AVV
v1.0.0
1. September 2025
Auftragsverarbeitungsvereinbarung
Diese Vereinbarung wird gemäß Artikel 28 Datenschutz-Grundverordnung geschlossen.
1. Gegenstand der Vereinbarung und Geltungsbereich
Diese Auftragsverarbeitungsvereinbarung wird zwischen VENAX, Pestalozzistraße 25, 22305 Hamburg, Inhaberin Amida Mputu, nachfolgend „VENAX“ oder „Auftragsverarbeiter“ genannt, und dem jeweiligen Vertragspartner, nachfolgend „Kunde“ oder „Verantwortlicher“ genannt, geschlossen. Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden und gilt ergänzend zu dem jeweils zugrunde liegenden Hauptvertrag sowie den Allgemeinen Geschäftsbedingungen von VENAX. Diese Vereinbarung findet ausschließlich Anwendung auf Vertragsverhältnisse mit Unternehmern im Sinne des § 14 BGB.
2. Gegenstand und Zweck der Datenverarbeitung
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten, die im Rahmen der vertraglich vereinbarten Leistungen durch VENAX im Auftrag des Kunden erfolgt. Die Verarbeitung dient ausschließlich der ordnungsgemäßen Erfüllung der vom Kunden beauftragten Dienstleistungen, insbesondere in den Bereichen Webdesign, Webentwicklung, Hosting, technischer Betrieb, Wartung, digitale Betreuung, Suchmaschinenoptimierung, Integration externer Dienste, Zusatzmodule, KI-gestützte Systeme, Übersetzungs- und Inhaltsdienste sowie vergleichbare digitale Leistungen.
VENAX verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden und nicht zu eigenen Zwecken. Eine Verarbeitung zu anderen Zwecken erfolgt nur, sofern VENAX hierzu gesetzlich verpflichtet ist.
3. Art der verarbeiteten Daten und betroffene Personen
Die Art der verarbeiteten personenbezogenen Daten richtet sich nach dem jeweiligen Vertragsverhältnis und kann insbesondere Bestandsdaten, Kontaktdaten, Kommunikationsdaten, Nutzungsdaten, Inhaltsdaten sowie technisch bedingte Protokoll- und Metadaten umfassen. Betroffene Personen können insbesondere Kunden, Interessenten, Mitarbeiter, Geschäftspartner oder sonstige Nutzer der vom Kunden betriebenen Website oder digitalen Systeme sein.
4. Dauer der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt für die Dauer des zugrunde liegenden Hauptvertrages. Diese Vereinbarung endet automatisch mit der Beendigung des Hauptvertrages, ohne dass es einer gesonderten Kündigung bedarf. Eine darüberhinausgehende Speicherung oder Verarbeitung erfolgt ausschließlich, soweit VENAX hierzu gesetzlich verpflichtet ist oder berechtigte Interessen bestehen, insbesondere im Hinblick auf gesetzliche Aufbewahrungs-, Nachweis- oder Verteidigungspflichten.
5. Pflichten des Auftragsverarbeiters
VENAX verpflichtet sich, personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung, dem Bundesdatenschutzgesetz sowie den Bestimmungen dieser Vereinbarung zu verarbeiten. VENAX trifft alle geeigneten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen insbesondere Zugriffsbeschränkungen, Berechtigungskonzepte, Datensicherungen, Verschlüsselungstechniken, Systemüberwachung, Protokollierung, physische Sicherheitsmaßnahmen sowie organisatorische Regelungen zur Wahrung der Vertraulichkeit.
Alle Personen, die bei VENAX mit der Verarbeitung personenbezogener Daten befasst sind, werden auf Vertraulichkeit verpflichtet und regelmäßig datenschutzrechtlich sensibilisiert.
