Auftragsverarbeitungsvertrag (AVV)

Aktualisiert am: 05.01.2025

Dieser Auftragsverarbeitungsvertrag tritt automatisch mit dem Tag der Vertragsunterzeichnung des Rahmenvertrags in Kraft und bleibt bis zur Beendigung des Rahmenvertrags wirksam.
Bei Fragen: info@acai.tech

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Zwischen
Ihnen (nachfolgend "Auftraggeber")
und
Acai Technologies GmbH
Willinghusener Weg 2 A
22113 Oststeinbek
(nachfolgend "Auftragnehmer")
– gemeinsam "Parteien" genannt –

Präambel

Die Parteien haben einen Rahmenvertrag über die Nutzung der Passwortverwaltung von Acai Technologies geschlossen. Der Auftragnehmer verarbeitet dabei personenbezogene Daten im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

1. Gegenstand der Auftragsverarbeitung

Aus Rahmenvertrag und Leistungsbeschreibungen ergeben sich:
- Gegenstand/Dauer des Auftrags
- Art und Zweck der Verarbeitung
Typische Datenverarbeitungen:
- Gespeicherte Daten in Acai Technologies (z. B. Nutzernamen, URLs, Passwörter)
  → Passwortmanagement, Ende-zu-Ende-verschlüsselt
  → Betroffene Personen: Mitarbeiter von Kunden
- Gerätedaten
  → Fehlerbehebung, Support
  → Betroffene Personen: Mitarbeiter von Kunden
Dauer: Entspricht der Laufzeit des Rahmenvertrags.
Umfasst: Erheben, Ordnen, Speichern, Auslesen, Verwenden, Übermitteln, Löschen.

2. Anwendungsbereich und Verantwortlichkeit

Der Auftragnehmer handelt ausschließlich auf Weisung des Auftraggebers.
Weisungen erfolgen schriftlich oder in Textform. Mündliche Anweisungen müssen bestätigt werden.

3. Rechte und Pflichten des Auftraggebers

Auftraggeber ist Verantwortlicher nach Art. 4 Nr. 7 DSGVO.
Pflicht zur unverzüglichen Information bei Datenschutzverstößen.
Benennung eines Datenschutz-Ansprechpartners.
Unterstützungspflicht bei Ansprüchen nach Art. 82 DSGVO.

4. Pflichten des Auftragnehmers

Verarbeitung nur auf Weisung. Ausnahmefälle gem. Art. 28 Abs. 3a DSGVO.
Technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO.
Aktuelle TOM-Liste: https://acai.tech/de/toms
Informationspflicht bei Änderungen wesentlicher Schutzmaßnahmen.
Unterstützungspflicht bei Betroffenenrechten (Kapitel III DSGVO).
Weiterleitung von Anfragen betroffener Personen an den Auftraggeber.
Verpflichtung zur Vertraulichkeit der Mitarbeiter.
Informationspflicht bei Datenschutzverletzungen.
Pflicht zur Datenlöschung oder -rückgabe nach Vertragsende.
Kein Zurückbehaltungsrecht an personenbezogenen Daten (§ 273 BGB ausgeschlossen).

5. Nachweismöglichkeiten

Nachweis der Einhaltung auf Anfrage des Auftraggebers.
Inspektionsrechte des Auftraggebers unter Bedingungen (z. B. Voranmeldung, Vertraulichkeit).
Gleiches gilt für behördliche Prüfungen.
Auch bei mobilem Arbeiten werden TOM eingehalten.

6. Unterauftragsverarbeiter

Liste unter: https://acai.tech/de/unterauftragsverarbeiter
Weitere Beauftragungen nach vorheriger Information und Frist zur Ablehnung (4 Wochen).
Sorgfältige Auswahl und Kontrolle der Unterauftragsverarbeiter.
Vertrag mit Unterauftragsverarbeitern enthält gleichwertige Datenschutzpflichten.
Offenlegung personenbezogener Daten nur nach Prüfung.
Haftung des Auftragnehmers bleibt bestehen.

7. Übermittlung in Drittländer

Verarbeitung nur innerhalb Deutschlands, der EU oder des EWR.
Übermittlungen in Drittländer nur mit Einwilligung und unter Einhaltung der DSGVO (Art. 44 ff.).

8. Haftung

Haftung gemäß Art. 82 DSGVO gegenüber betroffenen Personen.
Unberührt bleibt Haftung im Innenverhältnis.

9. Laufzeit

Inkrafttreten mit Vertragsunterzeichnung des Rahmenvertrags.
Kündigungsregelungen richten sich nach dem Rahmenvertrag.
Außerordentliche Kündigung bei Verstoß gegen DSGVO oder Vertragsverletzung.

10. Informationspflichten, Schriftform, Rechtswahl

Informationspflicht bei Gefährdung der Daten.
Änderungen nur schriftlich oder in Textform mit explizitem Hinweis.
Bei Widersprüchen haben Datenschutzregelungen Vorrang.
Salvatorische Klausel: Unwirksame Regelungen berühren den Vertrag nicht im Ganzen.