top of page
Mehr Datenschutz für Ihre Verwaltung

Auftragsverarbeitungsvertrag (AVV)

Wir informieren über den Schutz personenbezogener Daten und unsere Kooperationspartner für das Produkt KOMvista.

KOMvista (29).png

Auftragsverarbeitungsvertrag KOMvista (AVV)

zwischen

KalusControl – Kommunalberatung GmbH
Brückentor 6
36396 Steinau an der Straße
– nachfolgend „Auftragnehmer“ –

und dem jeweiligen Vertragspartner

– nachfolgend „Auftraggeber“ –

Präambel

Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 („Datenschutz‑Grundverordnung“, nachfolgend DSGVO), insbesondere die Begriffsbestimmungen des Art. 4 DSGVO. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

1. Gegenstand des Vertrages

1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.

1.2 Die Beschreibung des jeweiligen Auftrags mit Angaben zu

  • Gegenstand des Auftrags,

  • Umfang, Art und Zweck der Verarbeitung,

  • Art der personenbezogenen Daten sowie

  • Kategorien betroffener Personen

ist in der Anlage 1 zu diesem Vertrag geregelt.

2. Ort der Datenverarbeitung

2.1 Die vertraglich vereinbarte Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der Bundesrepublik Deutschland, eines Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum („sichere Staaten“) statt, sofern sich aus der Anlage nichts anderes ergibt.

2.2 Eine Verarbeitung in Staaten außerhalb dieser sicheren Staaten („Drittländer“) erfolgt nur, sofern

  • für das jeweilige Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder

  • geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, insbesondere durch den Abschluss der jeweils gültigen EU‑Standardvertragsklauseln (SCC).

Der Auftragnehmer stellt sicher, dass erforderliche vertragliche und technische Schutzmaßnahmen umgesetzt werden.

3. Laufzeit

3.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Er kann von jeder Partei mit einer Frist von drei Monaten zum Monatsende gekündigt werden. Bestehen zum Zeitpunkt der Kündigung noch Hauptverträge, bei denen der Auftragnehmer personenbezogene Daten im Auftrag verarbeitet, gelten die Bestimmungen dieses AVV bis zur Beendigung der jeweiligen Hauptverträge fort.

3.2 Der Auftraggeber ist berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß gegen Datenschutzvorschriften oder gegen Bestimmungen dieses Vertrages vorliegt. Ein solcher liegt insbesondere bei Verstößen gegen Art. 28 DSGVO vor.

4. Weisungsrecht

4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch unions‑ oder mitgliedstaatliches Recht zu einer Verarbeitung verpflichtet ist.

4.2 Änderungen, Ergänzungen oder Aufhebungen der in Anlage 1 beschriebenen Verarbeitung bedürfen einer schriftlichen oder elektronischen Vereinbarung.

4.3 Weisungen sind von beiden Parteien in Textform zu dokumentieren und für die Dauer dieses Vertrages sowie für weitere drei Jahre aufzubewahren.

4.4 Erkennt der Auftragnehmer, dass eine Weisung gegen Datenschutzvorschriften verstößt, informiert er den Auftraggeber unverzüglich. Der Auftragnehmer ist berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

4.5 Weisungen dürfen ausschließlich durch hierzu berechtigte Personen des Auftraggebers erteilt werden.

4.6 Die benannten Ansprechpartner ergeben sich aus Anlage 1. Änderungen sind unverzüglich mitzuteilen.

5. Unterstützungspflichten des Auftragnehmers

5.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO.

5.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber insbesondere bei:

  • der Sicherstellung geeigneter technischer und organisatorischer Maßnahmen,

  • Meldungen von Datenschutzverletzungen,

  • Benachrichtigungen betroffener Personen,

  • Datenschutz‑Folgenabschätzungen,

  • Konsultationen der Aufsichtsbehörde.

5.3 Wendet sich eine betroffene Person oder Aufsichtsbehörde unmittelbar an den Auftragnehmer, informiert dieser den Auftraggeber unverzüglich.

