche personenbezogenen Daten rechtmäßig erhoben wurden und auf einer wirksamen Rechtsgrundlage beruhen.

VENAX ist nicht verpflichtet, Weisungen oder Inhalte des Kunden rechtlich zu prüfen. Erkennt VENAX jedoch offensichtliche Anhaltspunkte für eine rechtswidrige Verarbeitung, ist VENAX berechtigt, die Verarbeitung bis zur Klärung auszusetzen.

7. Unterauftragsverarbeiter

VENAX ist berechtigt, zur Erfüllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen.

Diese werden sorgfältig ausgewählt und gemäß Art. 28 DSGVO vertraglich verpflichtet. VENAX bleibt für die ordnungsgemäße Auswahl und Überwachung der Unterauftragsverarbeiter verantwortlich. Eine Haftung für eigenständiges Verschulden der Unterauftragsverarbeiter ist, soweit gesetzlich zulässig, ausgeschlossen.

8. Unterstützungspflichten

VENAX unterstützt den Kunden im gesetzlich erforderlichen Umfang bei der Wahrnehmung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO.

Anfragen betroffener Personen, die unmittelbar bei VENAX eingehen, werden unverzüglich an den Kunden weitergeleitet.

VENAX unterstützt den Kunden ferner in angemessenem Umfang bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, soweit diese Unterstützung im Zusammenhang mit den vertraglich geschuldeten Leistungen steht.

9. Meldung von Datenschutzverletzungen

VENAX informiert den Kunden unverzüglich, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

Die Mitteilung erfolgt unter Angabe der zum Zeitpunkt verfügbaren Informationen gemäß Art. 33 DSGVO. VENAX wirkt darauf hin, Datenschutzvorfälle zu begrenzen und deren Auswirkungen zu minimieren.

10. Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrages oder auf dokumentierte Weisung des Kunden löscht VENAX sämtliche im Auftrag verarbeiteten personenbezogenen Daten datenschutzgerecht oder übermittelt diese auf Wunsch des Kunden in einem gängigen, maschinenlesbaren Format, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für außergewöhnlich umfangreiche oder technisch aufwendige Datenexporte ist VENAX berechtigt, eine angemessene Vergütung zu verlangen.

11. Kontroll- und Nachweisrechte

Der Kunde ist berechtigt, die Einhaltung dieser Vereinbarung in angemessenem Umfang zu überprüfen.

VENAX unterstützt entsprechende Prüfungen, soweit diese zumutbar sind und keine Betriebs- oder Geschäftsgeheimnisse sowie Sicherheitsmaßnahmen gefährden. Als Nachweis können insbesondere aktuelle Dokumentationen der technischen und organisatorischen Maßnahmen, interne Prüfberichte oder Zertifizierungen herangezogen werden.

12. Haftung

Die Haftung von VENAX richtet sich nach den Regelungen des zugrunde liegenden Hauptvertrages.

VENAX haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit haftet VENAX nur bei Verletzung wesentlicher Vertragspflichten, begrenzt auf den vertragstypischen, vorhersehbaren Schaden.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Die Parteien verpflichten sich, eine wirksame Regelung zu vereinbaren, die dem wirtschaftlichen Zweck möglichst nahekommt.

Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

Erfüllungsort und Gerichtsstand ist Hamburg, sofern der Kunde Kaufmann ist oder seinen Sitz im Ausland hat.

Diese Auftragsverarbeitungsvereinbarung ist integraler Bestandteil des jeweiligen Hauptvertrages und tritt automatisch mit dessen Abschluss in Kraft.