6. Pflichten des Verantwortlichen
Der Kunde ist als Verantwortlicher allein für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er gewährleistet insbesondere, dass sämtliche an VENAX übermittelten personenbezogenen Daten rechtmäßig erhoben wurden und deren Verarbeitung auf einer gültigen Rechtsgrundlage beruht. VENAX ist nicht verpflichtet, die vom Kunden bereitgestellten Daten oder Weisungen auf ihre rechtliche Zulässigkeit zu überprüfen. Erkennt VENAX jedoch offensichtliche Anhaltspunkte für eine rechtswidrige Verarbeitung, ist VENAX berechtigt, die Verarbeitung bis zur Klärung auszusetzen.
7. Einsatz von Unterauftragsverarbeitern
VENAX ist berechtigt, zur Erfüllung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen. Diese werden sorgfältig ausgewählt und vertraglich gemäß Art. 28 DSGVO verpflichtet. VENAX bleibt für die ordnungsgemäße Auswahl, Beauftragung und Überwachung der Unterauftragsverarbeiter verantwortlich. Eine Haftung für eigenständiges Verschulden der Unterauftragsverarbeiter ist ausgeschlossen, soweit gesetzlich zulässig.
8. Unterstützungspflichten
VENAX unterstützt den Kunden im Rahmen der gesetzlichen Vorgaben bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen, insbesondere bei Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch. Anfragen betroffener Personen, die unmittelbar bei VENAX eingehen, werden unverzüglich an den Kunden weitergeleitet.
Darüber hinaus unterstützt VENAX den Kunden im angemessenen Umfang bei der Einhaltung der Pflichten aus den Artikeln 32 bis 36 DSGVO, soweit diese Unterstützung im Zusammenhang mit den vertraglich geschuldeten Leistungen steht.
9. Meldung von Datenschutzverletzungen
VENAX informiert den Kunden unverzüglich, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Mitteilung erfolgt unter Angabe der zum Zeitpunkt der Meldung verfügbaren Informationen gemäß Art. 33 DSGVO. VENAX wirkt darauf hin, den Vorfall schnellstmöglich zu beheben und dessen Auswirkungen zu minimieren.
10. Löschung und Rückgabe von Daten
Nach Beendigung des Hauptvertrages oder auf dokumentierte Weisung des Kunden löscht VENAX sämtliche im Auftrag verarbeiteten personenbezogenen Daten datenschutzgerecht oder übermittelt diese auf Wunsch des Kunden in einem gängigen, maschinenlesbaren Format, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Für umfangreiche oder technisch aufwendige Datenexporte ist VENAX berechtigt, eine angemessene Vergütung zu verlangen.
11. Kontroll- und Nachweisrechte
Der Kunde ist berechtigt, die Einhaltung dieser Vereinbarung in angemessenem Umfang zu überprüfen. VENAX unterstützt entsprechende Prüfungen, soweit diese zumutbar sind und keine Betriebs- oder Geschäftsgeheimnisse sowie Sicherheitsmaßnahmen gefährden. Als gleichwertiger Nachweis gelten insbesondere aktuelle Zertifizierungen, interne Prüfberichte oder dokumentierte technische und organisatorische Maßnahmen, die VENAX auf Anfrage zur Verfügung stellen kann.
12. Haftung
Die Haftung von VENAX richtet sich nach den Regelungen des zugrunde liegenden Hauptvertrages. VENAX haftet ausschließlich für Schäden, die durch vorsätzliches oder grob fahrlässiges Verhalten verursacht wurden. Eine Haftung für mittelbare Schäden, Folgeschäden oder entgangenen Gewinn ist, soweit gesetzlich zulässig, ausgeschlossen.
13. Schlussbestimmungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Die Parteien verpflichten sich, eine wirksame Ersatzregelung zu vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
Es gilt ausschließlich deutsches Recht unter Ausschluss des UN-Kaufrechts. Erfüllungsort und Gerichtsstand ist Hamburg. Diese Auftragsverarbeitungsvereinbarung ist integraler Bestandteil des jeweiligen Hauptvertrages zwischen VENAX und dem Kunden und tritt automatisch mit dessen Abschluss in Kraft.