6. Kontroll- und Prüfungsrechte

6.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Pflichten gemäß Art. 28 DSGVO zur Verfügung.

6.2 Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung von mindestens 30 Tagen Überprüfungen durchzuführen. Anlasslose Prüfungen sind auf eine pro Kalenderjahr beschränkt.

6.3 Als Nachweise können insbesondere Dokumentationen, Zertifikate oder Prüfberichte gemäß Art. 40 und 42 DSGVO dienen.

7. Datenschutzbeauftragter

Ein Datenschutzbeauftragter des Auftragnehmers ist in Anlage 1 benannt.

8. Vertraulichkeit

8.1 Der Auftragnehmer verpflichtet sich zur Wahrung der Vertraulichkeit sämtlicher im Auftrag verarbeiteter personenbezogener Daten.

8.2 Alle mit der Verarbeitung befassten Personen sind auf Vertraulichkeit verpflichtet.

8.3 Auskünfte an Dritte oder Betroffene erfolgen ausschließlich nach vorheriger Weisung des Auftraggebers.

9. Technische und organisatorische Maßnahmen

9.1 Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zur Sicherstellung von:

  • Pseudonymisierung

  • Verschlüsselung

  • Fähigkeit der Vertraulichkeit

  • Fähigkeit der Integrität

  • Fähigkeit der Verfügbarkeit

  • Fähigkeit der Belastbarkeit

  • Wiederherstellbarkeit der Verfügbarkeit und des Zugangs

  • Verfahren zur regelmäßigen Überprüfung

  • Unrechtmäßiger Zugang zu personenbezogenen Daten

  • Verarbeitung personenbezogener Daten nur nach Anweisung

9.2 Die konkret umgesetzten Maßnahmen sind in Anlage 2 dokumentiert.

9.3 Anpassungen aufgrund technischer Weiterentwicklung sind zulässig, sofern mindestens ein gleichwertiges Schutzniveau gewährleistet bleibt.

10. Meldung von Datenschutzverletzungen

10.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich über tatsächliche oder vermutete Verletzungen des Schutzes personenbezogener Daten.

10.2 Er unterstützt bei Untersuchung, Schadensbegrenzung und Dokumentation.

10.3 Bei Zugriffen Dritter (z. B. Pfändung, Insolvenz) wird der Auftraggeber unverzüglich informiert.

10.4 Ergebnisse von Prüfungen durch Datenschutzaufsichtsbehörden werden dem Auftraggeber mitgeteilt.

11. Unterauftragsverhältnisse

11.1 Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen.

11.2 Unterauftragnehmer werden vertraglich zur Einhaltung der Pflichten dieses Vertrages verpflichtet.

11.3 Unterauftragnehmer können der Anlage 3 entnommen werden.

12. Löschung und Rückgabe von Daten

12.1 Die Löschung der Daten erfolgt auf Wunsch des Kunden (z.B. nach Kündigung des Auftrags) oder nach Ablauf der Frist zur gesetzlichen Aufbewahrung von Büchern, spätestens nach 10 Jahren.

12.2 Die Löschung erfolgt unwiederbringlich.

 

13. Haftung

13.1 Die Parteien haften gemäß Art. 82 DSGVO.

13.2 Im Innenverhältnis haftet jede Partei nur für den von ihr zu vertretenden Verantwortungsbereich.

14. Schlussbestimmungen

14.1 Ein Zurückbehaltungsrecht gemäß § 273 BGB wird ausgeschlossen.

14.2 Anlagen sind wesentlicher Bestandteil dieses Vertrages.

14.3 Änderungen bedürfen der Textform.

14.4 Frühere Vereinbarungen zur Auftragsverarbeitung werden durch diesen Vertrag vollständig ersetzt.

14.5 Der Vertrag kann elektronisch signiert werden.

14.6 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

14.7 Es gilt deutsches Recht. Gerichtsstand richtet sich nach dem Hauptvertrag.

Stand: Januar 2026

bottom of page